Il y aurait aujourd’hui 24 milliards de noms d'utilisateur et de mots de passe obtenus illégalement qui circulent sur le dark web. Les plus demandés sont ceux des cartes bancaires achetés en masse par les fraudeurs pour usurper les identités des consommateurs.
Dans les pays qui ont les systèmes à puce et PIN (EMV), la conversion de ces données en cartes clonées reste toutefois plus difficile. Elles sont alors généralement utilisées en ligne dans des attaques par carte non présente pour acheter par exemple des articles de luxe destinés à la revente ou pour acheter, en masse, des cartes-cadeaux. Une autre façon de blanchir de l'argent obtenu illégalement.

Le spécialiste de la protection des paiements numériques, ESTE, liste les 5 méthodes les plus courantes utilisées pour obtenir vos données, et explique comment les éviter.

1. Phishing : la technique la plus populaire de vol de données. Les pirates se font passer pour une entité légitime (banque, fournisseur d’e-commerce, entreprise technologique) pour vous inciter à fournir vos informations personnelles ou à télécharger des maliciels sans le savoir. Ils vous font cliquer sur un lien ou ouvrir une pièce jointe. Le phishing atteindrait un niveau record au 1er trimestre 2022.
Mais ces escroqueries ont évolué. Au lieu d'un mail, vous pouvez recevoir un SMS de la part de pirates se faisant passer pour une société de livraison, une agence gouvernementale ou une autre organisation de confiance. Ils peuvent vous appeler, se faisant passer pour une source fiable, pour obtenir les détails de votre carte. Le phishing par SMS a plus que doublé d'un an à l'autre en 2021 et le phishing vocal aurait également fortement augmenté.
 
2. Les maliciels : différents types de maliciels sont conçus pour voler des informations. Certains enregistrent vos frappes, par exemple lorsque vous saisissez des informations de carte sur un site de commerce électronique ou bancaire. Les pubs malveillantes en ligne sont aussi populaires. Elles peuvent infecter des sites populaires et attendre que les utilisateurs les visitent. Lorsque vous visitez la page infectée, ce maliciel est installé. Les maliciels voleurs d'informations sont souvent cachés dans des applis mobiles, d'apparence légitime mais malveillantes.
 
3. L’écrémage numérique (digital skimming) : parfois, les pirates installent aussi du maliciel sur les pages de paiement des sites d’e-commerce. Invisible pour l'utilisateur, il survole les détails de votre carte au fur et à mesure de leur saisie. Les utilisateurs ne peuvent pas faire grand-chose pour rester en sécurité, uniquement faire leurs achats auprès de grandes marques et sur des sites pouvant être plus sécurisés. Les détections d'écrémage numérique (Detections of digital skimming) ont augmenté de 150 % entre mai et novembre 2021.

4. Violations de données : parfois, les détails de la carte sont volés aux entreprises avec lesquelles vous faites affaire - fournisseur de soins de santé, magasin d’e-commerce, organisation de voyages. Il s'agit d'un moyen peu cher, car les pirates ont accès à une énorme quantité de données en une seule attaque alors que les campagnes d’hameçonnage les obligent à voler des individus un par un, bien que ces attaques soient souvent automatisées. La mauvaise nouvelle : 2021 a été une année record pour les violations de données aux États-Unis.
 
5. Wi-Fi public : il peut-être tentant de surfer gratuitement sur des Wi-Fi publics (hotspots) dans les aéroports, hôtels, cafés et autres espaces partagés. Même s’il faut payer pour rejoindre le réseau, ce n'est peut-être pas sûr surtout si des pirates l'ont fait, eux-aussi. Ils peuvent utiliser cet accès pour espionner vos informations au fur et à mesure que vous les introduisez.
 
Comment protéger les détails de votre carte

Heureusement, il y a de nombreuses façons de limiter le risque de vol des détails de votre carte :

-Soyez vigilant : ne répondez jamais, ni ne cliquez sur les liens dans des pièces jointes ouvertes de mails non sollicités. Ils peuvent être chargés de maliciels ou vous conduire à des pages d’hameçonnage d'apparence légitime où vous pouvez saisir vos coordonnées.

-Par téléphone, ne donnez pas de détails même si la personne semble convaincante. Demandez d'où elle appelle et rappelez cette organisation pour vérifier, mais n'utilisez pas les numéros de téléphone qu'elle vous donne.

-Si vous ne disposez pas d'un réseau privé virtuel, n'utilisez pas Internet sur le Wi-Fi public. S’il le faut absolument, ne faites rien nécessitant la saisie des détails de la carte (achats en ligne).

-Ne stockez pas les détails de la carte sur les sites d’achats en ligne ou autres, même si cela vous fera gagner du temps lors de vos prochaines visites. Cela limite le risque que les détails de votre carte soient volés si cette société ou si votre compte est piraté.

-Sur tous les ordinateurs portables et autres appareils téléchargez l'anti-malware et la protection anti-phishing d'un fournisseur de sécurité réputé.

-Utilisez l'authentification à deux facteurs sur tous les comptes sensibles. Cela limite les chances que des pirates les ouvrent avec des mots de passe volés/hameçonnés.

-Téléchargez uniquement des applis de magasins légitimes (Apple App Store, Google Play).
-Si vous achetez en ligne, faites-le uniquement sur les sites HTTPS (avec cadenas dans l’adresse du navigateur à côté de l'URL). Ainsi, il y a moins de chance que vos données soient interceptées.

Si vous remarquez des transactions suspectes, contactez immédiatement l'équipe anti-fraude de votre banque/fournisseur de carte. Certaines applis vous permettent de "geler" les dépenses sur des cartes spécifiques jusqu'à ce qu’on détermine s'il y a eu une faille sécuritaire. Pour les pirates il y a de nombreuses façons d'obtenir les détails de nos cartes, mais les opérateurs bancaires peuvent également faire beaucoup pour les tenir à distance.