Une recherche a été effectuée sur environ 4 millions de cartes bancaires piratées puis vendues 10 dollars sur le Dark Web. 5 méthodes plus courantes sont utilisées. Personne n’est à l’abri de ces attaques, parfois, il vaut mieux prévenir que guérir en prenant toutes les mesures de sécurité possibles.
4 millions de cartes bancaires piratées : comment se passe cette arnaque ?
Parmi les méthodes utilisées figurent les attaques dites « par force brute ». Un peu comme un voleur déchiffrant une serrure de coffre-fort. Les pirates essaient de deviner le numéro de carte, la date d’expiration et le CVV (Card Validation Value) en vérifiant une combinaison. Mais ce qui prend une éternité pour notre voleur n’est que de six secondes pour un ordinateur, qui peut essayer des milliers de fois par seconde. Et même si certains systèmes limitent le nombre de tentatives éphémères pour éviter ce type d’attaque, il existe des moyens de les éviter.
Le système de paiement en ligne n’autorise qu’un certain nombre de tentatives depuis un même site. Aussi, il ne détecte pas toujours certaines demandes de paiement invalides provenant de différents sites. Il n’est pas nécessaire de deviner tous les numéros, car certains peuvent être facilement devinés. Par exemple, les 6 premiers chiffres indiquent la banque et le type de carte. Ils sont alors pareils pour chaque carte d’un fournisseur unique. Le 16ᵉ chiffre est juste une vérification pour déterminer s’il y a des erreurs lors de la saisie du numéro. Il ne reste donc que 9 numéros à deviner. En ce qui concerne la date d’expiration, les banques émettent généralement des cartes valables 60 mois. Par conséquent, deviner la date nécessite jusqu’à 60 tentatives.
Cette “attaque par force brute” est la plus observée dans l’étude de NordVPN. “Pour la simple raison qu’elle ne requiert pas de compétences particulières ou d’algorithmes complexes : il s’agit simplement d’un jeu de devinettes qui nécessite uniquement certaines ressources : du temps, de la puissance de calcul et un type particulier de logiciel utilisé par les criminels”.
Les cartes Visa sont notamment délicates
Sur les 4 millions de cartes vendues sur le Dark Web et analysées par NordVPN, plus de la moitié d’entre elles étaient des cartes Visa (2,4 millions), suivies par MasterCard (1,6 million) et American Express. La différence de vulnérabilité s’explique par le nombre de fois que la carte est autorisée à être activée. C’est-à-dire, entre 30 et 40 pour les cartes Visa. Cela les rend spécialement vulnérables, contre environ 10 pour MasterCard et encore moins pour American Express. Selon un porte-parole de NordVPN, “l’idéal serait que toutes les banques adoptent la méthode des cartes American Express pour chaque type de cartes”.
Toutefois, il y a d’autres méthodes pour découvrir les numéros des cartes bancaires. Il s’agit d’une injection SQL ciblant à la fois les particuliers et les entreprises. Les pirates manipulent les bases de données en pénétrant dans le code SQL (Structured Query Language) pour accéder à des informations potentiellement sensibles. Les entreprises sont des cibles parfaites, car leurs bases de données sont une mine d’or pour les cybercriminels. Cela, à cause des informations financières qu’elles comprennent. Pour les particuliers, Daniel Markuson, expert en cybersécurité chez NordVPN, recommande “d’utiliser des cartes virtuelles à usage unique”. Et de “ne jamais sauvegarder ses coordonnées bancaires sur les sites marchands”. Pourquoi ? Afin de ne pas voir son numéro de carte sur le Dark web. En règle générale, vous devez vérifier régulièrement votre compte et signaler aussitôt toute transaction inhabituelle.