Publicité

Skimming

ATM et cartes bancaires : Les arnaqueurs font leur numéro

11 août 2024, 21:00

Par

Partager cet article

Facebook X WhatsApp

ATM et cartes bancaires : Les arnaqueurs font leur numéro

Malgré leurs avantages pratiques, les guichets automatiques (ATM) ne sont pas à l’abri des fraudes, notamment celles dues aux «skimming devices» (dispositifs de clonage) qui se répandent depuis quelques années et frappent tant les clients que les banques. Zoom sur les dangers de cette fraude financière et la complexité liée à la lutte contre ce délit.

La découverte de skimming devices sur quelques guichets automatiques de la capitale, la semaine dernière, soulève à nouveau des questions sur ses dangers et la complexité de la répression de ce type de fraude financière. Mais de quoi s’agit-il et comment fonctionne-t-il ? Le skimming (clonage) est une technique qui consiste à installer illégalement un dispositif sur ou à l’intérieur d’un guichet automatique pour récupérer les données d’une carte bancaire et enregistrer le numéro d’identification personnel (code PIN) du titulaire. Ces données sont ensuite utilisées par des escrocs pour fabriquer de fausses cartes et effectuer des achats non autorisés ou dérober des sommes des comptes bancaires de leurs victimes. Ce danger ne se limite pas aux ATM mais menace également les points de vente ou stations-service, souligne le Federal Bureau of Investigation (FBI), qui estime que cette fraude fait perdre chaque année plus d’un milliard de dollars aux institutions financières et aux consommateurs.

«Les cartes ATM sont constituées d’une puce et d’une bande magnétique au verso composée de particules de fer pour former une géométrie magnétique spécifique. Cette dernière contient des données encodées. Lorsque la carte est insérée dans le récepteur du guichet électronique, celui-ci permet de décrypter les données stockées sur la puce et la bande magnétique au verso et de les relier au serveur de la banque. Par la suite, le PIN autorise l’accès à votre compte. Les commandes telles que le retrait d’argent ou la lecture des relevés bancaires sont alors effectuées et traitées en conséquence», explique un informaticien qui a travaillé dans le secteur bancaire.

Modus operandi des malfrats

Par conséquent, ce type de fraude nécessite que le fraudeur dispose de deux outils : un lecteur de cartes, capable de décrypter les données enregistrées pour accéder au serveur de la banque, et un appareil qui capture le code PIN lors de son insertion afin d’avoir un accès autorisé au compte de la victime et d’effectuer des transactions. «Cet appareil peut être une caméra cachée qui épouse parfaitement la surface du guichet automatique et enregistre la composition du code ou un clavier superposé sur le clavier de la machine, alimenté par une batterie et doté d’une carte mémoire pour enregistrer le code PIN inséré», explique notre interlocuteur. «Dans certains cas, les escrocs n’utilisent aucun appareil pour enregistrer le code PIN, mais se tiennent à l’arrière et jettent un coup d’œil par-dessus l’épaule de la victime pour la surveiller pendant qu’elle tape son code PIN», ajoute-t-il.

Mais comment le skimmer utilise-t-il les informations recueillies pour effectuer des retraits d’argent au guichet automatique ? «Après avoir enlevé les skimming devices, le malfaiteur transfère toutes les données collectées – à la fois de la caméra cachée/du clavier et du lecteur de cartes – sur un ordinateur pour les synchroniser et les traiter en fonction du timing. Par exemple, si une de ses victimes a inséré sa carte dans le lecteur de cartes (utilisé pour le skimming) à 10 heures du matin, les données collectées sur la bande magnétique de cette carte à ce moment-là seront comparées au code PIN enregistré sur la caméra cachée ou le clavier superposé au même moment.»

Vient ensuite un élément crucial du modus operandi : la reproduction des données de la carte bancaire sur une nouvelle carte vierge à l’aide d’un graveur de cartes magnétiques. Avec l’avènement de la technologie, cet appareil est de plus en plus facile à commander à un prix relativement bas, allant de 17 USD à 89 USD, voire 195 USD, sur des sites en ligne. «Nous devons souligner que les graveurs de cartes magnétiques ne sont pas des outils illégaux en eux-mêmes et que leur vente est donc autorisée. Ils sont utilisés pour graver des cartes bancaires authentiques ou des cartes de fidélité et cartes-cadeaux pour des magasins de marque. Leur utilisation dépend de la personne et les skimmers les utilisent dans le seul but d’arnaquer», explique l’informaticien.

Problème persistant

Aux Etats-Unis, des États comme l’Alabama, la Californie, le Nevada et la Floride ont connu une forte augmentation d’arnaques par des skimming devices l’année dernière, avec une hausse de 96 % des cartes bancaires compromises. En 2013, la Zambie a vu plusieurs banques se faire voler plus de 4 millions de dollars, à travers un réseau sophistiqué de cybercriminels, par des étrangers de connivence avec des Zambiens, qui ont utilisé des techniques de skimming. Les touristes à Bali sont également priés de n’utiliser que des guichets automatiques autorisés pour les retraits d’argent, en raison d’une arnaque récente impliquant des skimming devices.

Maurice n’a pas non plus été épargnée. En juillet 2015, des caméras de surveillance de la Mauritius Commercial Bank (MCB) avaient permis de découvrir des skimming devices. Ces appareils de détection frauduleuse de données avaient été placés sur deux ATM à Port-Louis. Par mesure de précaution, la banque avait décidé de bloquer 1 500 cartes. La Banque de Maurice et la police avaient été informées et les clients avaient pu éventuellement récupérer leurs nouvelles cartes. Trois suspects avaient été arrêtés dans cette affaire.

La même année, alors que la population se préparait pour le Nouvel an, des malfrats avaient décidé à nouveau de passer à l’action. Ce fut cette fois au tour de clients de la State Bank of Mauritius (SBM), qui utilisaient leur carte pour retirer de l’argent de l’ATM situé à la rue Pope Hennessy, de faire les frais d’une telle pratique. Les skimming devices avaient été découverts lors d’un contrôle de routine, le 31 décembre. La SBM avait bloqué pas moins de 141 cartes bancaires par précaution, et les procédures avaient été déclenchées pour leur remplacement afin d’assurer la sécurité des clients.

Or, la semaine dernière, deux suspects ont été arrêtés par la police après qu’un skimming device a été découvert sur un guichet automatique dans la capitale. Une vidéo de cette découverte a circulé sur les réseaux sociaux. La Mauritius Bankers Association a fait savoir, à travers un communiqué, qu’un nombre limité de guichets automatiques étaient concernés par ce problème. Ces cas ont été rapidement détectés et référés à la police. Les cartes potentiellement concernées ont été désactivées et seront remplacées.

Qui est à risque ?

Les skimmers et les technologies liées à ce type de fraude peuvent être difficiles à repérer car les malfrats tentent de faire en sorte que leur appareil puisse être intégré dans les lecteurs de cartes ou qu’ils correspondent à leur apparence, souligne une source. «Ils ne ciblent pas de groupe particulier. Ils travaillent en fonction de la géographie et d’une période particulière du mois ou de l’année, comme la fin du mois. Les emplacements géographiques peuvent concerner des ATM dans des centres commerciaux, supermarchés ou lieux plus fréquentés et offrant des activités au cours de la journée. Les retraits frauduleux sont effectués un jour ou quelques jours plus tard. Ces transactions sont susceptibles de se produire dans des lieux très fréquentés où la suspicion est réduite. Les skimmers s’abstiendront de le faire aux ATM équipés de caméras de vidéosurveillance et de lumières.»

Afin de minimiser le risque, il est recommandé d’être attentif lors de l’utilisation des guichets automatiques. Des difficultés à insérer la carte dans le lecteur de cartes ou la nécessité de forcer l’insertion de la carte, des rayures sur le clavier de l’ATM ou des chiffres difficiles à appuyer peuvent indiquer une manipulation de la machine. Lorsqu’on introduit le code PIN, il est recommandé de couvrir le clavier de l’autre main au cas où une caméra cachée filmerait l’activité.

Une femme ayant travaillé dans la capitale pendant plus de 40 ans estime cependant que si les dangers d’une telle fraude concernent tout le monde, les personnes âgées sont particulièrement à risque. «Au cours de mes années de travail à Port-Louis, il m’est arrivé à maintes reprises de devoir me précipiter au guichet automatique, d’utiliser la majeure partie de ma pause de midi pour faire la queue afin d’effectuer des transactions et de ne pas avoir le temps ou le sens d’observation nécessaires pour être attentive. Il est également arrivé à plusieurs reprises que des personnes âgées viennent me voir pour me demander de les aider à retirer de l’argent parce qu’elles ne savent pas utiliser la technologie. Les dangers sont bien réels.»