Encaissement PIN

Qu’est-ce que l’encaissement par code PIN?

L’encaissement de NIP est un type de fraude dans lequel l’utilisation d’informations de carte de débit ou de crédit volées permet à un voleur d’accéder à la banque ou au compte de crédit du titulaire de la carte. En règle générale, l’encaissement de NIP implique l’utilisation d’un guichet automatique (GAB) pour retirer des fonds une fois que le numéro d’identification personnel  (NIP) de la carte est connu. Cette version de la cybercriminalité est le résultat d’une violation de données lors du traitement de la carte.

Comprendre l’encaissement par code PIN

L’encaissement du code PIN tire parti de l’une des fonctionnalités de sécurité les plus élémentaires des cartes de débit, l’utilisation d’un code PIN à plusieurs chiffres. Le titulaire de la carte crée le code PIN. Lorsque le propriétaire de la carte insère ou glisse la carte de débit dans un guichet automatique, ou effectue un achat dans un magasin, il entre le code PIN dans le terminal pour un traitement de transaction. Aux États-Unis, les cartes de crédit ne nécessitent pas la saisie d’un code PIN pour le traitement, à moins que le propriétaire ne souhaite retirer de l’argent à un guichet automatique. Cependant, en Europe, l’utilisation d’une carte de crédit lors d’un achat en magasin nécessite également la saisie d’un code PIN.

Les pirates peuvent accéder au système informatique d’une banque, d’un magasin de détail ou d’autres entreprises qui traitent les transactions par voie électronique. Les institutions sont souvent ciblées si leurs systèmes de sécurité sont faibles. Les voleurs utilisent cet accès non autorisé pour voler des informations de compte confidentielles.

Dans certains cas, les pirates peuvent supprimer les limites de retrait en manipulant les paramètres du système de sécurité.

La violation de Home Depot

La violation en 2014 des terminaux de paiement en libre-service de Home Depot est devenue l’un des cas les plus remarquables de vol de données de carte. Cet événement a compromis la sécurité de quelque 50 millions de cartes de crédit et de débit. La société n’a vu aucune preuve de la révélation des codes PIN, mais les experts en sécurité ont montré comment des voleurs disposant de plusieurs points de données clés sur un client pouvaient facilement glaner des informations d’identification personnelle  (PII) sur le titulaire de la carte à partir de l’exploration illégale de données. Des informations suffisantes pour réinitialiser les codes PIN sur les sites Web bancaires

Par exemple, les voleurs de Home Depot pourraient faire correspondre les numéros de carte de crédit, les noms des titulaires de carte et les codes postaux des magasins. Étant donné que de nombreux clients vivent dans le même code postal que leur Home Depot local, cela a effectivement révélé le code postal du titulaire de la carte. Armés de ces informations, les voleurs pourraient exploiter les numéros de sécurité sociale, les dates de naissance et d’autres données personnelles qui leur permettraient de changer de code PIN.

Pendant ce temps, des anneaux de vol sophistiqués peuvent imprimer des informations de carte volée sur de nouvelles cartes factices. La fausse carte, armée d’un code PIN de réinitialisation, permet de vider les espèces des distributeurs automatiques de billets.

Home Depot n’est pas le seul à voir des failles de sécurité compromettre les informations des utilisateurs. Parmi les autres entreprises victimes figurent Panera Bread, MyFitnessPal, Sonic Drive-In et même le géant de l’évaluation du crédit, Equifax.

Les nouvelles technologies aident les criminels à encaisser leurs codes PIN

Les banques, les magasins et les sociétés de cartes de crédit se sont battus contre l’encaissement des codes PIN. Les nouvelles puces électroniques des cartes de crédit  (EMV) pour Europay, Mastercard et Visa sont beaucoup plus difficiles à contrefaire que les anciennes cartes à bande magnétique. Les cartes EMV utilisent la technologie dite du code tournant, générant un nouveau code de paiement à chaque achat. Même ainsi, les experts affirment que la défense contre l’encaissement de codes PIN et d’autres formes de vol de données de cartes nécessitera une vigilance constante.

Un vol de carte de crédit et de débit peut se produire dans n’importe quel magasin, bar ou restaurant où votre carte est hors de votre vue pendant le traitement. Les voleurs ont des skimmers portables qui peuvent tenir dans une poche et les utilisateurs peuvent scanner illégalement votre carte à votre insu. À titre d’exemple, en 2018, une serveuse du restaurant Oklahoma City Twin Peaks a été capturée par les caméras de surveillance à l’aide d’un skimmer de la taille d’un glaçon dissimulé dans la poche de son pantalon.

Les criminels peuvent également échanger des lecteurs de cartes valides dans les stations-service et autres points de vente (PDV) par un lecteur modifié. Le lecteur modifié transférera les données via une connexion Bluetooth. Les claviers peuvent avoir une superposition imprimée en 3-D qui captera et transmettra votre entrée PIN. Ils ont même été connus pour localiser de petites caméras à broches dans les produits à vendre à proximité des guichets automatiques des magasins pour enregistrer les entrées de code PIN des cartes écrémées.

Les données du FICO indiquent qu’en 2017, le nombre de DAB et d’appareils de point de vente compromis a augmenté de 8% et que le nombre de cartes de débit compromises a augmenté de 10% dans la même étude.