[ad_1]

Fin décembre 2019, chaîne de magasins de carburant et de proximité Wawa inc. a déclaré qu’une violation de neuf mois de ses systèmes de traitement des cartes de paiement pourrait avoir conduit au vol de données de carte de clients qui ont visité l’un de ses 850 sites à travers le pays. Maintenant, les experts en fraude affirment que le premier lot de données de carte volées aux clients de Wawa est vendu dans l’un des magasins de crime les plus populaires du métro, qui prétend avoir 30 millions d’enregistrements à colporter à partir d’une nouvelle brèche à l’échelle nationale.

Dans la soirée du lundi 27 janvier, un bazar de fraude populaire connu sous le nom de Joker’s Stash a commencé à vendre des données de carte à partir d’une « nouvelle énorme violation à l’échelle nationale » qui comprendrait plus de 30 millions de comptes de carte émis par des milliers d’institutions financières dans plus de 40 États américains. .

Le bazar de la fraude Joker’s Stash a commencé lundi à vendre quelque 30 millions de comptes de cartes de paiement volés qui, selon les experts, sont liés à une brèche à Wawa en 2019.

Deux sources qui travaillent en étroite collaboration avec des institutions financières à l’échelle nationale indiquent à BreachTrace que le nouveau lot de cartes qui a été mis en vente lundi soir – surnommé « BIGBADABOOM-III » par Joker’s Stash – renvoie carrément aux achats des titulaires de carte à Wawa.

Le 19 décembre 2019, Wawa envoyé un avis aux clients affirmant que la société avait découvert des logiciels malveillants de vol de cartes installés sur les systèmes de traitement des paiements en magasin et les distributeurs de carburant dans potentiellement tous les sites Wawa.

Wawa, basé en Pennsylvanie, affirme avoir découvert l’intrusion le 10 décembre et contenir la violation le 12 décembre, mais que le logiciel malveillant aurait été installé plus de neuf mois plus tôt, vers le 4 mars. Les informations exposées incluent les cartes de débit et de crédit. les numéros, les dates d’expiration et les noms des titulaires de carte. Wawa a déclaré que la violation n’avait pas révélé de numéros d’identification personnels (PIN) ou d’enregistrements CVV (le code de sécurité à trois chiffres imprimé au dos d’une carte de paiement).

Un porte-parole de Wawa a confirmé que la société a pris connaissance aujourd’hui de rapports faisant état de tentatives criminelles de vente de certaines informations de cartes de paiement de clients potentiellement impliquées dans l’incident de sécurité des données annoncé par Wawa le 19 décembre 2019.

« Nous avons alerté notre processeur de cartes de paiement, les marques de cartes de paiement et les émetteurs de cartes pour intensifier les activités de surveillance de la fraude afin de protéger davantage les informations des clients », a déclaré Wawa dans un communiqué publié à BreachTrace. « Nous continuons à travailler en étroite collaboration avec les forces de l’ordre fédérales dans le cadre de leur enquête en cours pour déterminer l’étendue de la divulgation des données de carte de paiement des clients spécifiques à Wawa. »

« Nous continuons d’encourager nos clients à rester vigilants en examinant les frais sur leurs relevés de carte de paiement et à signaler rapidement toute utilisation non autorisée à la banque ou à l’institution financière qui a émis leur carte de paiement en appelant le numéro au dos de la carte », indique le communiqué. continue. «En vertu de la loi fédérale et des règles des sociétés de cartes, les clients qui informent leur émetteur de carte de paiement en temps opportun des frais frauduleux ne seront pas responsables de ces frais. Dans le cas peu probable où un client individuel qui aurait rapidement informé l’émetteur de sa carte des frais frauduleux liés à cet incident ne serait pas remboursé, Wawa travaillera avec lui pour lui rembourser ces frais.

Conseil Gémeaux, une société de renseignements sur la fraude basée à New York, a déclaré que les plus grandes concentrations de cartes volées à vendre dans la carte par lots BIGBADABOOM-III remontent à l’utilisation de la carte client Wawa en Floride et en Pennsylvanie, les deux États les plus peuplés où Wawa opère. Wawa a également des bureaux dans le Delaware, le Maryland, le New Jersey, la Virginie et le district de Columbia.

Selon Gemini, Joker’s Stash n’a jusqu’à présent publié qu’une petite partie des 30 millions réclamés. Cependant, ce n’est pas une pratique rare : la mise en vente d’un trop grand nombre de cartes volées à la fois a tendance à faire baisser le prix global des cartes volées sur le marché clandestin.

« Sur la base de l’analyse de Gemini, l’ensemble initial de bases liées à » BIGBADABOOM-III « comportait près de 100 000 enregistrements », Gemini observé. « Alors que la majorité de ces enregistrements provenaient de banques américaines et étaient liés à des titulaires de carte basés aux États-Unis, certains enregistrements étaient également liés à des titulaires de carte d’Amérique latine, d’Europe et de plusieurs pays asiatiques. Les titulaires de carte non basés aux États-Unis ont probablement été victimes de cette violation lorsqu’ils se sont rendus aux États-Unis et ont utilisé les stations-service Wawa pendant la période d’exposition.

Directeur de recherche Gemini Stas Alforov a souligné que certaines des 30 millions de cartes annoncées à la vente dans le cadre de ce lot BIGBADABOOM peuvent en fait provenir de violations chez d’autres détaillants, ce que Joker’s Stash a fait dans de grands lots précédents.

Gemini surveille plusieurs sites de cardage comme Joker’s Stash. La société a constaté que le prix médian des disques émis aux États-Unis dans le nouveau lot de Joker’s Stash est actuellement de 17 dollars, certains des disques internationaux coûtant jusqu’à 210 dollars par carte.

« Outre les banques présentes à l’échelle nationale, seules les institutions financières de la côte Est avaient une exposition significative », a conclu Gemini.

Des représentants de MasterCard n’a pas répondu aux demandes de commentaires. Visa a refusé de commenter cette histoire, mais a souligné une série d’alertes émises en novembre et décembre 2019 sur les groupes cybercriminels ciblant de plus en plus les marchands de distributeurs de carburant.

Un certain nombre de violations de cartes nationales très médiatisées chez les marchands de la rue principale ont été liées à un grand nombre de cartes en vente chez Joker’s Stash, y compris des violations de la chaîne de supermarchés Hy-Vee, des chaînes de restaurants Sonic, Buca di Beppo, Krystal, Moe’s, McAlister’s Deli et Schlotzsky’s, des détaillants comme Bebe Stores et des marques hôtelières telles que Hilton Hotels.

La plupart des violations de cartes dans les restaurants et autres magasins physiques se produisent lorsque les cybercriminels parviennent à installer à distance des logiciels malveillants sur les systèmes de traitement des cartes du détaillant. Ce type de malware de point de vente est capable de copier les données stockées sur la bande magnétique d’une carte de crédit ou de débit lorsque ces cartes sont glissées sur des terminaux de paiement compromis, et ces données peuvent ensuite être utilisées pour créer des copies contrefaites des cartes.

Les États-Unis sont le dernier des pays du G20 à passer à des cartes à puce plus sécurisées, qui sont beaucoup plus chères et difficiles à contrefaire pour les criminels. Malheureusement, de nombreux commerçants ne sont pas encore passés à l’utilisation de lecteurs de cartes à puce et continuent de glisser les cartes de leurs clients.

Selon statistiques publiées en novembre par Visa, plus de 3,7 millions de points de vente acceptent désormais les cartes à puce. Selon Visa, pour les commerçants qui ont terminé la mise à niveau de la puce, les dollars frauduleux contrefaits ont chuté de 81% en juin 2019 par rapport à septembre 2015. Cela peut aider à expliquer pourquoi les voleurs de cartes portent de plus en plus leur attention sur la compromission des commerçants de commerce électronique, une tendance observée dans pratiquement tous les pays. pays qui a déjà opté pour les cartes à puce.

De nombreuses stations-service mettent à niveau leurs pompes pour inclure davantage de cybersécurité et de sécurité physique, telles que le cryptage de bout en bout des données de carte, les serrures personnalisées et les caméras de sécurité. De plus, les nouvelles pompes peuvent accueillir des cartes de paiement à puce plus sécurisées qui sont déjà utilisées et, dans certains cas, mandatées par d’autres pays du G20.

Mais ces mises à niveau sont perturbatrices et coûteuses, et de nombreux propriétaires de stations-service les reportent jusqu’à ce qu’elles soient absolument nécessaires. Avant la fin de 2016, les propriétaires de stations-service aux États-Unis avaient jusqu’au 1er octobre 2017 pour installer des lecteurs à puce à leurs pompes. Les propriétaires de stations qui n’avaient pas de lecteurs prêts à puce en place à ce moment-là auraient été tenus d’absorber 100 % des coûts de fraude associés aux transactions dans lesquelles le client a présenté une carte à puce mais n’a pas été invité ou en mesure de le faire. tremper la puce.

Pourtant, en décembre 2016, Visa – de loin le plus grand réseau de cartes de crédit aux États-Unis – a retardé les exigences, affirmant que les propriétaires de stations-service auraient jusqu’au 1er octobre 2020 pour respecter le délai de transfert de responsabilité.

Dans tous les cas, Wawa pourrait être passible de lourdes amendes pour avoir omis de protéger les données des cartes des clients traversant ses réseaux de cartes de paiement internes. De plus, au moins un recours collectif a déjà été déposée contre la société.

Enfin, il est important de noter que même si les 30 millions de cartes que Joker’s Stash vend dans le cadre de ce lot correspondent en fait aux emplacements de Wawa, il est très peu probable que plus d’un petit pourcentage de ces cartes soient réellement achetées. et utilisé par des fraudeurs. Lors de la mégabrèche de 2013 à Cible Corp.par exemple, les fraudeurs ont volé environ 40 millions de cartes mais n’ont finalement vendu qu’entre un et trois millions de ces cartes.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *