Mais d’où proviennent ces cartes ? Comment les hackers réussissent-ils à obtenir les numéros pour les utiliser ou les revendre sur le DarkWeb ? Nous avons recensé 5 méthodes qui peuvent être utilisées par les cybercriminels pour récupérer ces numéros.

L’attaque par force brute : la plus rapide

La méthode la plus courante pour obtenir ces cartes de paiement consiste à utiliser des attaques par force brute, qui ne prennent que 6 secondes : les criminels essaient de deviner le numéro de la carte et le CVV. Les 6 à 8 premiers chiffres sont le numéro d’identification de l’émetteur de la carte. Les pirates n’ont donc que 7 à 9 chiffres à deviner, le 16e chiffre étant une somme de contrôle et servant uniquement à déterminer si des erreurs ont été commises lors de la saisie du numéro.

Mais ces attaques par force brute ne sont pas le seul moyen d’obtenir ces numéros, les cybercriminels usent d’autres méthodes, moins rapides mais tout aussi efficaces.

Pirater les entreprises par injection SQL

Les bases de données des entreprises sont une mine d’or pour les cybercriminels surtout quand elles contiennent des informations financières comme les numéros de carte de paiement.

Le moyen de les obtenir est de mener une attaque par injections SQL pour accéder à ces bases de données. Qu’elle soit menée en modifiant les cookies, en envoyant des données utilisateurs, via des variables serveur etc l’attaque par injection SQL n’est possible que lorsque le site ne dispose pas de mesures suffisantes de nettoyage des entrées. Au cours des 20 dernières années de nombreuses entreprises ont été victimes de ce type de piratage de Guess en passant par Target ou encore 7-Eleven aux Etats-Unis, autant de fois où les cybercriminels ont réussi à voler des données de cartes bancaires.

"Utiliser des cartes virtuelles à usage unique et ne jamais sauvegarder ses coordonnées bancaires sur les sites marchands sont les meilleurs moyens de ne pas retrouver son numéro de carte sur le DarkWeb," déclare Daniel Markuson, expert en cybersécurité chez NordVPN.

Le vol par NFC

Le paiement sans contact est devenu un mode de paiement commun et pourtant celui-ci n’est pas sans risque. Ou plutôt les cartes bancaires qui offrent aux utilisateurs la possibilité de payer sans faire de code, offrent également aux cybercriminels une porte d’entrée. En effet, prenez un lieu bondé comme le métro par exemple, un hacker muni d’un lecteur de cartes NFC portable, des usagers qui dans leur poche ont tous une carte bancaire : l’appareil détectera les cartes et récupérera les données émises par ces cartes bancaires.

"Les utilisateurs ne pensent pas à mettre leur carte dans des étuis métalliques pour se protéger et pourtant c’est une méthode efficace pour protéger les pistes magnétiques de leur carte bancaire," ajoute Daniel Markuson.

Le Phishing

Les mails ou sms de phishing servent non seulement à récupérer les données personnelles mais aussi les données bancaires. Les mails ou sms de phishing émis au nom de banques et qui demandent des informations bancaires sont assez courants, et il y a même des cybercriminels qui n’hésitent pas à se faire passer au téléphone pour des conseillers bancaires ou anti-fraude pour pouvoir récupérer des numéros de cartes bancaires.

Il ne faut pas non plus négliger le fait qu’un mail ou sms de phishing peut infecter un ordinateur ou un smartphone. Cliquer sur un lien qui potentiellement contient un code malveillant peut entraîner l’installation d’un virus qui peut récupérer des fichiers. Bon nombre d’utilisateurs sauvegardent leurs coordonnées bancaires dans des fichiers non sécurisés et c’est par cette méthode que les numéros de cartes bancaires peuvent se trouver en vente sur le DarkWeb.

""Méfiez-vous de tous les mails que vous recevez" peut paraître extrême mais c’est un fait, personne n’est à l’abri. 3.4 milliards d’emails de phishing sont envoyés quotidiennement et le meilleur moyen de s’en prémunir est de rester vigilant, d’installer des logiciels de sécurité, d’utiliser un cryptage fort pour les fichiers qui contiennent des données bancaires et sensibles," alerte Daniel Markuson.

Le vol lors de l’achat sur internet

A l’approche de grosses périodes d’achat sur internet telles que le Black Friday ou encore les fêtes de fin d’année, il est bon de rappeler qu’un achat sur un site n’est pas dépourvu de risque.

Dans ce cas, les techniques utilisées par les cybercriminels exploitent les failles de sécurité dans l’équipement des utilisateurs ou des sites commerçants.

Il existe plusieurs portes d’entrée : l’ordinateur peut être infecté par un Virus "Man In the Browser", la ligne internet est piratée "Man in the Middle" ou encore le serveur peut avoir une faille de type "Heart Bleed" etc.. autant de portes qui peuvent mener aux numéros de cartes bancaires et bien d’autres données revendables sur le DarkWeb.

" Il existe de nombreux autres moyens pour subtiliser les numéros de cartes bancaires et les revendre sur le DarkWeb : le simple vol physique, le piratage des distributeurs automatiques, l’usurpation d’identité afin d’ouvrir un compte au nom d’une victime etc. Personne n’est à l’abri mais il est bon de rappeler que dans certains cas prévisibles mieux vaut prévenir que guérir en mettant en place tous les moyens de sécurité possibles. Il y en a de nombreux à disposition et au même titre que les entreprises , les utilisateurs doivent prendre les devant pour parer à ce marché très lucratif pour les cybercriminels", conclut Daniel Markuson, expert en cybersécurité chez NordVPN