Dans les pays qui ont les systèmes à puce et PIN (EMV), la conversion de ces données en cartes clonées est difficile. Elles sont alors généralement utilisées en ligne dans des attaques par carte non présente (CNP). Celles-ci sont utilisées pour acheter des articles de luxe destinés à la revente ou pour acheter, en masse, des cartes-cadeaux - une autre façon de blanchir de l'argent obtenu illégalement.
La taille du marché de ces cartes est difficile à estimer. Mais les gérants du plus grand marché underground au monde ont récemment pris leur retraite après avoir gagné environ 358 millions de dollars (making an estimated US$358m).
Les 5 méthodes les plus courantes utilisées pour obtenir vos données et comment les arrêter :
1. Phishing - hameçonnage
Le Phishing est une technique populaire de vol de données. Les pirates se font passer pour une entité légitime (banque, fournisseur d’e-commerce, entreprise technologique) pour vous inciter à fournir vos informations persos ou à télécharger des maliciels sans le savoir. Ils vous font cliquer sur un lien ou ouvrir une pièce jointe. Parfois, ils redirigent vers une page d’hameçonnage, où vous entrez des informations persos et financières. Le phishing atteindrait un niveau record au 1er trimestre 2022.
Ces escroqueries ont évolué. Au lieu d'un mail, vous pouvez recevoir un SMS malveillant de la part de pirates se faisant passer pour une société de livraison, une agence gouvernementale ou une autre organisation de confiance. Ils peuvent vous appeler, se faisant passer pour une source fiable, pour obtenir les détails de votre carte. Le phishing par SMS (smishing) a plus que doublé d'un an à l'autre en 2021 et le phishing vocal (voice phishing) aurait également fortement augmenté (one estimate).
2. Maliciels
La cybercriminalité underground est un marché géant, aussi bien pour les données que pour les maliciels. Différents types de maliciels sont conçus pour voler des informations. Certains enregistrent vos frappes, par exemple lorsque vous saisissez des informations de carte sur un site de commerce électronique ou bancaire. Comment ces outils arrivent-ils sur votre appareil ?
Les mails ou SMS d'hameçonnage sont populaires. Les pubs malveillantes en ligne le sont aussi. Elles peuvent infecter des sites populaires et attendre que les utilisateurs les visitent. Lorsque vous visitez la page infectée, ce maliciel est installé. Les maliciels voleurs d'informations sont souvent cachés dans des applis mobiles, d'apparence légitime mais malveillantes.
3. L’écrémage numérique (digital skimming)
Parfois, les pirates installent aussi du maliciel sur les pages de paiement des sites d’e-commerce. Invisible pour l'utilisateur, il survole les détails de votre carte au fur et à mesure de leur saisie. Les utilisateurs ne peuvent pas faire grand-chose pour rester en sécurité, uniquement faire leurs achats auprès de grandes marques et sur des sites pouvant être plus sécurisés. Les détections d'écrémage numérique (Detections of digital skimming) ont augmenté de 150 % entre mai et novembre 2021.
4. Violations de données
Parfois, les détails de la carte sont volés aux entreprises (are stolen direct) avec lesquelles vous faites affaire - fournisseur de soins de santé, magasin d’e-commerce, organisation de voyages. Il s'agit d'un moyen peu cher car les pirates ont accès à une énorme quantité de données en une seule attaque alors que les campagnes d’hameçonnage les obligent à voler des individus un par un, bien que ces attaques soient souvent automatisées. La mauvaise nouvelle : 2021 a été une année record pour les violations de données aux États-Unis.
5. Wi-Fi public
Parfois, c’est tentant de surfer gratuitement sur des Wi-Fi publics (public Wi-Fi hotspots) - dans les aéroports, hôtels, cafés et autres espaces partagés. Même s’il faut payer pour rejoindre le réseau, ce n'est peut-être pas sûr surtout si des pirates l'ont fait, eux-aussi. Ils peuvent utiliser cet accès pour espionner vos informations au fur et à mesure que vous les introduisez.
Comment protéger les détails de votre carte
Heureusement, il y a de nombreuses façons de limiter le risque de vol des détails de votre carte :
• Soyez vigilant : ne répondez jamais ni ne cliquez sur les liens dans des pièces jointes ouvertes de mails non sollicités. Ils peuvent être chargés de maliciels ou vous conduire à des pages d’hameçonnage d'apparence légitime où vous pouvez saisir vos coordonnées.
• Par téléphone, ne donnez pas de détails même si la personne semble convaincante. Demandez d'où elle appelle et rappelez cette organisation pour vérifier, mais n'utilisez pas les numéros de téléphone qu'elle vous donne.
• Si vous ne disposez pas d'un réseau privé virtuel, n'utilisez pas Internet sur le Wi-Fi public. S’il le faut absolument, ne faites rien nécessitant la saisie des détails de la carte (achats en ligne).
• Ne stockez pas les détails de la carte sur les sites d’achats en ligne ou autres, même si cela vous fera gagner du temps lors de vos prochaines visites. Cela limite le risque que les détails de votre carte soient volés si cette société ou si votre compte est piraté.
• Sur tous les ordinateurs portables et autres appareils (téléphones, tablettes) téléchargez l'anti-malware et la protection anti-phishing d'un fournisseur de sécurité réputé tel qu'ESET.
• Utilisez l'authentification à deux facteurs sur tous les comptes sensibles. Cela limite les chances que des pirates les ouvrent avec des mots de passe volés/hameçonnés.
• Téléchargez uniquement des applis de magasins légitimes (Apple App Store, Google Play).
• Si vous achetez en ligne, faites-le uniquement sur les sites HTTPS (avec cadenas dans l’adresse du navigateur à côté de l'URL). Ainsi, il y a moins de chance que vos données soient interceptées.
Il est recommandé de garder un œil sur tous vos comptes bancaires et cartes. Si vous remarquez des transactions suspectes, contactez immédiatement l'équipe anti-fraude de votre banque/fournisseur de carte. Certaines applis vous permettent de "geler" les dépenses sur des cartes spécifiques jusqu'à ce qu’on détermine s'il y a eu une faille sécuritaire. Pour les pirates il y a de nombreuses façons d'obtenir les détails de nos cartes, mais nous pouvons également faire beaucoup pour les tenir à distance.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et
https://www.eset.com/be-fr/ .