Que peut-on faire avec un numéro de carte bancaire ?

Vous avez constaté sur votre relevé bancaire un paiement que vous n’avez jamais réalisé ? Quelqu’un a utilisé vos numéros de carte pour payer sur un site Internet à votre insu ? Vous avez peut-être été victime d'une fraude à la carte bancaire.

Comment font les hackers pour pirater une carte bancaire ? Et comment les pirates utilisent les numéros de cartes bancaires volés en ligne ? Nous nous sommes penchés sur le sujet.

Au programme
  • Des cartes bancaires volées vendues sur le Darknet
  • Comment mes numéros de carte ont-ils été piratés ? 
  • Quels sont les autres types de fraudes bancaires ?
  • Pourquoi les pirates volent les cartes bancaires ?
  • Comment le pirate utilise-t-il mes numéros de carte ? 
  • Pourquoi est-ce si facile pour un pirate ?
Que peut-on faire avec un numéro de carte bancaire ?

Des cartes bancaires volées vendues sur le Darknet

Comme vous achèteriez une paire de chaussures sur Amazon, en quelques clics, un fraudeur peut obtenir sur le Darknet toutes les informations d’une carte bancaire volée : numéros, date d’expiration, CVV, nom du titulaire, pays de la banque... Le fraudeur peut même parfois obtenir votre date de naissance, votre numéro de téléphone et même le montant disponible sur votre compte bancaire !

Le prix auquel le fraudeur achète une carte volée dépend ainsi du nombre et de la qualité des informations vendues. Nous nous sommes rendus sur l’un de ces sites du Darknet. Et voici ce que nous avions la possibilité d’acheter…

  • Pour 75 € : les numéros d’une carte bancaire française, avec la date de naissance de son propriétaire et 1 700 € estimés sur le compte qui lui est rattaché.

  • Pour 10 € : les numéros d’une carte d’une banque européenne, avec près de 450 € estimés sur le compte qui lui est rattaché.
https://youtu.be/WBvIgbhktfs
La preuve en vidéo : on l'a fait.

Comment mes numéros de carte ont-ils été piratés ? 

Les fraudeurs sont particulièrement ingénieux lorsqu'il s'agit de subtiliser les informations bancaires des détenteurs de carte bancaire trop confiants. Petit rappel de quelques-unes des nombreuses techniques utilisées par les pirates informatiques pour collecter des numéros de carte bancaires.

Le « phishing »

Technique de fraude particulièrement répandue et diversifiée, l’hameçonnage - ou « phishing » pour les anglophones - a pour but de récupérer des informations personnelles et confidentielles (comme vos informations de cartes bancaires ou vos identifiants bancaires) via des messages qui semblent à première vue légitimes. Et ces messages sont envoyés de façon massive vers une multitude d’adresses mail ou de numéros de téléphone afin d’hameçonner le maximum de victimes.

Ces messages semblent provenir d’organismes ou d’entités qui vous sont familiers et semblent sérieux. Il peut s’agir d’un mail de la CAF vous demandant de confirmer vos identifiants, d’un message des services de Police qui vous indique que vous devez payer une amende, un email de Netflix expliquant que vous avez un problème avec votre abonnement… 

Ces messages qui cherchent à tromper votre vigilance sont fréquemment accompagnés d’une pièce jointe contaminée par un virus ou d’un lien internet vous menant à une page internet sur laquelle il vous sera demandé de renseigner des informations confidentielles. Comme les numéros de votre carte bancaire ou des données personnelles. 

Une fois ces données collectées, les fraudeurs les utilisent à votre encontre. Disposant de ces données confidentielles, ils peuvent notamment vous appeler, se faisant passer pour votre conseiller bancaire en prétextant des tentatives de paiement frauduleux ou des virements à annuler et ainsi obtenir les codes de validation de ces paiements ou même vos identifiants. 

Les faux sites internet

Autre type d’hameçonnage : les faux sites internets. Certains pirates vont en effet jusqu’à créer une activité avec un vrai site de e-commerce, censé vendre (et donc livrer) de la marchandise. Vous en avez probablement déjà vu sur les réseaux sociaux, avec des offres alléchantes sur des articles de premier choix. 

Mais celui-ci ne sert en réalité que de façade pour collecter des numéros de cartes bancaires ou recevoir des paiements en ligne pour des articles que vous ne recevrez évidemment jamais. De plus, si vous faites régulièrement des achats en ligne, vous aurez du mal à identifier le site frauduleux. 

L’autre technique concernant les sites de e-commerce est le piratage de sites marchands mal sécurisés. Même si c’est interdit, certains sites de vente en ligne sauvegardent les numéros de carte de leurs clients dans leurs bases de données. Des pirates peuvent alors s’y introduire afin de récupérer ces numéros. Lorsque de célèbres enseignes sont concernées, celles-ci préviennent leurs clients. Mais le temps qu’elles s’en rendent compte, il est souvent trop tard. Pire : lorsque ce sont de plus petits sites e-commerce qui sont concernés, vous n'êtes bien souvent pas prévenu parce que les sites eux-mêmes ne se sont pas rendu compte de l’intrusion.

Dans la vie de tous les jours

Dans un magasin, au restaurant, au téléphone (pour une réservation par exemple)... Autant de moments où vos numéros de carte peuvent être exposés à des tiers malintentionnés qui s’en serviront ensuite pour réaliser des achats ou les revendre sur le Darknet : 

  • Un caissier indélicat, votre carte bancaire à la main, se tourne vers son terminal de paiement. Puis il saisit discrètement son smartphone et en profite pour faire rapidement une photo de votre carte.

  • Lorsque vous communiquez vos numéros de carte à un opérateur au téléphone, l’employé peut noter les informations sur un bout de papier qu’il emportera chez lui. Néanmoins, cette situation est plus rare car beaucoup plus encadrée.

  • Au distributeur ou à la station essence, des fraudeurs insèrent un dispositif dans les machines automatiques. Au moment où vous insérez votre carte, le faux lecteur, appelé « skimmer », lit sa bande magnétique et copie ses informations. Là encore, vous n’avez rien vu.

  • Chez soi. C’est sans doute le cas de figure le plus désagréable, il n’est pourtant pas rare : un proche, un employé de maison ou un visiteur ouvre votre portefeuille et note vos numéros de carte.

Quels sont les autres types de fraudes bancaires ?

En plus des techniques évoquées plus haut - qui ont pour but premier de capter vos numéros de carte bancaires - d'autres types de fraudes sont à surveiller tout particulièrement. En premier lieu : l'escroquerie, au sens pénal du terme.

Selon l’article 313-1 du Code Pénal : « L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ».

Concrètement, un escroc se fera passer pour ce qu’il n’est pas (un banquier, un conseiller, un vendeur, un investisseur…) et tentera de créer un lien de confiance, voire un lien émotionnel, dans un seul but : détourner votre argent, notamment par l’obtention de vos informations de carte bancaire. Mais cela peut aussi être une personne qui agit en sa vraie qualité (un vendeur qui serait réellement vendeur, par exemple) et qui se sert de sa fonction à des fins frauduleuses.

Comment ? Les méthodes sont nombreuses mais nous pouvons évoquer plusieurs méthodes relativement classiques. 

L’escroquerie au faux investissement

Les escrocs demandent aux victimes d’investir dans un placement qu’ils présentent comme sûr et très attractif. Leur discours est bien rôdé, ils font en sorte de créer un lien rapide par le biais d’un échange téléphonique, mettent en confiance la personne et font miroiter des intérêts alléchants. Ils n’hésitent pas à réitérer leurs appels pour renforcer le lien avec la future victime et finissent par appuyer sur l’urgence de la situation et le caractère éphémère de l’opportunité. 

L’escroquerie peut-être isolée - un unique virement - ou peut s’intégrer dans un système plus sophistiqué et pyramidal. Dans ce deuxième cas, les investissements des victimes les plus récentes permettent de payer les intérêts des victimes les plus anciennes. Cela permet de créer une certaine légitimité aux yeux des victimes, qui perçoivent des intérêts, et n’hésitent donc pas à investir toujours davantage. Néanmoins, ce système finit par s’effondrer et l’investissement réalisé ne sera jamais retrouvé par les victimes. 

Pour éviter ce type de mésaventure, faites en sorte d’investir auprès d’acteurs agréés en se référant également à la liste noire de l’AMF et méfiez-vous des offres vous promettant des taux de rentabilité extravagants : la promesse d’argent facile dissimule bien souvent des risques importants d’escroquerie. Surtout dans le domaine de l’investissement.

L’escroquerie à la romance

Ce type d’escroquerie vise particulièrement les personnes sensibles (personnes âgées ou isolées). Une personne vous contacte sur les réseaux et un lien affectif se crée. Vous n’avez jamais rencontré cette personne physiquement mais vous lui parlez régulièrement et finissez par lui faire confiance. 

Cette personne s’épanche alors sur ses nombreuses difficultés (enfants malade, famille en situation de détresse…) et manifeste plus ou moins franchement le besoin d’une aide financière. Cela peut se faire par des demandes de virements de petites sommes (qui deviennent de plus en plus importantes ou fréquentes) et peut aller jusqu’à l’utilisation de la carte bancaire de la personne escroquée après avoir obtenu ses numéros de carte. 

L'arnaque au faux RIB

Ce type d'arnaque vise particulièrement les personnes qui sont en contact une autre personne ou avec une entreprise - dans le cadre d'une prestation professionnelle, par exemple - qu'elles doivent payer par le biais d'un virement. Cette dernière adresse donc une facture par email accompagnée d'un RIB afin de procéder au règlement.

Mais entretemps, l'email est intercepté par un tiers malintentionné qui a piraté la boîte email de l'entreprise ou de la personne qui doit faire le paiement. L'escroc envoie alors à la place email falsifié imitant la facture et accompagné de son RIB afin de détourner le paiement à son profit.

Les « mules financières »

Ce terme imagé désigne des personnes qui acceptent de recevoir sur leur compte bancaire des sommes d’argent obtenues illégalement (souvent par le biais d’arnaques au « phishing »). Ces « mules » vont ensuite transférer cet argent sur un autre compte, souvent à l’étranger, en échange d’une petite commission. C’est une des nombreuses techniques de blanchiment d’argent.

Les mules sont souvent des complices des criminels mais il peut également s’agir de victimes n’ayant pas conscience du caractère illicite de la manœuvre. Pourtant, ils s’exposent à d’importants risques pécuniaires mais également judiciaires.  

Bien souvent, un premier contact a lieu sur les réseaux sociaux avec la promesse de gagner une somme d’argent très rapidement et sans rien faire ou presque. Pour cela, il suffit simplement d’accepter un virement sur son compte bancaire puis de le transférer sur un autre compte ou d’accepter l’argent sur un nouveau compte bancaire et de fournir tous les identifiants, numéros de carte bancaire compris. 

Simple. Mais illégal et extrêmement risqué. Car dans la plupart des cas, la mule perd tout contrôle de la situation, se retrouve poursuivie par les services de police et les huissiers pour les infractions commises avec le compte bancaire, la personne devient interdite bancaire… Toute sa vie se retrouve alors lourdement impactée.

Pourquoi les pirates volent les cartes bancaires ?

Quelle que soit la technique de vol utilisée, l’objectif du voleur bien organisé est le plus souvent de revendre vos numéros de carte à un autre fraudeur qui l’utilisera pour payer en ligne. Car il sera alors impossible de remonter jusqu’à lui. Il pourra continuer à voler des numéros de carte sans risquer de se faire prendre.

Pour les vendre à un bon prix, il va tenter de collecter des informations sur vous, en plus des numéros de la carte. Comme votre nom, votre adresse postale, votre numéro de téléphone, mais aussi votre solvabilité.

Il va même aller jusqu’à tester la carte en faisant des petits achats ou des autorisations qui ne seront pas visibles sur le relevé de compte (à part pour les porteurs de cartes qui notifient instantanément de chaque tentative). Il pourra ainsi apporter la preuve à l’acheteur que la carte fonctionne, sans que vous sachiez qu’une fraude est en cours.
Il peut donc s’écouler un laps de temps important entre le vol et l’usage frauduleux de vos numéros de carte.

Comment le pirate utilise-t-il mes numéros de carte ? 

Une fois vos numéros de carte revendus à un fraudeur, ce dernier l’utilise pour effectuer des achats :

  • En saisissant vos numéros de carte dans un formulaire de paiement sur Internet. Le fraudeur effectuera des achats à l’envie en variant les montants et les sites de vente en ligne, pour ne pas être repéré par les commerçants. Plutôt qu’effectuer un paiement conséquent d’un seul coup, un fraudeur expérimenté préférera réaliser des achats plus standards sur plusieurs sites, pour ne pas éveiller les soupçons.

  • En se servant de vos numéros de carte pour alimenter un portefeuille virtuel. Le fraudeur utilisera ces relais pour payer comme bon lui semble sur Internet, pour effectuer des paiements mobiles en sans contact en magasin, ou pour virer votre argent vers son compte bancaire. Il pourra également envoyer de l’argent à l’étranger (avec Western Union, par exemple).

Les fraudeurs multiplient ces transactions jusqu’à épuisement de votre compte, jusqu’à atteindre le plafond de la carte, ou jusqu’à ce que vous y fassiez opposition.

Pourquoi est-ce si facile pour un pirate ?

Parce que chacun des maillons de la chaîne a ses propres failles :

  • Les sites de vente en ligne ne sécurisent pas toujours l’étape du paiement (avec des procédures comme le 3DSecure, qui consiste à envoyer un code par SMS au porteur de la carte afin de s’assurer que c’est bien lui qui effectue l’achat sur Internet). Ils craignent, à juste titre, de perdre des clients en imposant trop d’étapes d’authentification au moment de l’achat.

  • Les banques n’envoient pas toujours ce code d’authentification par SMS pour sécuriser un achat Internet lorsque le site le demande. Certaines banques demandent parfois seulement la date de naissance du porteur. Une information qui est disponible publiquement et facilement accessible pour un pirate. Aussi, les banques n’affichent les paiements effectués par carte sur le relevé bancaire de leurs clients que 48h après qu’ils aient eu lieu.

  • Nous, titulaires de cartes, ne demandons pas à notre banque d’imposer systématiquement une “double authentification” (3DSecure) pour chaque achat en ligne effectué avec notre carte bancaire. Et nous ne faisons pas assez attention à qui peut avoir accès aux numéros inscrits sur notre carte.

  • Certaines personnes en situation de détresse financière ou qui ne sont pas assez méfiantes face aux arnaques sur Internet se laissent séduire par la trop belle promesse d'une somme d'argent gagnée rapidement.

En attendant que le secteur des achats en ligne soit totalement sécurisé, les cartes virtuelles Lydia sont probablement la meilleure solution pour des transactions sur Internet en toute sérénité.

Vous aimerez aussi