Une nouvelle arnaque permet de dupliquer le code de carte bancaire à distance
Le 25 avril 2022 à 07h41
2 min
Sciences et espace
Sciences
Deux ressortissants bulgares ont été interpellés et mis en examen pour avoir déployé un nouveau système d'arnaque à la carte bancaire, révèle 20 minutes.
Ils sont soupçonnés d'avoir installé des « boîtiers pirates dans onze parkings ou stations-service de la petite couronne parisienne entre les mois de février et d’avril. Au total, un peu plus de 300 personnes auraient été victimes de cette arnaque, pour un préjudice estimé à quelque 39.000 euros ».
D'ordinaire, explique une source proche de l’enquête, « les malfaiteurs récupéraient les données contenues sur les pistes bancaires, les 16 chiffres, la date de validité, le cryptogramme, souvent pour les revendre, précise cette même source. Ce qui est nouveau, c’est que cette fois, ils sont parvenus à dupliquer le flux de données qui entre et sort de la puce. »
Ce qui permettait aux escrocs d'effectuer des retraits au moment où les victimes entraient leurs codes dans un autre DAB à quelques kilomètres de là, en temps réel :
« C’est cette simultanéité qui a mis la puce à l’oreille du GIE. En plus d’alerter les autorités, l’organisme a également mis en place une nouvelle sécurité qui a permis de limiter le préjudice. »
« C’est la première fois que ce type de fraude est détectée sur notre territoire, mais une alerte similaire a été émise à la mi-mars à Londres », précise une source policière.
Le 25 avril 2022 à 07h41
Commentaires (40)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/04/2022 à 08h08
Flippant. On n’arrête pas le progrès.
Le 25/04/2022 à 09h09
Clairement, ça commence à être vraiment compromis maintenant. :/
Le 25/04/2022 à 08h44
Je suis curieux de savoir comment ils ont fait pour “dupliquer le flux de données” :O
edit : ah ok c’est le lecteur vérolé qui envoie à un complice le code
Le 25/04/2022 à 08h54
On pouvait se douter que la fréquence/simultanéité des opérations était un déclencheur d’alarme.
Les mecs auraient attendus qq minutes/heures avant de tirer de l’argent et ca passait.
Quel dommage !
Le 25/04/2022 à 09h24
pas certain, il me semble qu’il y a une histoire du genre profiter du jeton en cours, qui aurait été périmé dès la première transaction clôturée (ou après une durée de validité courte) . ça me semble bizarre mais ça doit ressembler à ça.
Le 25/04/2022 à 09h33
Apparemment la simultanéité est nécessaire pour que cette arnaque fonctionne (chiffrement aléatoire ?) donc c’est rapidement détecté fort heureusement.
Le 25/04/2022 à 09h50
De fait, ce genre d’opération doit avoir un chiffrement avec une clé de très court temps de vie. La même requête 10 min plus tard n’aurait pas été valide (clé expirée)
Le 25/04/2022 à 10h13
En fait la “carte” fixée dans la fente qui capte les données les envoie à un boîtier collé dans un coin discret de l’automate, lequel les transmet en 4G à un complice qui encode à la volée une CB avec les données reçues.
Le 28/04/2022 à 07h12
merci !
Le 25/04/2022 à 10h28
Donc en temps réel ils envoyaient les messages du DAB distant “pirate” à la carte via le lecteur vérolé. Le DAB distant pensait alors avoir la vrai carte insérée
C’est dingue et ingénieux comme technique ! Bon par contre, c’est assez simple à bloquer :
soit la carte refuse deux transactions simultanées / trop proches de deux périphériques différents, ou alors un capcha en mode protection de jeu CPC464 : quel est le 12ème caractères de la 7ème ligne du texte au dos de votre carte :)
Impossible, c’est la carte qui chiffre la transaction une fois déverrouillée avec le code. La carte est un composant actif, c’est elle qui contrôle le code et autorise la transaction. Dès que tu n’y as plus accès impossible de faire quoi que ce soit.
Le 25/04/2022 à 10h32
Hello, je ne sais pas si un contrôle physique et régulier des accès CB (parking, automates banques, stations essences, transports en commun, etc.) par un organisme certifié existe ?
Ce serait à la fois un bon business et une sécurité relative pour les gens en plus d’un gage de sérieux pour les entreprises.
Là, quand je mets la carte dans la fente, j’ai parfois le stress de savoir si celle-ci n’a pas été trafiquée sans avoir aucun indice pour le savoir.
Le 25/04/2022 à 12h39
Question accessoire : ces types vont-ils pouvoir être expulsés de France ou des pleureuses droits-de-l-hommiste vont-ils l’en empêcher ?
Le 25/04/2022 à 12h51
Bulgarie. Donc UE. Donc c’est super chaud de les expulser. En pratique pour ce genre de faits on ne peut pas.
Pas contre, le président bulgare est pro-russe : on peut pt etre utiliser cet argument pour les renoyer
Le 30/04/2022 à 06h48
faudra penser a mettre a jour ton logiciel, la bulgarie n’a plus de gaz et refuse de payer en rouble
Le 25/04/2022 à 13h14
En pratique, pas toujours facile, mais en théorie (EUR-Lex) :
Mais de la théorie à la pratique…
Le 25/04/2022 à 13h25
C’est plutôt ca :
Service Public
Le 25/04/2022 à 13h33
Beaucoup d’immigrés se noient avant d’arriver, mais toi tu veux renoyer ceux-là ?
Le 25/04/2022 à 14h20
Et attendez que le PIN online soit généralisé, ça sera la fête pour les malfaiteurs. Une nouvelle surface d’attaque !
Le 25/04/2022 à 15h56
c’est quoi le PIN online ?
Le 25/04/2022 à 14h37
Noyer les survivants du 1er naufrage
Le 25/04/2022 à 15h48
Mon père disait :” Je suis magnanime. Vous serez fusillés puis pendus. Comme ça, vous aurez une chance si la corde casse…”
Le 25/04/2022 à 15h08
Le 25/04/2022 à 16h52
Si je comprends bien, les malfaiteurs interceptaient le code et dupliquaient les données de la piste magnétique. Pourquoi gère-t-on encore cette passoire qu’est la piste magnétique ? Même les USA sont passés à la puce !
Le 25/04/2022 à 17h00
La vérification du PIN par le serveur d’autorisation au lieu de le faire en local sur la CB.
Le PIN classique dans la carte permet de déverrouiller la clé privée qui permet de valider une transaction. Si 3 PIN faux sont entrés à la suite, la clé privée est irrémédiablement détruite sur la carte, la rendant inutilisable. Cette méthode est ultra sécurisé, mais génère du support humain et de la refabrication de carte quand la carte est bloqué.
A l’inverse, le PIN online est vérifié par le serveur d’autorisation à chaque transaction, donc transite par le réseau. Ca permet de ne jamais bloquer la carte physiquement, mais aussi de pouvoir changer le code PIN (puisqu’il n’est pas situé dans la carte mais sur les serveurs de l’émetteur).
A prendre ce qui suit avec des pincettes, mais il me semble que les clés de chiffrements de communication entre les terminaux et serveur sont dérivées une première fois par terminal, puis une seconde fois à chaque transaction. Ce qui fait que chaque transaction est unique, et nécessiterait, pour un vol de code PIN, une extraction de la clé de chiffrement du terminal, qui est physiquement protégé et donc extrêmement difficile (pour ne pas dire impossible).
Autrement dit, c’est beaucoup plus simple de coller une caméra qui film l’utilisateur en train de taper le code.
Le 25/04/2022 à 17h57
Ce que je trouve dingue dans cette histoire, c’est que les malfaiteurs ont manifestement de très bonnes compétences en hacking, électronique et terminaux de paiements, et qu’ils ont mis ces compétences en œuvre pour “seulement” 39000€, soit 10000€ chacun et par mois. Je trouve ça fou vis-à-vis du risque.
Ils auraient pu se faire la même somme en quelques mois en travaillant dans une fintech ou un cabinet d’expertise en sécurité informatique, de manière tout à fait honnête.
Peut-être songaient-il passer sous les radars pendant quelques années, le temps d’amasser le pactole ?
Le 25/04/2022 à 18h17
Ce ne doit pas être les spécialistes de la technique qui s’occupent des bases besognes. Ils doivent mettre des kits à disposition pour qu’ils soient utilisés un peu partout dans le monde.
Le 25/04/2022 à 18h34
Je pense que cela nécessite que la carte soit toujours insérée pour fonctionner, donc d’être simultanée (pour que ça fonctionne par chip/emv au lieu du swipe). Car techniquement, je ne vois pas comment cela pourrait être exploité sinon pour des retraits DAB (en utilisant le chip).
Ce n’est pas ça que j’en comprends. Ils dumpaient la piste / cvv mais pas pour la transaction mais pour le revendre pour plus tard (c’est très classique ça) Ce qui est nouveau, c’est d’utiliser le chip (emv) pour passer une transaction. Car si tu skim une carte, tu ne peux pas faire de retrait en DAB via la piste pour une EMV à ma connaissance en France.
Mais il y a pire que la piste magnétique : les cartes “embossés”. Si t’es chiffres ressortent, il est toujours possible de payer dans certains pays avec un “sabot” sans vérification sur le moment. Tu passes ta cartes et tu signes un papier carbone qui est envoyé comme un chèque. Je n’ai pas trouvé de statistiques, mais je pense que c’est rare aujourd’hui et la dernière fois que j’ai vu ça en Europe en fonctionnement c’était en 2010.
Pour les pistes magnétique, même l’Inde l’abandonne depuis quelques années (Même si c’était bien pratique, car cela permettait de ne pas laisser la carte dans le distributeur en cas de TRES fréquentes coupure de courant). Maintenant, la carte est retenue mais quand même sortable mécaniquement (avec des indications sur l’ATM pour éviter de le faire en fonctionnement). Et le sans contact facilite le paiement sur mobile (comme par exemple en Amérique latine ou les gens utilisaient des smartphones avec sur le port jack un micro swipe pour la piste, maintenant cela passe en NFC pour le paiement).
Après certains pays n’utilisent que très peu les cartes de crédit (exemple la Chine), c’est ptêtre l’occasion d’abandonner les supports physiques.
Le 25/04/2022 à 21h09
De ce que j’ai pu retenir la carte embossée est encore bcp utilisé en Asie et quelque peu en dans des pays en Afrique ( aussi Canada ).
Par contre abandonner le support physique soit tant qu’il reste la monnaie fiduciaire :o
Le 25/04/2022 à 18h44
Clairement, les mecs qui ont les compétences pour créer ce genre de bidules sont pas assez cons pour les utiliser eux mêmes et se faire gauler, c’est plus rentable et bien moins risqué de vendre des kits de mise en œuvre + manuel sur le net (darknet voir carrément ebay ou Aliexpress et cie) à des trous d’uc de bas étage comme les 2 qui se sont fait choper ici.
Le 26/04/2022 à 05h22
Au final de ce que je comprends, le maillon faible de la chaîne reste le TPE qui peut être potentiellement vérolé moyennant modifications physique.
A défaut de pouvoir les inspecter trop souvent, sont-ils vraiment physiquement sécurisés (ou alors le pékin moyen peut venir les ouvrir avec trois tournevis) ? Une supervision distante de leur intégrité ne serait-elle pas envisageable ?
Je ne connais pas les protocoles qui sont derrières, mais comme en sécurité c’est majoritairement le jeu du chat et de la souris, je me demandais quelles possibilités le chat pourrait avoir pour s’y protéger.
Le 26/04/2022 à 05h38
Le chat ne se protège pas de la souris, au mieux il sécurise son gruyère.
La souris, elle, se fait défoncer avec le gruyère au bord des lèvres.
Sinon le distributeur n’est pas modifié ni ouvert, il fait son job en toute intégrité.
Ils rajoutent juste un “wrapper” dessus, genre un truc aimenté et alimenté par batterie qui en profite pour prendre quelques infos au passage.
Le 26/04/2022 à 07h09
bah ici comme ça lit la puce c’est pas un simple truc ajouté dessus, mais ça devait un lecteur un peu plus costaud.
Le 26/04/2022 à 07h29
Depuis quelques temps je vois des stations services qui ont des systèmes plus élaborés au niveau de la fente pour insérer la carte, je suppose pour rendre compliqué l’utilisation de ce genre de systèmes. Et ça rend d’ailleurs la carte moins pratique à insérer ^^
Le 26/04/2022 à 16h36
Si je comprends bien, l’intermédiaire insère une fausse carte relais qui transfère les pistes de data de la puce dans l’emplacement légitime et son interface fait office de MITM ?
Le système ne pourrait pas détecter ce genre d’intrusion ?
Ah oui j’ai aussi remarqué que dans les stations service à CB l’insertion est désormais très en profondeur (ce n’est pas sale). Cela peut être en effet une méthode pour empêcher de poser un appareil par dessus.
Le 26/04/2022 à 05h32
oui c’est une arnaque connue sur les pompes à essence aux EUs. il faut secouer le boîtier de paiement pour détacher le faux du vrai
Le 27/04/2022 à 09h30
Le 27/04/2022 à 13h01
les travailleurs salariés et non salariés ne doivent remplir aucune autre condition ;
Et pourtant, en Espagne, le NIE (Numéro d’Identification des Etrangers) est obligatoire pour
travailler/SECU/banque, etc. Même pour des membres de l’UE.
Difficile à obtenir, aberation…
https://www.tas-consultoria.com/fr/entreprendre-espagne/creation/etapes/obtention-nie/
Le 27/04/2022 à 19h44
La Bulgarie pro-russe ? Elle vient d’être coupée du gaz russe. Ne confondrais-tu pas avec la Hongrie d’Orban ?
Le 27/04/2022 à 20h36
Pas la Bulgarie. Radev, le “général rouge”, même s’il s’en défend.
https://www.rtbf.be/article/en-bulgarie-le-president-sortant-roumen-radev-reelu-pour-poursuivre-le-changement-10883113
Le 29/04/2022 à 13h26
Cela voudrait dire qu’une transaction n’est pas signée avec la carte en fonction du montant et de l’identifiant du terminal et/ou que celui-ci n’a pas contre-validé la signature en vérifiant que c’était bien le bon montant et son identifiant avant de l’envoyer à la centrale de traitement ?
Ou alors un truc m’échappe.