Outre le pirate de serveurs, il existe plusieurs techniques de fraude. Les principales sont :
- Le phishing (hameçonnage) consiste à attirer l’internaute vers des sites frauduleux ayant l’apparence de sites de confiance afin de pirater ses données.
- Le skimming (clonage) avec lequel les pistes magnétiques de la carte de paiement sont copiées dans un commerce de proximité ou dans un DAB à l’aide d’un lecteur à mémoire. Le cas échéant, le code confidentiel peut aussi être intercepté grâce à une caméra ou via un détournement du clavier numérique.
Les données piratées sont ensuite utilisées pour des achats s’imputant sur le compte bancaire du titulaire légitime de la carte.
Skimming : situations à risque
En pratique, le piratage des cartes bancaires peut s’effectuer dans différentes situations.
Retrait d’espèces à un distributeur de billets
Un faux lecteur de cartes est superposé, et une caméra cachée dans le plafonnier. Elle enregistre la saisie des codes PIN. La même technique est employée lors d’achat de carburant dans les stations services automatisées.
Achat sur Internet
Si un cadenas ne s’affiche pas à côté de l’adresse https du site de paiement, cela signifie qu’il n’est pas sécurisé et qu’un logiciel est peut-être en train de calquer les données. Celles-ci sont ensuite revendues pour être notamment utilisées dans les régions où la technologie EMV (cartes à puce) n’est pas utilisée.
En effet, faute de puce, c’est la piste magnétique des cartes qui est utilisée pour authentifier les transactions, ce qui facilite la fraude.
Par ailleurs, depuis le 15 mai 2021, tous les achats en ligne de plus de 30 € doivent répondre aux exigences de sécurité via l’authentification forte du payeur. Ce dispositif consiste à vérifier que le porteur de la carte bancaire est bien à l’origine du paiement par internet grâce à la mise en place d’au moins 2 des 3 éléments suivants :
- une information que seul le titulaire de la carte connait : mot de passe, code secret, question secrète ;
- l’utilisation d’un appareil qui n’appartient qu’au titulaire de la carte : téléphone portable, carte à puce, montre connectée ;
- une caractéristique personnelle : reconnaissance faciale, vocale, empreinte digitale.
Si l’un de ces éléments est faux, l’achat par carte bancaire sur le site internet ne sera pas autorisé.
Se protéger du skimming
Plusieurs précautions permettent de limiter les risques de skimming :
- cacher son code secret avec la main libre lorsque l’on opère une saisie ;
- essayer, dans la mesure du possible, de retirer des espèces en semaine, car c’est pendant le week-end et la veille de jours fériés, que les aigrefins sont les plus actifs ;
- ne pas faire d’emplettes sur internet à partir d’un réseau Wi-Fi public ou d’un appareil multimédia partagé ;
- vérifier l’état du lecteur du terminal de paiement : en cas d’indices suspects (traces de brûlures, etc.) mieux vaut refuser de l’utiliser sous un prétexte quelconque ;
- ne pas laisser sa carte de paiement sans surveillance au restaurant, dans un bar ou un commerce de proximité ;
- contrôler régulièrement ses relevés de compte pour ne pas laisser les débits s’accumuler en cas de fraude.