Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RSA : Le « Mass Card Checker », une nouvelle menace pour les usagers du web

juin 2009 par RSA ANTI-FRAUD COMMAND CENTER

Les ingénieurs du centre de recherche et d’intelligence de l’Anti Fraud Command Center ont repéré, traqué et contrecarré les méfaits du Mass Card Checker permettant d’effectuer des vérifications à grande échelle des informations présentes sur une carte de paiement obtenue frauduleusement.

Grâce à cet outil les fraudeurs multiplient leurs chances d’obtenir des données bancaires et peuvent ainsi se servir normalement d’une carte de crédit contrefaite.

Le Mass Card Checker permet de tester les informations contenues dans un nombre illimité de cartes grâce à une routine informatique, ceci via le système de vérification d’adresse (AVS – Address Verification System) mis en place par les sites marchands - qui vérifient automatiquement la validité des cartes enregistrées pour un paiement.

Ce ‘Mass Card checker’ récupère l’intégralité des données d’une carte de paiement sans même passer par des étapes de vérification primaires (par exemple, tester la validité des informations obtenues en se servant de la carte pour effectuer des achats de petites valeurs).

Le RSA AFCC a identifié le mode de fonctionnement de cet outil en traquant son action sur le site d’un commerçant en ligne :

1. Le ‘Mass Card Checker’ accède à l’URL du commerçant en ligne en récupérant les identifiants de connexion d’un utilisateur à la source même du site marchand.

2. Le site marchand autorise ses utilisateurs à modifier leurs coordonnées bancaires. Les pirates peuvent, en modifiant les identifiants, accéder aux données préenregistrées. Des vérifications en chaîne sont alors déclenchées et l’ensemble des informations peuvent ainsi être récupérées. Les données bancaires collectées sont aussitôt associées à des cartes bancaires contrefaites ou volées.

3. Le site marchand entame une procédure automatique de vérification des coordonnées bancaires (système AVS – Address verification System). Contrairement à ce qu’il peut laisser penser, si le message d’erreur suivant apparaît, il confirmera la validité des informations obtenues :

Les données de paiement entrées ne correspondent pas aux données transmises par votre banque

Ce message de routine qui apparaît lorsqu’une erreur de saisie a été commise signifie en fait que les données de paiement sont valides mais que c’est l’adresse de facturation qui ne correspond pas.

A l’inverse lorsque l’ensemble des informations (données bancaires et adresse de facturation) ne correspondent pas c’est le message suivant qui apparaît :

Désolé, votre banque ne nous a pas transmis l’autorisation nécessaire à la poursuite l’opération

Lorsque le fraudeur voit apparaître le premier message sur son écran, il peut utiliser la carte dans des conditions d’utilisation normales. La ruse consiste donc ici à connaître la différence qui existe entre ces 2 messages.

Une fois cette faille dans le système trouvé les fraudeurs n’ont plus qu’à lancer des vérifications de masse pour valider des cartes de paiement frauduleuses.

Le RSA AFCC a informé le commerçant en ligne de cette technique qui a pu invalider le compte d’utilisateur piraté pour utiliser le Mass Card Checker et blacklister son utilisateur. Le site marchand a donc pu recourir à une solution de sécurité permettant de sécuriser de manière optimale les données de ses utilisateurs.


Voir les articles précédents

    

Voir les articles suivants