Histoire vécue : comment mon amie s’est fait vider son compte bancaire à Singapour
Lors d’une récente visite à Singapour, une connaissance m’a raconté une bien mauvaise expérience qui lui est arrivée. Sa carte de débit a été piratée et près de 500€ ont été extraits de son compte. C’est un incident assez courant, mais si elle avait fait preuve d’un peu plus de vigilance, cela ne serait peut-être jamais arrivé.
Elle a effectué trois transactions avec sa carte de débit Visa. La première était au bar sur le toit du Marina Bay Sands où elle a payé des cocktails. Le barman a pris sa carte et est revenu une minute plus tard avec un clavier lui demandant d’entrer son code PIN. Les deux autres transactions ont eu lieu à l’aéroport de Singapour le lendemain matin, où elle a utilisé la même carte pour régler des achats dans une pharmacie et dans un café. Elle aurait normalement payé ces petits achats en liquide, mais elle venait d’utiliser le reste de sa monnaie de Singapour pour payer un taxi jusqu’à l’aéroport.
Lors de l’une de ces trois transactions, les détails de sa carte ont été piratés. Les « skimmers » sont des lecteurs de cartes qui récupèrent les données de la bande magnétique de la carte et/ou de la puce sans contact de la carte bancaire (RFID / NFC). Ils peuvent être intégrés à un lecteur de cartes légitime ou être un dispositif distinct qu’un vendeur utilise pour passer la carte une seconde fois hors de la vue du titulaire.
Un autre ingrédient est votre code PIN, obtenu par une caméra cachée, en insérant un tampon sensible à la pression sous le clavier ou simplement en regardant discrètement lorsque vous tapez le code. Attention, dans le cas d’un piratage sans contact, le code PIN n’est pas nécessaire afin de cloner la carte. En effet, vous l’aurez remarqué, nul besoin de code PIN pour payer sans contact. Dans ce cas de figure, les escrocs seront limités aux paiements sans contact après le clonage, ou pourront faire des achats sur des sites internet ne réclamant pas le code CVD (comme Deliveroo, et bien d’autres).
Dans son cas, elle a saisi son code PIN alors que le clavier était posé sur le comptoir, et le caissier aurait pu la voir. Un fraudeur équipé d’un smartphone muni d’une caméra thermique FLIR ONE aurait pu également capturer la signature thermique que ses doigts sur le clavier. Tout ce que le voleur de code PIN doit faire, c’est passer son smartphone équipé de FLIR ONE au-dessus du clavier sur lequel elle vient de taper son code PIN et bingo, l’image thermique révèle les chiffres sur lesquels elle vient d’appuyer. Non seulement les chiffres sont révélés, mais les différentes couleurs sur l’image montrent l’ordre dans lequel ils ont été pressés !
Un voleur n’a plus qu’à télécharger les informations recueillies par le skimmer et à les imprimer sur une fausse carte et payer des marchandises.
Après Singapour, de retour en France, lorsqu’un retrait a été refusé, elle a compris que les choses n’allaient pas. Elle a vérifié mon compte en ligne et il y avait quatre retraits non autorisés dans un hôtel de Jakarta. Le premier était d’un montant de 459,44 $, suivi de trois autres d’un montant de 268,31 $ chacun, tous le même jour. Après ça, sa banque a bloquer le compte.
Lorsque elle signalé le vol à BNP fin décembre, on lui a dit que cela pouvait prendre quelque temps afin d’effectuer les investigations. Moins de deux semaines plus tard, tous les fonds manquants ont été rétablis sur son compte.
Le lieu du piratage a probablement eu besoin d’une organisation méticuleuse. Le voleur doit s’emparer des informations, ce qui nécessite généralement que quelqu’un collecte physiquement les données. La personne qui se trouve au point de vente reçoit une commission, généralement comprise entre 10 et 50 €, pour chaque carte scannée (en France). Il existe également des dispositifs de piratage sans contact. Une fois installé, l’escroc peut récupérer les informations sur un smartphone à plusieurs mètres de distances avec un appareil spécial muni d’une antenne directionnelle.
Pour vous protéger des voleurs utilisant cette technique, nous vous conseillons de vous équiper d’un système de blocage sans contact RFID, comme NoPickpocket. Très peu couteux et automatique, il assure une protection optimale de vos cartes bancaires en bloquant les ondes sans contact des appareils pirates. Les voleurs perdent ainsi la capacité de scanner vos cartes à votre insu. Méfiez vous des protections de type portefeuille bloqueur d’ondes RFID qui en général ne sont pas 100% efficaces.
Cinq protocoles simples à adopter chaque fois qu’une carte quitte votre portefeuille
- On ne laisse jamais personne tenir sa carte pour faire un paiement sans contact ou autre.
- La plupart d’entre nous ont appris à couvrir le clavier d’une main lorsqu’ils composent leur code PIN à un distributeur automatique. Nous sommes beaucoup moins susceptibles de le faire lorsque nous faisons de même dans un restaurant, un magasin ou un bar. Couvrez le clavier chaque fois que vous tapez votre code PIN.
- Soyez attentif aux personnes qui pourraient se trouver dans les environs lorsque vous utilisez votre carte.
- Lorsque vous tapez votre code PIN, laissez poser 2 doigts sur d’autres touches du clavier sans les presser. Cela laissera une signature thermique brouillée pour tout escroc qui utiliserait un dispositif d’imagerie thermique.
- Limitez les transactions de débit et de crédit effectuées à l’étranger aux seuls achats importants. L’argent liquide est roi (enfin, jusqu’à ce que les gouvernements le fasse disparaitre au profit des € et $ numériques…).