Le carding est un terme générique de fraude désignant le fait de tester des cartes volées. Toutefois, on en parle généralement pour désigner le fait d’utiliser une grande quantité de cartes volées via une attaque menée par un ou plusieurs « carder(s) » sur un ou plusieurs site(s) e-commerce, celle-ci permettant de vérifier la validité des cartes. Ces attaques se font via des bots, des programmes informatiques permettant de réaliser des opérations automatiques en grand nombre. Cela permet aux carders d’augmenter significativement la vitesse, et donc l’ampleur d’une attaque, ainsi que de la faire durer dans le temps.
Objectif : identifier les cartes qui pourront être utilisées afin de revendre les données, les utiliser pour acheter des biens/services, ou pour commettre d’avantage de fraude. Risques pour les commerçants : réception de multiples chargebacks, mauvaise image de la boutique qui n’aurait pas su repérer l’attaque.
Ces carders savent établir des plans que nous savons déchiffrer !
Le plan machiavélique
Il existe malheureusement de nombreuses méthodes pour obtenir des données de carte, parmi celles-ci :
Le phishing/spoofing : la victime reçoit un mail/SMS provenant soi-disant du centre des impôts, du service des amendes, de la sécurité sociale, etc ; clique sur le lien, et remplit les informations demandées (en général, données de carte et informations de contact) –> à ce stade, pas de paiement. Relativement rapidement ensuite, la victime est contactée par téléphone par le fraudeur (alloteur) se faisant passer pour une entité légitime (banque en général) qui, en faisant appel au sentiment d’urgence (“vous êtes victime d’une fraude, il faut faire quelque chose, je vais vous aider !”) parvient à ce que le porteur de carte valide des opérations bancaires en 3DSecure (« il faut que vous validiez pour annuler »)
Attaque de malware : typiquement, cliquer sur un lien corrompu présent dans un email, qui installe un software malicieux, difficilement détectable, qui collecte les informations de carte/compte.
Skimming : un module discret est attaché à un distributeur de billets, un automate, un TPE, et collecte les informations de carte.
Hacking : attaquer la page de paiement d’un commerçant afin de récupérer les données de carte, ou carrément détourner les flux.
Ou plus simplement… acheter une liste de cartes sur le darknet. Pour indication, une carte française coûte en moyenne 14€ sur le darknet, contre 8,5€ au global.
Leurs objectifs
Les fraudeurs peuvent bien évidemment utiliser les cartes, une fois validées, sur n’importe quel site e-commerce (achat de bien physique livré chez une mule, achat de service, service d’abonnement…).
Une technique plus courante est d’acheter massivement des cartes cadeaux/cartes prépayées pour pouvoir blanchir directement l’argent volé. Ils peuvent ensuite utiliser ces cartes, ou les revendre.
Les fraudeurs aiment aussi faire des virements directement sur des comptes qui l’autorisent (en général, ces virements sont plutôt en milliers d’euros qu’en centaines…)
Vendre la liste des cartes sur le darknet.
Le prix à payer (peut-être en plusieurs fois ou directement par carte éventuellement 😉) : 7 ans de prison et 750.000€ d’amende pour un fraudeur seul, 10 ans de prison et 1.000.000€ en cas de crime en bande organisée.
La bataille est donc déclarée!
L’objectif premier : empêcher les fraudeurs d’entrer !
CAPTCHA : vous pouvez choisir le niveau de sécurité afin d’être +/- disruptif pour vos acheteurs, toutefois environ 50% des CAPTCHA sont validés… par des bots.
MFA (Multi-Factor Authentification) : très efficace contre les attaques de bots, mais crée beaucoup de friction pour les utilisateurs.
Bilan : ne jamais donner de crédit aux fraudeurs c’est s’allier avec les bons partenaires 😉
