Skimming et vol de cartes de crédit en ligne : l’histoire de Tommaso

25 May 2021 | Risques en ligne, Risques en ligne

Je n’aurais jamais imaginé qu’un vol de carte de crédit puisse m’arriver, pour me retrouver victime de ce qu’on appelle le skimming en ligne.
Il y a quelques mois, j’ai fait un achat sur un site de commerce électronique que je connaissais bien et que je fréquentais depuis des années.

Il s’agissait d’une société en qui j’avais confiance et d’un site Web protégé par https. Je me suis donc sentie en parfaite sécurité en saisissant mon numéro de carte de crédit pour finaliser l’achat.

J’ai acheté mon article, reçu un courriel de confirmation et ensuite mon produit à la maison. Tout s’est passé comme prévu.

Index

Ma relation avec les achats en ligne

Ma passion pour la gym

La découverte de l’arnaque

Je n’avais aucune idée de ce qu’était l’e-skimming

Comment j’ai résolu le problème

Ce que j’ai appris de l’attaque de l’écrémage

Ma relation avec les achats en ligne

J’avais souvent l’habitude de faire des achats en ligne sur des sites sécurisés, parfois même recommandés par mes connaissances ou mes collègues qui s’étaient amusés et avaient reçu leurs commandes sans problème. Personne n’aurait jamais pensé à un vol de données. Parmi mes amis et mes parents, les achats en ligne ne représentaient pas un risque, mais plutôt un moyen d’acheter plus facilement des biens et des services que l’on ne trouve souvent pas dans les magasins physiques, ou qui ne sont disponibles que sur le commerce électronique.  

Je n’avais jamais connu personne qui avait été victime de skimming, ou qui s’était fait voler sa carte de crédit sur le web. J’avais entendu parler, souvent aux informations, de personnes dont les cartes de crédit avaient été clonées par des distributeurs automatiques. J’avais entendu dire que les criminels avaient pu attacher un dispositif au lecteur de carte qui copiait les données de la bande magnétique. Ils obtiendraient toutefois le code PIN par le biais d’un faux clavier ou d’une micro-caméra cachée.

Cependant, je n’avais jamais été effrayé par le vol de données en ligne ou le skimming. J’avais surtout peur d’une attaque sur ma carte de crédit par le biais d’un site web que je connaissais très bien et auquel je faisais confiance, sur lequel j’avais déjà effectué plusieurs achats et chaque commande avait toujours été réussie.

Ma passion pour la gym

Je fais de l’exercice de manière régulière depuis 10 ans maintenant : avant la pandémie, j’allais régulièrement à la salle de sport 3 ou 4 fois par semaine. J’ai toujours été une personne très sportive, j’aime faire de l’exercice et me consacrer à mon bien-être, tant physique que mental.

Lorsque les gymnases ont été fermés et que nous avons été contraints de rentrer chez nous en raison du confinement, je n’ai pas abandonné et j’ai décidé de construire mon propre gymnase à domicile. J’ai commencé à chercher divers équipements sur les sites web des magasins physiques que je fréquentais, mais rien: tout était épuisé. Apparemment, je n’étais pas le seul à avoir cette idée.

Au cours de plusieurs discussions à l’heure du déjeuner ou au bar, j’ai découvert que certaines de mes connaissances et certains de mes collègues avaient des équipements sportifs chez eux, alors je leur ai demandé des conseils pour mes achats. Ils m’ont donné une liste de sites réputés sur lesquels ils avaient déjà acheté et dont ils étaient très satisfaits. N’ayant jamais été victime d’écrémage ou d’escroquerie en ligne, c’est après une longue recherche de ce qui pourrait me convenir que j’ai passé ma commande.

La découverte de l’arnaque

Quelques semaines plus tard, au milieu de la nuit, alors que je dormais, j’ai été réveillé par une notification provenant de mon téléphone. J’avais configuré l’authentification à deux facteurs sur mon compte bancaire et j’ai reçu plusieurs courriels me demandant de confirmer mes tentatives de connexion. De toute évidence, je dormais et je n’avais pas essayé d’accéder à l’application de mon compte. Quelqu’un entrait mon mot de passe et mon email corrects et activait l’authentification à deux facteurs.

J’ai couru vers mon ordinateur et vérifié le compte de ma carte de crédit. Il y avait des frais non autorisés là aussi. J’ai dû contacter la société de carte de crédit et la convaincre de la bloquer immédiatement. Je me suis donc retrouvé sans un seul euro jusqu’à ce que mon chèque de salaire arrive la semaine suivante. Je me suis même retrouvé dans la situation de devoir demander un prêt d’argent à ma famille.

Le lendemain, j’ai immédiatement contacté la police postale, qui a confirmé que ma carte de crédit et mes données personnelles avaient été volées. Je me sentais mal : j’avais été victime d’une arnaque en ligne. Je venais de donner aux criminels mon numéro de carte de crédit, mes mots de passe, mes coordonnées bancaires….. Probablement toutes les informations me concernant.

Je n’avais aucune idée de ce qu’était l’e-skimming

Après avoir fait bloquer ma carte de crédit, j’ai contacté la police postale pour obtenir de l’aide et trouver une solution à mon problème. Essentiellement, les agents m’ont expliqué la signification de l’e-skimming: il s’agit d’une fraude à la carte de crédit dans laquelle les attaquants exploitent une faille de sécurité et installent un logiciel malveillant sur la page de traitement du paiement.

Les agents de la police postale m’ont expliqué en détail en quoi consiste une attaque e-skimming contre des sites légitimes:

  • Ils ont attaqué le site légitime de commerce électronique et, exploitant une vulnérabilité qu’ils ont trouvée sur le portail, ont inséré un script malveillant;
  • J’ai saisi les informations relatives à ma carte de crédit pour procéder à l’achat;
  • Les données de la carte de crédit ont été interceptées par le script malveillant préalablement implanté par les fraudeurs, qui a transmis aux pirates une copie du numéro de carte, du titulaire, du code de sécurité, etc;
  • L’achat a toutefois réussi, car le site sur lequel j’avais passé ma commande a également reçu correctement les informations relatives au paiement, si bien que je n’ai rien remarqué immédiatement. Or, dans le même temps, les voleurs disposaient des données de ma carte: en effet, les montants résultant des achats effectués par les malfaiteurs m’étaient également facturés.

Comment j’ai résolu le problème

Dès que j’ai eu connaissance du problème, en plus de contacter les agents, j’ai contacté ma banque et fait immédiatement opposition à la carte de crédit. La police postale m’a fait porter plainte et la banque m’a indemnisé quelques semaines plus tard.

Ce que j’ai appris de l’attaque de l’écrémage

Peu importe la prudence dont vous faites preuve sur Internet : les pirates ont toujours une longueur d’avance et trouvent chaque jour un nouveau moyen de tromper les utilisateurs. Ce que je recommande à tous les achat en ligne est: 

  • Assurez-vous que le site est fiable, bien que cela ne soit pas toujours nécessaire pour se défendre contre les attaques;
  • Vérifiez que le site sur lequel nous faisons nos achats a https dans l’url, c’est-à-dire que le site dispose également du certificat SSL installé (visible avec le cadenas);
  • Activer les notifications par smsà chaque fois que vous effectuez une transaction, des conseils que la banque m’a donnés et que j’ai immédiatement mis en pratique;
  • Pour plus de sécurité, puisque j’ai été victime de skimming, Je n’utilise plus de carte de crédit pour les achats en ligne, mais une carte prépayéeque je charge au fur et à mesure des besoins.

La chose la plus importante que j’ai apprise est que sans formation il est plus facile de tomber dans le piège de toute attaque en ligne. Lire, étudier et approfondir autant que possible le sujet de la cybersécurité, ne serait-ce qu’en consultant blogs en ligne, est essentiel pour s’informer et être toujours prêt à combattre les pirates informatiques. 

Si vous pensez que cet article peut être utile à vos collègues et connaissances, n’hésitez pas à le partager, cela prend moins d’une minute et rend le web un peu plus sûr.

cyberefund emblema bianco e arancione

Défense et indemnisation contre les cyberattaques

CybeRefund Srl – Société de secours, siège social Piazza Luigi Vittorio Bertarelli, 1 – 20122 Milano (MI)
Numéro de TVA e code fiscal 11076520961