Les cybervoleurs ciblent de nouvelles victimes avec une carte plus sophistiquée
Par Ash-har Quraishi, Amy Corral, Ryan Beard
25 avril 2023 / 07h31 / CBS News
Michael Perez n'avait jamais prévu de devenir un cybercriminel.
Dans les années 1980, alors que les ordinateurs personnels commençaient tout juste à apparaître dans les foyers à travers le pays, Perez était un jeune garçon qui trouvait bricoler avec la technologie beaucoup plus amusant que les jouets. À l'âge de 12 ans, il construisait ses propres ordinateurs.
"Mon oncle apporterait les pièces, les achèterait et [je] commencerais à le construire", a déclaré le natif de Miami. "J'ai toujours aimé les ordinateurs. J'ai été fasciné par la programmation, mais je n'ai jamais eu le temps de m'y consacrer ou de l'apprendre."
Mais ayant grandi dans un quartier pauvre, principalement hispanique, Perez dit qu'il a trouvé peu d'opportunités financières en dehors du travail occasionnel de réparation d'électronique ou de téléphone portable.
"Je ferais des micro-soudures et réparerais les composants sur les cartes. Et je suis arrivé à un point où j'ai commencé à faire ces choses, mais je n'étais pas rentable à l'époque", a déclaré Perez.
C'est à ce moment-là qu'il a dit qu'un ami du quartier lui avait présenté l'idée de construire des écumeurs de cartes et de les installer dans des stations-service à travers le pays pour gagner de l'argent.
"Je l'ai en quelque sorte assemblé et comme dans deux jours, j'ai eu un écumoire qui fonctionnait."
Les forces de l'ordre du sud de la Floride appellent ces criminels des "mécaniciens".
Perez dit qu'il a utilisé Google Streetview pour trouver les pompes à essence les plus faciles à cibler.
"Je vais zoomer pour voir où, à quoi ressemble le visage, à quoi ressemble la porte, quel est le modèle de la pompe à essence", a-t-il déclaré. "J'ouvrais l'accès à la pompe de la station-service avec une clé universelle, je l'ouvrais. Et à l'intérieur, je sortais un lecteur, puis je mettais mon lecteur modifié."
Perez a déclaré que chacun de ses appareils d'écrémage pouvait collecter entre 750 et 1 000 numéros de carte pour le stockage. Il s'arrêtait alors à la pompe et extrayait les informations via Bluetooth. En trois jours d'écrémage, il pourrait voler jusqu'à 30 000 $.
Selon le FBI, l'écrémage coûte aux institutions financières et aux consommateurs américains plus d'un milliard de dollars chaque année.
La société d'analyse de données FICO surveille plus de 2 milliards de transactions financières par mois, à la recherche de comportements de dépenses inhabituels, de choses qui sortent de l'ordinaire comme l'écrémage. Selon les données recueillies, le nombre de cartes compromises a bondi de 368 % l'an dernier par rapport à l'année précédente.
"Je pense que nous assistons à une explosion d'activités d'écrémage à la suite de la pandémie", a déclaré TJ Horan, vice-président de la gestion des produits chez FICO. "Pendant la pandémie, il y a eu beaucoup moins de transactions au point de vente. Beaucoup d'entre nous restaient à la maison et ne faisaient pas les choses normales que nous faisons. Et donc, nous avons soudainement vu une forte augmentation. L'autre chose est que les fraudeurs recherchent toujours des maillons faibles et des opportunités."
Et cela a été un défi. Même avec les nouvelles avancées en matière de sécurité et de technologie, les experts affirment que les fraudeurs ont fait du bon travail en gardant une longueur d'avance sur les forces de l'ordre et les banques.
"Ils évoluent constamment. Les forces de l'ordre essaient constamment de trouver des moyens de suivre le rythme", a déclaré Charles Leopard, agent spécial adjoint au bureau extérieur des services secrets américains à Miami, qui abrite le plus grand laboratoire de cybercriminalité de l'agence dans le pays.
À l'intérieur de l'immense laboratoire, des techniciens travaillent sur des enquêtes qui ont un impact sur l'infrastructure économique des États-Unis - de la fausse monnaie aux escroqueries par hameçonnage par e-mail en passant par tout type de fraude hypothécaire ou de prêt. En plus de cela, ils enquêtent également sur la fraude aux dispositifs d'accès, comme la fraude par carte de crédit et l'écrémage.
"Ce laboratoire en particulier est très bénéfique pour les municipalités et les agences étatiques et locales ici car ce laboratoire prend en charge des tonnes de crimes violents, d'homicides et de tout autre type d'appareil électronique qui doit être examiné, qui est saisi ou fait partie d'un crime fédéral, étatique ou local", a déclaré Leopard.
Chaque année, les 50 techniciens en criminalistique informatique à temps plein et 75 à temps partiel effectuent environ 5 000 examens, traitant plus d'un pétaoctet de volume de données. Mais même avec ces ressources et cette puissance de calcul, Leopard affirme que les escrocs utilisent constamment de nouvelles façons de contrecarrer les dernières mesures de sécurité.
Leopard dit qu'au cours des 25 années d'écrémage, les appareils sont passés des lecteurs de cartes portables utilisés à la fin des années 1990 par les serveurs des restaurants aux superpositions de guichets automatiques et aux panneaux de point de service qui se glissent juste au-dessus des lecteurs de cartes. Ces dernières années, ils ont commencé à trouver de minuscules caméras cachées directement sur les lecteurs de cartes.
"Il y a un petit trou d'épingle sur ce morceau de plastique qui devrait normalement s'asseoir comme celui-ci sur le guichet automatique et capturer le clavier. Ainsi, ils utiliseraient l'un de ces écumoires superposées, puis ils inséraient une caméra pour obtenir la broche."
"Cela a simplement évolué dans la façon dont les criminels capturent les informations", a-t-il déclaré.
Ils sont même passés à ce qu'il appelle des écrémeurs à insertion profonde, des appareils si fins qu'ils peuvent se glisser directement dans le lecteur sans être détectés, ce qui en fait un défi même pour un technicien professionnel à retirer et plus difficile à suivre pour les forces de l'ordre.
"Les forces de l'ordre et leurs partenaires mettront un terme à certaines des vulnérabilités que nous constatons dans les guichets automatiques ou les terminaux de point de vente et les commerçants", a déclaré Leopard. "Et puis quelques mois, tout serait calme. Et puis les cybercriminels trouveront un moyen de contourner cela. Et puis il y aura un nouveau pic jusqu'à ce que nous l'arrêtions. Donc, c'est constamment le jeu du chat et de la souris pour trouver des moyens de l'empêcher. "
Depuis la mi-2022, les voleurs d'écrémage visent un groupe particulièrement vulnérable : les personnes en situation d'insécurité alimentaire.
Au cours des derniers mois, des milliers d'Américains qui comptent sur l'aide fédérale à la nutrition supplémentaire, ou SNAP, se sont fait voler leurs fonds sur leurs comptes.
"Vous recevez chaque mois une somme d'argent fixe du gouvernement pour vous aider à payer vos courses", a déclaré Sung Hee Lee, une étudiante de Boston qui dit travailler 30 heures par semaine, fréquenter l'école à plein temps et avoir du mal à joindre les deux bouts.
Chaque mois, elle se rend à l'épicerie pour s'approvisionner en nourriture, mais lors d'un récent voyage, juste un jour après le rechargement de sa carte de prestations électroniques (EBT), elle a découvert que le solde de son compte avait presque entièrement disparu. Il ne restait que 40 centimes.
"J'ai appris cela du service client au téléphone lorsque j'étais à l'épicerie en train d'essayer de gérer tout cela. Tout mon argent a été utilisé quelques jours auparavant, juste après que mon argent vient d'arriver", a déclaré Lee.
Lee a découvert que quelqu'un avait utilisé son numéro de carte pour effectuer des achats à près de mille kilomètres dans un magasin Sam's Club dans l'Illinois.
Lee n'a jamais magasiné dans un Sam's Club.
"Je ne peux pas me permettre une adhésion au Sam's Club", a-t-elle déclaré.
"La carte a toujours été en ma possession et je n'ai jamais donné mes informations", a-t-elle déclaré. "Donc, la seule façon dont cela aurait pu arriver est que quelqu'un le vole directement, soit pendant que je l'utilisais dans une sorte de dépanneur au hasard, et mes informations auraient pu être vendues et écrémées."
Le département américain de l'Agriculture, qui supervise le programme fédéral SNAP, a déclaré à CBS News par e-mail qu'avant cette année, il n'y avait aucune obligation fédérale pour les États de suivre les rapports de vol d'avantages via l'écrémage de cartes, le clonage de cartes ou d'autres moyens frauduleux similaires.
Nous avons contacté les 50 agences d'État qui administrent les programmes SNAP et seules quelques-unes ont pu nous dire combien d'argent a été volé, mais il est clair qu'il s'agit de millions.
Dans le Massachusetts, entre juin 2022 et mars 2023, 2,9 millions de dollars ont été volés, touchant plus de 6 700 foyers. À New York, entre janvier 2022 et mars 2023, 7 millions de dollars ont été volés, avec plus de 10 000 plaintes d'écrémage. Et en Californie, 7 millions de dollars ont été volés entre juillet 2021 et novembre 2022.
Les cartes EBT sont différentes de votre carte de débit ou de crédit moyenne. Il leur manque la sécurité renforcée d'une puce EMV intégrée, que la plupart des banques ont incorporée en 2015. Au lieu de cela, elles s'appuient uniquement sur la technologie des années 1970 : une bande magnétique.
"Cela n'a aucun sens que le programme SNAP, qui dépense 157 milliards de dollars par an, utilise une clé de chambre d'hôtel glorifiée pour offrir des avantages aux personnes souffrant d'insécurité alimentaire", a déclaré Haywood Talcove, PDG de LexisNexis Risk Solutions Government Business.
La société de Talcove recueille des données pour les agences gouvernementales afin d'aider à prévenir la fraude, le gaspillage et les abus dans les programmes publics.
Une étude récente de LexisNexis a révélé que chaque dollar d'avantages perdu à cause de la fraude coûte en fin de compte aux agences SNAP 3,72 dollars en coûts supplémentaires liés à la détection, à l'enquête, au signalement et aux tâches administratives. Ces coûts sont finalement répercutés sur les contribuables, qui financent le programme SNAP.
L'étude a également révélé que les attaques contre SNAP étaient principalement dues à l'usurpation d'identité, à l'éligibilité, à la prise de contrôle de compte et au trafic. C'est en fin de compte une perte transmise à chaque contribuable.
"Ce que vous avez est un système désuet. Vous avez des technologies désuètes, vous avez l'USDA avec très [peu] d'outils d'application, et les groupes criminels ont beaucoup appris de ce qui s'est passé pendant la pandémie de COVID et comment voler les avantages du gouvernement", a déclaré Talcove.
Talcove affirme que des entreprises criminelles ont vendu des informations de cartes volées sur le dark web au plus offrant – dans certains cas, dit-il, de dangereux syndicats du crime international.
"Le manque de contrôles mis en place par l'USDA permet à ces groupes organisés, en particulier des pays nationaux et transnationaux comme la Roumanie, le Nigeria, la Russie et la Chine, de mettre en place des dispositifs de phishing et d'écrémage et de voler les précieux avantages des gens qu'ils utilisent pour nourrir leurs familles", a-t-il déclaré.
"Ce que l'USDA doit faire aujourd'hui, c'est retirer ces clés de chambre d'hôtel glorifiées, mettre en place ces cartes à puce. Ils doivent commencer à faire une vérification d'identité frontale."
Les données montrent que la technologie à puce rend les cartes de paiement plus sûres que les bandes magnétiques utilisées sur les cartes SNAP.
Selon VISA, les magasins qui ont commencé à accepter les cartes à puce en 2015 ont vu une baisse de 76 % de la fraude au cours des trois prochaines années.
"Parce que le balayage magnétique n'est pas codé, il n'est pas crypté, il est grand ouvert. Vous pouvez donc utiliser n'importe quel lecteur pour extraire ces informations", a déclaré Leonard.
En octobre dernier, alors que les plaintes des électeurs augmentaient dans son État natal de New York, la sénatrice américaine Kirsten Gillibrand et une douzaine d'autres législateurs new-yorkais ont écrit au secrétaire à l'Agriculture, Tom Vilsack. Ils l'ont exhorté à autoriser les États à rembourser les victimes d'écrémage et à rechercher de meilleures technologies de sécurité pour les cartes EBT.
"S'assurer que nous résolvions ce problème était une priorité pour moi", a déclaré Gillibrand. "Pour beaucoup de familles sans cette aide nutritionnelle supplémentaire, elles n'ont pas assez pour nourrir leur famille, pour nourrir leurs enfants, pour avoir assez de nourriture à la fin du mois."
L'adoption du projet de loi omnibus par le Congrès comprenait un cadre de la loi sur la protection contre le vol SNAP du sénateur Gillibrand, qui oriente les fonds fédéraux vers les États pour rembourser les bénéficiaires du SNAP qui ont été écrémés. Il appelle également, pour la première fois, les États à suivre les données de fraude SNAP et à enquêter sur le renforcement de la sécurité des cartes EBT.
Mais la législation n'a pas obligé l'USDA à passer à des technologies plus sûres comme les puces.
Au cours de deux mois, CBS News a soumis plusieurs demandes d'entretien à l'USDA pour discuter du problème de fraude et d'écrémage SNAP, mais ils n'ont pas fourni de représentant.
Sung Hee Lee dit qu'elle a également eu du mal à entrer en contact avec l'USDA.
"Même si vous appuyez sur toutes les différentes options de menu, personne ne vous conduira à un représentant. Et même si vous essayez d'écrire un e-mail, je n'ai jamais entendu de retour", a-t-elle déclaré. Elle a finalement renoncé à se faire rembourser ses prestations SNAP volées.
L'agence a annoncé qu'elle lançait un programme pilote pour tester les paiements sans contact et mobiles plus sécurisés pour les destinataires du SNAP dans cinq États : l'Illinois, le Missouri, la Louisiane, l'Oklahoma et le Massachusetts.
"Je pense que le tap-to-pay ainsi que le paiement via votre téléphone sont un moyen très sûr de le faire", a déclaré Leonard. "Certains ont déjà trouvé des moyens de compromettre les paiements sans contact. Mais ce n'est pas au degré que nous voyons avec les skimmers."
Ce programme pilote ne commencera pas avant l'année prochaine, au plus tôt.
Quant à Michael Perez, ses jours d'écrémage l'ont finalement rattrapé.
"J'ai été arrêté le 27 novembre 2017 et ils m'ont emmené à la prison du comté. C'était une opération conjointe avec les services secrets et Miami-Dade", a-t-il déclaré.
Perez a passé plus de deux ans dans une prison fédérale. Mais la culpabilité de son crime, dit-il, s'est glissée sur lui lors d'un ouragan au Texas.
"Je me souviens d'être allé à l'hôtel et tout le monde était sorti de chez lui, s'enregistrant dans des hôtels parce qu'ils n'avaient pas de maison", a-t-il déclaré. "Tout a été détruit. Et j'étais là à leur faire ces dégâts. Et je me souviens de la personne devant moi, sa carte a été refusée et elle n'avait aucun moyen de rester à l'hôtel à ce moment-là. C'est là que ça m'a frappé. Ça m'a brisé le cœur juste là. "
Perez a échangé son surnom de "mécanicien" pour un consultant en contre-écrémage. Il travaille maintenant avec la société de sécurité Unchained Leadership & Consulting pour aider les forces de l'ordre à garder une longueur d'avance sur les fraudeurs.
"J'ai créé des logiciels pour eux, et j'ai créé des appareils et j'ai mis au point une technologie pour aider à prévenir ou à détecter la fraude", a-t-il déclaré. "Je veux continuer à faire ça. Je fais ce que j'aime, et ça fait du bien."
Première publication le 25 avril 2023 / 07:31
© 2023 CBS Interactive Inc. Tous droits réservés.