Fiche d’information...

6
Police judiciaire fédérale Direction crimininalité économique et financière Federal Computer Crime Unit Internet Investigations & eFraud ePayment systems fraud Fiche d’information skimming Version 23-09-2010 Description du phénomène & modus operandi Profil des auteurs Quelques chiffres Cadre légal Procédure Références Informations de contact

Transcript of Fiche d’information...

Page 1: Fiche d’information skimmingeripgip.synology.me/chamilo/polsearch/documents/skimmingFICHEfccu... · Version: 23-9-2010 Fiche skimming INTERNE POLICE p. 2/6 1. Description du phénomène

Police judiciaire fédérale

Direction crimininalité

économique et financière

Federal Computer Crime Unit

Internet Investigations &

eFraud

ePayment systems fraud

Fiche d’information skimming

Version 23-09-2010

Description du phénomène & modus operandi

Profil des auteurs

Quelques chiffres

Cadre légal

Procédure

Références

Informations de contact

Page 2: Fiche d’information skimmingeripgip.synology.me/chamilo/polsearch/documents/skimmingFICHEfccu... · Version: 23-9-2010 Fiche skimming INTERNE POLICE p. 2/6 1. Description du phénomène

Version: 23-9-2010 Fiche skimming INTERNE POLICE

p. 2/6

1. Description du phénomène et modus operandi La fraude à la carte de paiement est le terme le plus large qui englobe toute une série de catégories de délits avec des cartes de paiement. Il s’agit d’un délit contre la propriété où l’on utilise réellement (‘card present’) ou virtuellement (‘card not present’) les données d’une carte de paiement dérobée ou copiée. Le. skimming appartient à la catégorie de la ‘card present’-fraude. Bien que cette fiche se concentre principalement sur le skimming, nous passons ci-dessous brièvement en revue les autres formes tant de ‘card present’- fraude que ‘card not present’-fraude. Nous vous donnons ensuite quelques informations sur le profil des auteurs et sur le cadre légal. Cette fiche contient également quelques recommandations concrètes (tant préventives que réactives) pour les services de police pour arriver ensemble à de meilleurs résultats dans la lutte contre la fraude à la carte de paiement. 1.1. ‘Card present’ –fraude On parle de ‘card present’-fraude lorsque le fraudeur a eu physiquement dans les mains la carte de paiement. Trois formes de fraude à la carte de paiement répondent à ce critère, à savoir le skimming, le vol de carte et le card trapping. 1.1.1. Skimming Lors d’un ATM1-skimming, un faux dispositif est fixé au-dessus de la fente dans laquelle la victime introduit sa carte bancaire. Une minuscule caméra qui enregistre les touches composées par la victime est également installée. Nous constatons cependant de plus en plus que les skimmers n’utilisent plus qu’un seul appareil compact qui est fixé au-dessus du lecteur de carte original. Ce petit appareil combine les deux fonctions (copiage de la bande magnétique et enregistrement sur image du code de la victime).

L’installation d’un appareil de skimming prend peu de temps. L’appareil est fixé à l’aide de ruban adhésif double face ou de silicone. Le placement de l’appareil s’effectue souvent en dehors des heures d’ouverture de l’agence bancaire. L’appareil est déjà récupéré par les auteurs quelques heures plus tard. Les données volées sont ensuite copiées sur la bande magnétique d’une autre carte. Il peut s’agir de cartes vierges, on parle alors de ‘white plastic’. Les cartes de clients des chaînes de magasin entrent aussi en ligne de compte. De plus en plus, les données digitales (volées) sont transmises via internet à des complices à l’étranger qui utilisent très rapidement les données copiées.

L’appareil de skimming lui-même s’obtient aussi aisément via internet en kits prêts à l’emploi. Lors de POS2-skimming, on s’intéresse spécifiquement aux terminaux bancaires qui sont placés dans les grandes surfaces, les magasins et les hôtels. Ce phénomène n’existe actuellement pas en Belgique grâce à l’utilisation de la puce. Lors des transactions effectuées sur ces appareils, seule la puce est lue et non plus la bande magnétique.

1 ATM of Automated Teller Machine: distributeur de billets. 2 POS of Point of Sales: terminal bancaire dans les supermarchés, hôtels,..

Page 3: Fiche d’information skimmingeripgip.synology.me/chamilo/polsearch/documents/skimmingFICHEfccu... · Version: 23-9-2010 Fiche skimming INTERNE POLICE p. 2/6 1. Description du phénomène

Version: 23-9-2010 Fiche skimming INTERNE POLICE

p. 3/6

Une variante de skimming qui connaît une forte progression concerne le UPS3 -skimming. Les skimmers placent un appareil sur le terminal bancaire qui se trouve dans les stations d’essence sans employés. Les appareils qui sont installés sont des modèles ‘all in one’. Ils combinent deux fonctions, le copiage de la bande magnétique d’une part et l’enregistrement sur image du code lorsque celui-ci est composé par la victime. Vu qu’ils sont souvent fait sur mesure en

fonction de la marque du terminal bancaire, il est difficile de déceler ces appareils. 1.1.2. Vol de la carte Outre le skimming, il existe une seconde forme de ‘card present’-fraude de vol de la carte. Cela peut se produire par vol à la tire. Lors d’un paiement dans un magasin ou lors d’un retrait d’argent à un ATM, la victime est tenue à l’oeil, le fraudeur regarde par-dessus l’épaule – aussi appelé shouldersurfing - tandis qu’elle introduit son code et lui vole ensuite sa carte. Outre le vol à la tire, le Social engineering est un autre mode opératoire qui est utilisé, où la victime est distraite par les fraudeurs, après quoi sa carte lui est dérobée. 1.1.3. Card trapping

Une dernière variante est le ‘card trapping’. La carte de la victime est bloquée dans le terminal en utilisant une ‘loupe libanaise’ ou un ‘collet marseillais. La technique consiste à placer une boucle dans la fente du terminal où la victime introduit sa carte. La carte est ainsi bloquée dans la fente. La victime pense que la carte a été avalée et quitte les lieux. Le fraudeur n’a plus qu’à récupérer la carte dans la fente. D’autres formes de ‘card present’-fraude sont les fausses demandes de cartes de paiement et les cartes non reçues. En cas de fausses demandes, les documents

d’identité d’une autre personne sont utilisés pour demander une carte de crédit. Ce n’est que lorsque la limite de la carte est dépassée que la fraude est mise au jour. La fraude avec les cartes non reçues est commise en interceptant le courrier de la poste. On obtient ainsi tant la carte que le code. 1.2. ‘Card not present’ -fraude Lorsque les cartes de paiement ne sont pas physiquement présentes, on parle de ‘card not present’-fraude. Par le biais d’internet, cette forme de fraude augmente fortement. Les données des cartes bancaires peuvent ainsi être interceptées par hacking. En dépit du fait que l’enregistrement des données des cartes de crédit soit soumis à de nombreuses exigences, il arrive encore que des bases de données soient piratées. Outre le hacking, des données de carte de crédit sont également obtenues par phishing. En utilisant un courriel falsifié, on tente de soutirer des données sensibles à la victime. Cela s’effectue notamment en l’amenant sur un faux site web où il lui est demandé de communiquer des informations personnelles comme le nom d’utilisateur, le mot de passé, le numéro de carte de crédit, le code CVV4. Les informations sont ensuite transmises au fraudeur qui se sert des données.

3 UPS of Unattended Petrol Station Terminals: terminaux bancaires présents dans les stations d’essence. 4 code CVV ou Credit Card Validation Value: celui-ci se trouve au verso de la carte de crédit et se compose de 3 chiffres.

Page 4: Fiche d’information skimmingeripgip.synology.me/chamilo/polsearch/documents/skimmingFICHEfccu... · Version: 23-9-2010 Fiche skimming INTERNE POLICE p. 2/6 1. Description du phénomène

Version: 23-9-2010 Fiche skimming INTERNE POLICE

p. 4/6

2. Profil des auteurs Les faits de skimming constatés en Belgique sont principalement commis par des bandes d’Europe de l’est. Alors que les bandes roumaines semblaient les mieux organisées en 2008, nous voyons qu’entre-temps, le flambeau a été repris par des bandes bulgares.

3. Quelques chiffres

Nous voyons qu’en 2009, le nombre d’infractions a déjà doublé par rapport à 2007. Pourtant, nous utilisons en Belgique des cartes de paiement qui sont ‘emv-compliant’ ou, en d’autres termes, conformes aux normes emv. Cela signifie concrètement que nous n’utilisons dans notre pays que des cartes de paiement avec la combinaison puce et PIN. Les criminels dans notre pays peuvent donc bien copier les données de la bande magnétique (pas encore la puce) mais ne peuvent s’en servir que dans les pays qui ne sont pas encore, ou dans une mesure limitée, ‘emv-compliant’. Dans ce pays, en effet, la bande magnétique suffit pour effectuer une transaction. The Single European Payments Area ou SEPA est une initiative de la Commission européenne (CE) qui a été développée et réalisée par le secteur bancaire. SEPA veille à ce que les citoyens et les entreprises puissent effectuer leurs paiements avec les mêmes moyens de paiement dans toute la zone euro et à terme dans toute l’Europe unie. En ce qui concerne le volet des cartes de paiement, cela implique que nous passions à une carte de paiement européenne, avec laquelle le consommateur aura accès à tous les ATM, selfbankings et terminaux POS (Point of Sales)-en Europe. Nous pouvons déjà constater qu’il y a une forte augmentation du nombre de faits pour 2010. Cela est confirmé par la Banque de Données Nationale (BNG) d’une part, et par les contacts avec le secteur bancaire d’autre part.

4. Cadre légal La Loi sur la criminalité informatique5 a ajouté quelques nouvelles infractions au Code pénal: faux en informatique (art 210bis Cp), fraude informatique (art 504quater Cp), hacking (art 550bis Cp) et sabotage informatique (art 550ter Cp). Toutes les formes de fraude ‘card present’ (dont le skimming) peuvent être qualifiées de fraudes informatiques. Les fraudes 'card not present' relèvent du hacking.

5. Procédure

5 Loi relative à la criminalité informatique du 28 novembre 2000, M.B. 3 février 2001.

419

639

859

0200400600800

1000

2007 2008 2009nom

bre

d'in

frac

tions

année

faits de criminalité informatiquemodus operandi skimming

Source: BNG, Question parametrique DST 05/01/2010

Page 5: Fiche d’information skimmingeripgip.synology.me/chamilo/polsearch/documents/skimmingFICHEfccu... · Version: 23-9-2010 Fiche skimming INTERNE POLICE p. 2/6 1. Description du phénomène

Version: 23-9-2010 Fiche skimming INTERNE POLICE

p. 5/6

Pour réagir en tant que service de police de manière adéquate à la forte hausse du nombre de faits de skimming, nous vous donnons ci-après quelques recommandations concrètes (facultatives). Il va de soi que cela ne porte pas préjudice aux directives des arrondissements en vigueur. 5.1. Niveau préventif Il est possible de télécharger une fiche pdf relative à la fraude par cartes de paiement. La fiche contient également quelques conseils de prévention concernant l’utilisation de la carte de paiement, les retraits d’argent et les paiements en ligne. Le service d’intervention de la zone de police peut consacrer une attention particulière aux appareils ATM (distributeurs bancaires) en reprenant les emplacements dans un schéma de patrouille. 5.2. Au niveau réactif 5.2.1. L’appareil a déjà été enlevé avant que l’intervention policière n’ait lieu :

- Rédaction d’un procès-verbal classique se rapportant à la fraude informatique

- Préservation et saisie des images potentielles prises par les caméras de surveillance

- Publication du matériel visuel dans le Bulletin de Recherche et de Publication (RIB-BRI) en vue de la reconnaissance de suspects

- Avertissement à Atos Worldline qui gère les transactions de tous les ATM en Belgique via le tél 02 727 84 36 ou en dehors des heures de bureau via Cardstop 070 344 344. Cette prise de contact permettra:

D’avoir un aperçu des dernières transactions effectuées sur des ATM De savoir quelles cartes ont été skimmées De bloquer les cartes bancaires des victimes (qui ne sont elles-mêmes pas encore au

courant) 5.2.2. L’appareil est toujours présent sur l’ATM (flagrant délit):

- Observation de l’ATM afin de trouver l’auteur potentiel: lorsque l’appareil de skimming est récupéré par le suspect, on peut vérifier avec quel véhicule il se déplace, qui se trouve en sa compagnie, où le suspect séjourne,...etc.

- Lors de l’interpellation du/des suspect(s): prise d’empreintes digitales, de photos, copie des documents

d’identité, saisie du GSM, etc.

- Rédaction d’un procès-verbal classique se rapportant à la fraude informatique

- Saisie de l’appareil de skimming en vue de la prise de traces par le labo d’une part et d’une analyse forensique éventuelle par la Computer Crime Unit régionale (RCCU) de votre arrondissement judiciaire d’autre part.

- Conservation et saisie des éventuelles images des caméras de surveillance

- Publication du matériel visuel dans le Bulletin de Recherche et de Publication (RIB-BRI) en vue de liens éventuels à établir entre suspects d’autres faits

Page 6: Fiche d’information skimmingeripgip.synology.me/chamilo/polsearch/documents/skimmingFICHEfccu... · Version: 23-9-2010 Fiche skimming INTERNE POLICE p. 2/6 1. Description du phénomène

Version: 23-9-2010 Fiche skimming INTERNE POLICE

p. 6/6

- Avertissement à Atos Worldline qui gère les transactions de tous les ATM en Belgique via le tél 02 727 84

36 ou en dehors des heures de bureau via Cardstop 070 344 344. Cette prise de contact permettra: D’avoir un aperçu des dernières transactions effectuées sur des ATM De savoir quelles cartes ont été skimmées De bloquer les cartes bancaires des victimes (qui ne sont elles-mêmes pas encore au

courant)

6. Références6 - “Le skimming en Belgique, où en sommes-nous?”, DELPLACE, M., Atrium News, bulletin d’information de DGJ/DJF,

numéro 11, novembre 2008. (disponible via Portal à l’aide d’une recherche dans PolDoc). - “Le skimming en Belgique, où en sommes-nous?”, une analyse du phénomène skimming dans le cadre de la

fraude à la carte de paiement, DELPLACE, M., Bruxelles, 18 septembre 2008. - “Fraude met elektronische betaalkaarten: een fenomeen in opmars in regio Antwerpen”, Communiqué de presse

de la police fédérale, Antwerpen, 03 juin 2010. - “Nouvelle approche pour une lutte encore plus efficace contre les groupes d’auteurs itinérants”, Communiqué de

presse de la police fédérale, Bruxelles, 28 mai 2010. - Brochure “L’approche des groupes d’auteurs itinérants, de nouveaux défis”, Premier Ministre, Ministre de la

Justice, Ministre de l’Intérieur, Edition 2010, http://www.polfed-fedpol.be/crim/pdf/Itinerants_FR.pdf - Rapport annuel 2009, Direction de la criminalité économique et financière police judiciaire, Politiea, 2010. - Question parlementaire nr. 477 concernant le skimming de Mr. Xavier Baeselen dd. 08 février 2010 au Ministre

de l’Intérieur, QRVA 52-95, 22 février 2010. - “Fraude avec cartes de paiement”, fiche d’information Federal Computer Crime Unit, http://www.polfed-

fedpol.be/pub/brochures/pdf/cartes-de-paiement-FR-pdf

7. informations de contact Pour des informations ou un appui relatifs à cette matière, vous pouvez nous contacter via les coordonnées ci-dessous: POLICE JUDICIAIRE FEDERALE DIRECTION CRIMINALITE ECONOMIQUE ET FINANCIERE FEDERAL COMPUTER CRIME UNIT EPAYMENT SYSTEMS FRAUD CP RENE RAYMENANTS – CP KOEN VAN POUCKE 02 743 74 74 02 743 74 19 [email protected]

6 Tous les documents sont consultables via Portal à l’aide d’une recherche dans PolDoc.