Le carding est une pratique illégale qui consiste à obtenir, à trafiquer ou à utiliser des informations de carte bancaire sans autorisation, souvent pour acheter des cartes cadeaux ou des cartes prépayées. Le carding est synonyme d'usurpation d'identité, de pertes financières pour les particuliers et les entreprises ainsi que de nombreux autres cybercrimes.
Les pertes liées à la fraude à la carte dans le monde ont dépassé les 33 milliards de dollars en 2022. Pour lutter contre le carding, les organisations utilisent des mesures de sécurité telles que la tokenisation, le chiffrement, l'authentification à plusieurs facteurs et les systèmes de surveillance anti-fraude. Ce guide à destination des entreprises rassemble toutes les informations utiles sur le carding, notamment concernant son fonctionnement et les moyens de s'en protéger.
Sommaire
- Fonctionnement du carding
- Brève histoire du carding
- Rôle du Dark Web et des autres communautés en ligne dans le carding
- Conséquences du carding sur les entreprises et les consommateurs
- Conseils aux entreprises pour se protéger du carding
Fonctionnement du carding
Vol des informations de carte bancaire
Le processus de carding est initié par des acteurs malveillants, ou « carders », qui dérobent les informations des cartes bancaires, notamment par le biais de l'hameçonnage, du skimming, des violations de données ou de l'enregistrement de frappes.
Hameçonnage : utilisation d'e-mails, de sites Web ou de messages trompeurs pour inciter les particuliers à révéler des informations relatives à leur carte bancaire. Pour ce faire, ces acteurs malveillants se font souvent passer pour des entreprises ou des services légitimes.
Skimming : installation de dispositifs appelés « skimmers » sur les distributeurs automatiques de billets, les pompes des stations-service ou les terminaux de points de vente (PDV) pour capturer les informations des cartes bancaires physiques.
Piratage informatique : utilisation de logiciels malveillants, de ransomwares ou d'accès non autorisés pour infiltrer des systèmes informatiques ou des bases de données et voler des informations de cartes bancaires.
Enregistrement de frappes : utilisation d'un logiciel ou de matériel dédié pour enregistrer les frappes réalisées sur l'appareil d'une victime de façon à obtenir des informations de carte bancaire et d'autres données sensibles.
Injection SQL : insertion d'un code SQL malveillant dans la base de données d'un site Web afin d'extraire des données sensibles, notamment des informations de carte bancaire.
Shoulder surfing : arnaque qui consiste à voler les informations de carte bancaire en observant par-dessus l'épaule des victimes les données qu'elles saisissent aux distributeurs automatiques de billets et aux caisses des magasins.
Détournement de formulaires : compromission par des acteurs malveillants de formulaires en ligne se trouvant sur des sites Web légitimes et destinés à recueillir les informations relatives aux cartes bancaires des utilisateurs.
Fausses applications et faux sites Web : création de fausses applications ou de faux sites Web qui semblent légitimes et incitent les utilisateurs à fournir leurs informations de carte bancaire.
Attaques par force brute : utilisation de logiciels automatisés pour deviner les numéros de cartes bancaires, souvent en essayant différentes combinaisons numériques jusqu'à en trouver une valide.
Les informations de cartes bancaires volées sont souvent revendues sur des marchés clandestins sur lesquels les acheteurs peuvent se procurer les numéros des cartes, leur date d'expiration, leur code CVV et les adresses de facturation associées.
Test de la validité des cartes
Une fois les informations de carte bancaire volées achetées, les acteurs malveillants utilisent des bots pour valider ces données. Ces agents logiciels automatisent le processus de réalisation de petites transactions sur les sites e-commerce afin de vérifier si la carte associée est active et peut être utilisée sans déclencher d'alerte à la fraude.
Réalisation de transactions frauduleuses
Après avoir validé la légitimité d'une carte, les acteurs malveillants utilisent les informations associées pour réaliser des achats non autorisés. Ils ciblent souvent des articles de grande valeur ou des cartes cadeaux qui peuvent être revendus moyennant un paiement en espèces ou être utilisés à des fins personnelles. Les bots permettent aux acteurs malveillants d'automatiser et d'étendre ce processus, en ciblant plusieurs sites Web et en effectuant de nombreuses transactions dans un court laps de temps.
Contournement des détections
Les carders utilisent les méthodes et les outils suivants pour échapper à la détection.
Proxys et VPN : en masquant l'emplacement des acteurs malveillants, ils complexifient la détection des mécanismes inhabituels par les sites e-commerce.
Bots aléatoires : ces agents logiciels simulent le comportement humain pour éviter de déclencher les systèmes anti-fraude.
Répartition des attaques : les réseaux distribués de bots évitent de concentrer les activités suspectes au même endroit.
Revente et conversion : les acteurs malveillants convertissent rapidement les marchandises achetées illégalement en argent liquide, ce qui complique le suivi de leurs activités. Les produits peuvent être revendus sur des places de marché en ligne ou par l'intermédiaire de réseaux locaux.
Brève histoire du carding
Prémices : vols physiques et skimming
À l'origine, le carding s'appuyait principalement sur des méthodes physiques pour obtenir les informations des cartes bancaires. Les acteurs malveillants passaient par le vol de portefeuilles ou de sacs à main pour se procurer les cartes ou plaçaient des dispositifs sur les distributeurs automatiques de billets ou sur les terminaux de point de vente pour capturer les informations lors de l'introduction des cartes. L'existence de skimmers a été révélée vers 2002.
Essor d'Internet : hameçonnage et piratage
Avec le développement d'Internet, le carding s'est déplacé en ligne, donnant lieu à de nouvelles techniques telles que l'hameçonnage et le piratage des bases de données des entreprises pour voler de grandes quantités d'informations de cartes bancaires. Bien que l'hameçonnage existe depuis les années 1990, cette pratique est devenue plus courante au début des années 2000 à mesure qu'Internet a gagné en popularité.
Dark Web et marchés clandestins
Le marché noir des informations de cartes bancaires volées s'est développé et les acteurs malveillants ont commencé à échanger ces informations sur le Dark Web. Il est ainsi devenu plus facile d'acquérir et de vendre des données de cartes tandis que les forums en ligne sur les techniques de carding, de vente de données volées et de coordination des activités criminelles ont gagné en popularité.
Bots et automatisation
L'essor de l'automatisation et des logiciels avancés a conduit à la sophistication des techniques de carding. Les bots ont automatisé le processus de test et de validation des cartes, permettant aux acteurs malveillants d'étendre leurs opérations et d'intensifier la fraude. En parallèle, le recours aux réseaux distribués de bots pour tester de grandes quantités de données de cartes de crédit volées a permis de réduire le risque de détection en répartissant l'activité sur plusieurs sites et adresses IP.
Mesures de sécurité renforcées et adaptations
Les mesures de sécurité ont également évolué à mesure que les cartes ont gagné en sophistication. La technologie de carte à puce associée d'un code PIN est devenue la norme dans les années 2010, avec pour objectif de rendre plus difficile le clonage des cartes physiques, ce qui a obligé les acteurs malveillants à se tourner davantage vers les arnaques en ligne. Les plateformes e-commerce ont commencé à mettre en œuvre des systèmes de détection des fraudes basés sur l'apprentissage automatique et l'IA pour identifier les transactions et les mécanismes suspects. Les CAPTCHA et l'authentification à plusieurs facteurs ont été introduits pour empêcher les bots d'exploiter les systèmes en ligne.
Techniques et enjeux modernes
Les carders continuent de s'adapter aux nouvelles mesures et technologies de sécurité en apportant leurs propres innovations. Ces nouvelles techniques incluent le « détournement de formulaires » (insertion d'un code malveillant dans des formulaires en ligne pour capturer les informations des cartes bancaires), la fraude à l'identité synthétique (création de fausses identités à l'aide de données volées pour ouvrir des comptes de crédit) et la prise de contrôle de comptes (utilisation d'informations volées sur les cartes pour obtenir un accès non autorisé à des comptes existants).
Rôle du Dark Web et des autres communautés en ligne dans le carding
Le Dark Web et d'autres communautés en ligne ont facilité le carding à travers la fourniture de plateformes pour l'échange d'informations, d'outils et de renseignements sur l'exploitation des cartes bancaires volées. Grâce à l'anonymat et à la sécurité qu'offrent ces plateformes, les opérations de carding ont gagné en robustesse et en adaptabilité, ce qui pose des défis permanents aux professionnels chargés de faire appliquer la loi et aux experts en cybersécurité. Voyons ceci plus en détail.
Place de marché sur le Dark Web
Le Dark Web est une section d'Internet qui n'est pas indexée par les moteurs de recherche traditionnels et qui est accessible grâce à des logiciels spécialisés tels que Tor. Son caractère anonyme en fait un environnement propice aux activités illégales et notamment au carding. Les places de marché du Dark Web servent de plaques tournantes pour l'achat et la vente de biens et de services illégaux, dont voici quelques exemples.
Données de cartes bancaires volées : de grandes quantités d'informations sur les cartes bancaires sont vendues sur le Dark Web, souvent classées par type de carte, pays d'origine ou limite de crédit.
Outils de carding : les logiciels liés au carding comme les bots, les logiciels malveillants et les enregistreurs de frappe sont disponibles à l'achat sur le Dark Web, ce qui permet aux criminels d'automatiser et d'intensifier leurs activités.
Services connexes : les places de marché du Dark Web regroupent souvent des fournisseurs qui proposent des services tels que la validation de cartes de crédit, l'encaissement et la création de faux documents d'identité.
Forums et communautés
Les forums et les communautés en ligne sur le Dark Web et d'autres plateformes servent de centres de partage des connaissances sur le carding et les activités connexes. Les acteurs malveillants expérimentés y partagent des conseils, des astuces et des guides pas-à-pas pour éviter d'être repérés, et les novices dans le domaine du carding peuvent solliciter les conseils et un mentorat auprès de carders expérimentés. Les acteurs malintentionnés s'appuient sur ces forums pour créer des réseaux et des partenariats, mettre en commun des ressources et coordonner des opérations complexes.
Anonymat et sécurité
Le Dark Web facilite les transactions anonymes et sécurisées, ce qui rend difficile la surveillance et le renversement des activités illégales par les forces de l'ordre.
Cryptomonnaies : en règle générale, les transactions sur le Dark Web utilisent les cryptomonnaies telles que le bitcoin pour renforcer l'anonymat des acheteurs et des vendeurs.
Services cachés et communications chiffrées : les places de marché et les forums sur le Dark Web s'appuient sur le chiffrement et sur la technologie de services cachés pour protéger l'identité des utilisateurs et dissimuler leurs activités.
Infrastructures complexes : les places de marché du Dark Web utilisent souvent une infrastructure distribuée et redondante pour se prémunir des interruptions par les autorités.
Communautés dynamiques : les forums et les communautés de carding ont la capacité de réapparaître rapidement sous d'autres noms et ailleurs, ce qui complique leur repérage et leur démantèlement.
Conséquences du carding sur les entreprises et les consommateurs
Conséquences pour les entreprises
Pertes financières : en cas de transactions frauduleuses, les entreprises supportent souvent le coût des contestations de paiement et des remboursements. Cette responsabilité peut avoir un impact sur leurs résultats, en particulier pour les petites et moyennes entreprises (PME). Outre le remboursement des fonds et les éventuels frais de contestation de paiement, les professionnels peuvent par ailleurs être confrontés à une augmentation des coûts et à des restrictions de la part des prestataires de services de paiement du fait de taux élevés de litiges induits par la fraude.
Atteinte à la réputation : les incidents liés au carding peuvent nuire à la réputation des entreprises. En effet, les clients victimes de fraude sur leurs plateformes risquent d'être échaudés et de laisser des commentaires négatifs.
Coûts opérationnels : la lutte contre le carding implique d'investir dans des mesures de sécurité, des systèmes de détection de la fraude et une assistance à la clientèle efficaces pour traiter les problèmes liés à la fraude. Les coûts induits peuvent être considérables.
Surveillance accrue : les taux élevés de fraude peuvent entraîner une surveillance accrue de la part des prestataires de services de paiement, susceptible de se traduire par des frais plus importants, des exigences plus strictes, voire la clôture des comptes marchands.
Risques liés à la conformité réglementaire : les entreprises sont tenues de se conformer à des réglementations telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Le non-respect de cette conformité à la suite d'incidents liés au carding peut entraîner des amendes et des répercussions juridiques.
Conséquences sur les consommateurs
Compromissions de compte : les consommateurs dont les informations de carte bancaire ont été volées peuvent se rendre compte que des frais non autorisés ont été prélevés sur leur compte. Une telle situation les oblige à consacrer du temps et des efforts pour collaborer avec leurs banques et les sociétés émettrices de cartes bancaires afin d'annuler les paiements frauduleux et de récupérer leurs fonds, ce qui peut constituer un processus long et source de frustrations.
Usurpation d'identité : le carding peut conduire à des usurpations d'identité plus larges, dans le cadre desquelles les acteurs malveillants utilisent les informations des cartes bancaires volées pour ouvrir de nouveaux comptes, souscrire des prêts ou commettre d'autres formes de fraude.
Détresse émotionnelle : la découverte de frais non autorisés et la gestion des conséquences du carding peuvent provoquer une détresse émotionnelle et de l'anxiété chez les victimes.
Impact sur la solvabilité : dans certains cas, la fraude liée au carding peut affecter la cote de solvabilité des consommateurs, en particulier si elle entraîne des retards ou des défauts de paiement.
Conseils aux entreprises pour se protéger du carding
Les systèmes sophistiqués de détection de la fraude s'appuient sur l'apprentissage automatique et l'intelligence artificielle pour identifier les mécanismes et les comportements d'achat inhabituels. Voici comment utiliser ces technologies ainsi que d'autres pratiques pour se protéger.
Analyse comportementale : analysez le comportement des utilisateurs sur votre plateforme pour identifier les anomalies telles que les transactions rapides, les tentatives répétées avec des numéros de carte différents ou les schémas de géolocalisation inhabituels.
Notation dynamique des risques et authentification à plusieurs facteurs : attribuez des scores de risque aux transactions en fonction de plusieurs facteurs, notamment la prise d'empreinte d'appareil, l'adresse IP, la géolocalisation et les données historiques. Une authentification à plusieurs facteurs pourra être déclenchée par les transactions à haut risque.
Tokenisation : convertissez les informations sensibles relatives aux cartes bancaires en jetons sécurisés lorsque vous les utilisez en interne, de façon à limiter l'exposition des données brutes des cartes et à réduire le risque de vol.
Chiffrement de bout en bout : chiffrez les informations sensibles de leur capture à leur stockage en passant par leur traitement afin de réduire le risque d'interception et d'accès non autorisé.
Stockage sécurisé des données : stockez les informations relatives aux cartes bancaires dans des bases de données chiffrées dont l'accès est limité. Mettez en place un contrôle des accès basé sur les rôles et assurez-vous que seul le personnel autorisé peut consulter les données sensibles.
Surveillance des transactions en temps réel : surveillez les transactions en temps réel de façon à identifier les activités potentiellement frauduleuses. Appuyez-vous sur les alertes automatisées pour permettre aux équipes de sécurité d'intervenir sans délai.
Équipes d'intervention en cas d'incident : créez des équipes spécialisées de réponse aux incidents et des protocoles clairs pour traiter les événements liés au carding.
Partage de renseignements sur les menaces : adhérez à des programmes de partage d'informations sur les menaces afin de rester informé des nouvelles tendances et techniques de carding.
Collaboration avec les forces de l'ordre : collaborez avec les organismes d'application de la loi spécialisés dans la cybercriminalité afin de faciliter les enquêtes et le démantèlement des opérations de carding.
Solutions CAPTCHA : utilisez des solutions CAPTCHA avancées ou des options de substitution telles que reCAPTCHA v3 qui ne requièrent aucune interaction de la part de l'utilisateur, mais qui peuvent détecter les comportements comparables à ceux de bots.
Limite d'appels et de débit : limitez le débit pour restreindre le nombre de transactions ou de tentatives provenant d'une seule adresse IP ou d'un seul utilisateur sur un laps de temps donné.
Prise d'empreinte d'appareil : identifiez les caractéristiques uniques des appareils de façon à détecter l'activité automatisée des bots. Vous éviterez ainsi que ces derniers ne testent un grand nombre d'informations de carte bancaire volées.
Alertes et notifications de fraude : envoyez des alertes aux clients dès qu'une activité suspecte est détectée afin de leur permettre de confirmer ou de refuser rapidement les transactions.
Éducation de la clientèle : sensibilisez les clients aux risques liés au carding et aux bonnes pratiques en matière de protection des informations relatives à leurs cartes bancaires. Vous contribuerez ainsi à réduire la probabilité de réussite des attaques par hameçonnage ou par ingénierie sociale.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.