La fraude au paiement en ligne est un cauchemar pour les consommateurs comme les e-commerçants. Dans leur grande majorité, ces fraudes ciblent les paiements par carte bancaire, dont les données peuvent être récupérées par les hackers pour initier des transactions frauduleuses.
Les numéros de carte volés sont très souvent revendus sur le dark web, puis testés par les fraudeurs via un processus que l’on appelle le carding. Pour limiter les pertes aussi bien du côté des acheteurs que des entreprises, voici quelques pistes pour mieux comprendre comment fonctionne le carding et comment s’en protéger.
Le carding est une forme de fraude au paiement en ligne qui fonctionne en utilisant les informations de cartes bancaires volées. Pour tester si les numéros d’une carte sont toujours valides - parce que son détenteur n’a pas encore fait opposition à sa carte ou ne s’est pas rendu compte que ses données avaient été hackées - les fraudeurs vont lancer plusieurs transactions sur des sites d'e commerce jusqu’à ce que l’un de leurs paiements en ligne soit validé.
On peut différencier plusieurs formes de carding. Plusieurs cartes peuvent ainsi être utilisées de manière successive et rapide pour des montants faibles et identiques, ou avec les mêmes informations et la même adresse IP. Dans d’autres cas, les hackers utiliseront plusieurs cartes avec des adresses de facturation différentes, mais un BIN (pour Bank Identification Number) identique.
C’est encore un peu flou ?
Une attaque par carding se déroulera généralement ainsi :
Les premières attaques par carding (qui remontent aux années 80-90) ont été initiées avec l’aide de personnes en interne, qui appelaient les consommateurs pour les inciter à communiquer les données de leur carte de crédit. Par la suite, les hackers ont commencé à utiliser le phishing pour récupérer ces informations, en se faisant, par exemple, passer dans les années 90 pour des membres du support d’AOL.
Aujourd’hui encore, le phishing reste le moyen le plus couramment utilisé par les fraudeurs au paiement en ligne pour obtenir les informations de carte de crédit. Les hackers mènent également des attaques via des malware rootkit et la prise de contrôle non autorisé de compte. Récemment, un groupe de hackers se faisant appeler EvaPiks a même réussi à compromettre les appareils d’ambassades (notamment d’Italie et des Etats-Unis) et à en prendre le contrôle via TeamViewer.
Une autre technique populaire utilisée pour le carding est l’écrémage qui consiste à récupérer les informations de cartes de crédit stockées sur sa bande magnétique grâce à un appareil (le skimmer). Ces données sont ensuite revendues en ligne, sur des sites comme CarderPlanet, initié par des hackers russes. Pendant plusieurs années, ce forum est devenu la plus grande place de marché de numéros de CB volés (avec plus de 7 000 membres et 1,7 millions de cartes de crédit et des pertes de plus de 4,3 millions de dollars).
La prévention en matière de carding commence par reconnaître les signes d’une attaque. Si l'un des événements suivants se produit, il y a de fortes chances que votre site d'e commerce soit la cible de cette fraude au paiement en ligne :
Plusieurs solutions existent pour se protéger contre ce type de fraudes au paiement en ligne, et notamment :
Une approche plus proactive de lutte contre le carding peut également consister pour les ecommerçants à proposer à leurs clients des méthodes de paiement plus sécurisées. Le paiement en ligne de banque à banque ne nécessitant pas l’utilisation de la carte bancaire, il permettra aux acheteurs de protéger leurs données sensibles.
Pour les particuliers, il existe également des moyens de se protéger contre cette fraude au paiement en ligne. Un malware efficace permettra notamment de contrer les rootkit et le simple fait d’éviter les sites commerçants ou les messages suspects limitera votre exposition aux hackers.
Le plus efficace reste cependant de passer à un moyen de paiement en ligne plus sécurisé, qui ne nécessitera pas pour vous de communiquer les informations de votre carte bancaire. Le paiement de banque à banque est une alternative à la fois pratique et efficace, qui vous protégera des attaques par carding.
Pour faire mon shopping en ligne plus vite et en toute confiance, je télécharge Stan.