Le carding qui est la contraction du mot “card” (carte) et de “ing” qui désigne une action qui consiste au piratage de cartes de crédit. cette technique permet de créer des cartes virtuelles. La technique de carding regroupe plusieurs personnes en général, des vendeurs de numéros de carte de crédits, le carder qui va commander sur des sites de ventes en ligne (Materiel.net, C-Discount, etc, …) et le dropper, la personne qui va réceptionner le colis d’un quelconque moyen afin de le renvoyer au carder en échange d’argent.
Contents
Carding : Fraude à La carte bancaire
Une carte bancaire est un morceau de plastique qui comporte de nombreux éléments de sécurité ainsi que votre nom. Pour utiliser cette carte, il vous faut un code confidentiel qui normalement n’est connu que par vous. Il va s’en dire que vous ne devez en aucun cas communiquer ce code à une tierce personne.
Au Recto de la carte :
A définit le type de carte.
BCD (+E+F selon les cas) identifient la banque ou l’organisme émetteur de la carte.
P est la clef de Luhn.
Le V derrière la date est une donnée constructeur,
MR RHYLKIM est le nom du possesseur de la carte.
Elle dispose également d’une puce électronique qui contient des informations tels que :
- Les types d’applications dont dispose le porteur de la carte,
- La façon d’encrypter et décrypter les codes,
- Le dialogue avec le terminal de paiement du commerçant et le distributeur de billets, qui ne sont que des intermédiaires entre la puce et le site de la banque.
Au Verso de la carte :
la piste magnétique permet d’utiliser la carte dans les pays où la puce n’est pas utilisée et en France dans certains cas comme les paiements aux péages autoroutiers (pour une question de rapidité aux caisses).
le cryptogramme visuel : il s’agit des 3 derniers chiffres de la référence de votre carte sur le panneau de signature. Il est demandé pour payer à distance que ce soit par internet ou par téléphone.
Maintenant que nous avons passé en revue une carte bancaire, se pose la question, mais comment copier une carte bancaire, vue tous les systèmes de sécurité ?
Comment les hackeurs obtiennent ils ces numéros de cartes bancaires ?
Oulà, je vous vois venir, NON je ne vais pas vous donner des numéros ou autres, juste vous expliquer le << comment font-ils >> pour en faire de fausses cartes bancaires.
Les Cybercriminels ou escrocs utilisent plusieurs méthodes ou du moins en utilisent une et font ce qu’ils veulent ensuite avec les numéros de cartes bancaires.
La technique la plus répandue est celle du phishing (hameçonnage); ensuite vient l’utilisation de Stealers & Keyllogers, l’utilisation de Botnets type ZEUS ou SpyEyes.
Il va de soit que ce genre de Hacking est réservé a une certaine élite. Mais à titre informatif, certains sites sur le “deepWeb” vendent ce genre de programme.
Ensuite vient la technique du “Skimming” qui est une technique qui copie une carte bancaire à l’aide d’une micro-caméra pour enregistrer votre code confidentiel ou d’un faux clavier et un système d’enregistrement de la piste magnétique, ce système est déposé sur un Distributeur Automatique Bancaire (DAB) qui est ensuite relevé par un escroc puis mis sur “un BlackMarket” pour ce qui concerne la partie “Carding“.
Le nom de cette technique est “Yes Card“, elle nécessite des outils relativement développés et couteux avec notamment l’utilisation d’un skimmer (un lecteur-enregistreur de pistes magnétiques miniature) des “white plastic” (cartes plastique) destinées à être réencodées, une imprimante thermique avec encodeuse, une plastifieuse , un ordinateur et une clé USB supportant une trame pour établir les fausses cartes bancaires.
Depuis 2012, les organismes bancaires ont palier à certains défaut de sécurité comme le nom du titulaire de la carte qui n’apparait plus dans les informations contenu dans la puce électronique.
En 2010 en France a fait son apparition les cartes bancaires a paiement sans contact (monéo). Ce système s’appui sur la technologie NFC (« Near Field Communication » ou communication en champ proche). Il vous suffit d’approcher votre carte à 3 ou 4 centimètres d’une borne ou d’un terminal de paiement chez le commerçant pour régler instantanément votre achat. Le paiement sans contact est limité à 20 €uros.
En france on compte environs 34,7 Millions de cartes disposant de ce dispositif soit 54% des utilisateurs de cartes bancaire. Environs 280 000 points de vente soit 21,5 % sont équipés de ce type de paiement.
Pour savoir si votre carte permet le paiement sans contact, vous devez avoir ce logo 
sur votre carte bancaire.
Comme toutes nouvelles technologie, celle-ci apporte son lot de nouvelles techniques d’escroqueries.
En effet, les escrocs ont trouvé certaines failles à ce système de paiement, ils utilisent une simple clé USB NFC (Near Field Communication) qui permet de récupérer le Numéro de la carte bancaire, le titulaire de la carte bancaire, la date d’expiration et les 20 dernières opérations réalisé par celle-ci. Ce type de clé USB NFC est disponible en toute légalité sur le net pour un prix moyens allant de 20 à 40 €uros.
La clé possède un connecteur USB mâle (type A) pour sa connexion à un ordinateur et son rechargement sur internet. Deux diodes caractérisent son fonctionnement. La clé ne fait pas office de stockage de données, du moins pour certaines.
La clé est équipée du système d’exploitation des cartes à puces et possède le même niveau de sécurité que les cartes sans contact.
Architecture simplifiée d’une clé USB sans contact
La méthode de récupération des informations de votre carte bancaire reste la même méthode pour l’achat via le dispositif “paiement sans contact”, il suffit à l’escroc d’approcher à 3 – 5 centimètres la clé USB sans contact de votre carte bancaire pour récupérer vos informations bancaire.
Ensuite, il lui suffit d’aller sur des site e-commerce ne réclamant pas le code à 3 chiffres situé derrière la carte (le code CCV), et d’acheter des produits pour des dizaines voir centaines d’euros. Ils existent certains site de e-commerce qui vous demande le code CCV ainsi que le nom du titulaire en plus du numéro de la carte bancaire, mais en inscrivant le nom de “toto” et pour code CCV “123” la commande est validée. (Voir la vidéo ci-dessous).
Où trouvent-ils ces numéros de cartes bancaires ?
Il va s’en dire que ce genre de trafique ce passe dans des espaces pas si facile d’accès. Cet espace a bien entendu un nom : Le deepweb (Web caché). Le DeepWeb représente environ 75% du trafic internet soit environ un trilliard de pages non indexées par les moteurs de recherche (Google, Bing, etc, …).
En gros c’est un espace en partie dédié aux Cybercriminels en tout genre, aux réseaux pédopornographique, etc, …
Les sites de ventes de numéros de cartes bancaires s’appellent des “BlackMarckets” (en français “Marché Noir“). Bien entendu il ne s’arrêtent pas à la vente de numéros de cartes bancaires, on y retrouvent également des Comptes Paypal.
Exemple de forums proposant des numéros de cartes bancaire sur le DeepWeb :
Dans cet exemple, vous pouvez voir que le prix pour un numéro de carte bancaire 1 carte avec 500 $ de garantis et jusqu’à 1 000 $ vaut 0.17 BTC (Bitcoin). La carte vaut un peu moins de 55 €uros pour être plus précis 53.35 €uros. 1 BitCoin vaut 313.83 €uros
Il existe aussi des sites proposant carrément la fabrication de la carte bancaire avec seulement la piste magnétique ou avec la puce et la bande magnétique.
A savoir
En Europe, les cartes bancaires sont bien protégées par la carte à puce et le système EMV ce qui fait qu’elles sont quasiment impénétrables. En Amérique du Nord et du Sud, en Asie et en Afrique les DAB (Distributeurs Automatique Bancaire) et autres Automates ne lisent que les pistes magnétique, ce qui fait que la plupart des victimes de Skimming ou de Carding ont des retraits abusifs émanant de ces régions du monde.
Une méthode pour vous prémunir de ce genre d’escroquerie est de demander à votre banque d’utiliser “Le Géoblocage“. Renseignez-vous auprés de votre conseiller bancaire.
Quels sont les risques à faire du Carding ?
L’article L163-4 du Code monétaire et financier punit de sept ans d’emprisonnement et de 750000€ d’amende, «le fait de contrefaire ou de falsifier une carte de paiement ou de retrait, de faire ou de tenter de faire usage, en connaissance de cause, d’une carte de paiement ou de retrait contrefaisante ou falsifiée, d’accepter, en connaissance de cause, de recevoir un paiement au moyen d’une carte de paiement contrefaisante ou falsifiée».
