Prévention du vol de clavier NIP

Prévention du vol de clavier NIP

Protégez votre clavier NIP. Protégez vos clients. Protégez votre réputation.

Aperçu

– Trousse d’outils de prévention du vol de clavier NIP– Vol de clavier et manœuvres de clonage.

• Présentation de la problématique et ampleur du problème• Personnes impliquées• Déroulement du vol• Exemples de claviers NIP trafiqués• Conséquences• Solutions technologiques• Pratiques exemplaires et solutions

– Conclusion et questions

Halo Metrics Inc.

• Les vols de clavier NIP ont considérablement augmenté au cours des 3 dernières années.

• Nos clients ont réclamé des mesures de sécurité plus rigoureuses pour contrer ces manœuvres.

• Nous offrons désormais toute une gamme de solutions préventives à cet égard.

Présentation de la problématique

Les terminaux de clavier NIP sont volés, trafiqués, puis réinstallés en vue d’usurper les renseignements bancaires des clients.

Cette manœuvre menant à la fraude et au vol d’identité est communément appelée « clonage ».

Ampleur du problème• Le personnel de Halo Metrics a constaté une

augmentation importante du nombre de demandes pour des solutions de protection des claviers NIP au cours des trois dernières années.

• Selon certaines sources de l’industrie, les arrestations liées au vol de clavier NIP ont connu une hausse de 300 % au cours de la dernière année.

Personnes impliquées

• Le clonage est une activité criminelle lucrative difficile à détecter et à prévenir.

• Par conséquent, cette activité est attrayante pour l’ensemble de la collectivité criminelle, du crime organisé en passant par les organisations plus modestes.

Personnes impliquées

• Le vol de clavier NIP est généralement le résultat d’un effort collectif organisé, notamment par des équipes professionnelles du crime organisé.

• La tentative de vol implique habituellement plus d’un participant.

Exemple

Deux personnes pénètrent dans un magasin.

Exemple

La femme surveille les alentours pendant que son partenaire procède au vol du clavier NIP.

Il est : 19 h 52 min 2 s.

Exemple

La femme tente de distraire un client.

Il est : 19 h 52 min 9 s.

Exemple

Il est : 19 h 53.

Exemple

Le vol est terminé.

Il est : 19 h 53.

Déroulement du vol• Dans cet exemple, le voleur est arrivé à retirer

le clavier NIP d’un support d’affichage en métal de faible épaisseur en moins de 60 secondes.

• Les tiges de support pour clavier dépourvues de dispositif de sécurité n’offrent que très peu de protection, voire même aucune.

• Les claviers NIP posés sur un comptoir peuvent être volés en moins de trois secondes.

Méthodes utilisées pour trafiquer les claviers NIP

• Les criminels insèrent un lecteur de cartes dans le terminal de clavier volé.

• Le clavier trafiqué est ensuite réinstallé.

Exemples de vols de claviers NIP

Renseignements fournis par :

Photographie Technique d’écrémage

Un autocollant montrant les détails du produit et un numéro de série est apposé sous le terminal. La majorité des terminaux affichent également un numéro de série de façon électronique.

Lors de votre vérification régulière, notez le numéro de série sous le terminal et comparez-le avec le numéro électronique.

De plus, passez un doigt sur l’autocollant pour vérifier s’il ne dissimule pas une contrefaçon.



Les terminaux sont souvent dotés d’autocollants de sécurité ou d’étiquettes d’entreprise posés sur les orifices de vis ou les fentes, ce qui permet de déterminer si le boîtier a été ouvert.

En général, les criminels retirent ces étiquettes pour contrefaire les terminaux et apposent parfois leurs propres autocollants.

À la livraison du terminal, notez attentivement la position, la couleur et le matériau des étiquettes.

De plus, inspectez le terminal pour détecter tout signe montrant que l’étiquette a été retirée ou trafiquée.




Les dispositifs de clonage insérés dans le terminal sont invisibles, de façon à ce que ni le commerçant ni le personnel ne puisse soupçonner quoi que ce soit.

Cette photo montre un dispositif de clonage inséré dans un terminal. Ce dispositif est normalement dissimulé par le couvercle de la carte SIM.



Dans cette situation, le criminel s’est fait passer pour un technicien auprès du personnel du commerce.

Il a affirmé que pour prévenir la fraude par carte de crédit, le terminal devait être placé dans cette boîte de sécurité. Il a ensuite remis un feuillet d’instructions au personnel.

La boîte contenait un dispositif de clonage de carte et une caméra miniature.

Méfiez-vous des visites de technicien à l’improviste.

Méthode d’enregistrement des données

• Le lecteur de carte enregistre les renseignements bancaires.

• Ces données peuvent être téléchargées manuellement – Les voleurs viendront

reprendre le clavier NIP.



Ces données peuvent aussi être téléchargées sans fil.

•Cette vue aérienne démontre comment les connexions sans fil peuvent s’étendre bien au-delà des murs d’un magasin.

Conséquences

• Pour le propriétaire ou l’exploitant– Perte d’un bien (clavier) 300 $ - 500 $;– Coûts potentiels liés à des services d’expertise

judiciaire ou d’analyse des systèmes;– Possibilité de poursuites judiciaires;– Départ d’employés.

Conséquences• Pour le client

– Renseignements bancaires compromis• Susceptible d’être victime de vol d’identité• Perte pécuniaire

– Complications et frustrations liées au remplacement des documents personnels, cartes bancaires, etc.

Conséquences

• Les manœuvres de clonage peuvent grandement affecter le comportement d’achat des victimes, chez qui on peut notamment observer :

– un changement dans les habitudes d’achat;– un changement des lieux de magasinage;– un penchant pour d’autres méthodes de

paiement;– une baisse d’utilisation des cartes de débit.

Conséquences

• Couverture médiatique– Les médias conseillent au grand public de faire les

courses dans les magasins munis d’équipement de protection pour les claviers NIP.

Conséquences

• Conséquences minimes sur le vol de claviers NIP– Les criminels ne feront pas l’objet d’accusations de

vol d’identité ou de fraude bancaire.– À l’origine, le crime consiste en un simple vol. Par

conséquent, les accusations à cet égard sont généralement peu sévères et résultent habituellement en une amende ou une période de probation.

Solutions technologiques• Les terminaux de clavier NIP se perfectionnent

– Terminaux de paiement sans contact et technologie à puce et à NIP.

• Les nouvelles technologies offrent une solution à court terme– Tous les commerçants devront se munir d’un système

à puce et à NIP dans les 5 prochaines années.– Il est plus difficile de contrefaire des cartes à puce et

à NIP.

Solutions technologiques• Le Royaume-Uni utilise la technologie à puce et

à NIP depuis déjà plusieurs années.• La société Shell a interdit le paiement par carte à

puce et à NIP dans 600 de ses stations-service au Royaume-Uni en mai 2006.

• Une fraude par carte à puce et à NIP d’un million de livres sterling avait eu lieu dans une station-service Shell.

• Adresse URL de l’histoire : http://www.silicon.com/research/specialreports/idmanagement/0,3800011361,39158743,00.htm

Solutions technologiques

• « Néanmoins, la porte-parole d’Apacs a confié à notre journaliste que les criminels ont dû bénéficier d’un accès facile aux claviers NIP, puisque la modification de ceux-ci en vue de voler les NIP et de copier les renseignements sur la bande magnétique est une tâche qui requiert du temps. »

Solutions technologiques

• À chaque nouvelle percée technologique, et celle-ci n’y fait pas exception, les criminels tentent de trouver une faille et le processus devient un cycle continu.

• Les technologies évoluent, mais les criminels emboîtent le pas.

Pratiques exemplaires

• Les recommandations ci-dessous vous aideront à créer des processus et à miser sur la sensibilisation pour prévenir ces crimes.

Analyse du risque

• Le processus d’analyse du risque de clonage et le point de vente devraient au moins comprendre les éléments suivants :– une liste du matériel;– une liste des menaces possibles;– un examen des probabilités de vol.

Liste du matériel

Menace et probabilité

• Le clonage est fréquent– Il s’agit de l’une des menaces les plus courantes au

sein de l’industrie de la vente.– Les facteurs qui favorisent l’augmentation des

probabilités de vol comprennent notamment :


• Un volume élevé de transactions– Les criminels cherchent à obtenir le plus de

données possible sur les comptes et les NIP en un court laps de temps.

– Les commerçants qui reçoivent de nombreux paiements modiques (tels que les exploitants de stations-service) courent un risque de vol plus élevé.


• L’utilisation fréquente d’un terminal– Le recours à un terminal unique pour traiter de

nombreuses transactions pourrait favoriser les tentatives de vol.

– Les guichets automatiques en magasin constituent un bon exemple d’un tel terminal.


• Les périodes de pointe pour les ventes– Les commerces qui connaissent des périodes de

pointe prévisibles peuvent être ciblés par les voleurs de clavier NIP.

– Les Fêtes, les événements spéciaux et les promotions incarnent quelques exemples de périodes de pointe.

Questionnaire sur l’évaluation du risque

Répondre au questionnaire en ligne sur l’évaluation du risque à halometrics.com/pinpad

Pratiques exemplaires• Trois catégories principales

– Sécurité matérielle du magasin;– Protection du terminal de clavier NIP;– Accessibilité du personnel et des fournisseurs de

services aux terminaux de clavier NIP.

Sécurité matérielle du magasin

• Infrastructure du terminal– Câbles et lignes de

communication;– Réduire le nombre de câbles à

découvert;– Restreindre l’accès aux fils et

câbles du terminal;– Protéger les pièces où se

trouvent les téléphones, les panneaux électriques, les routeurs, etc.

Sécurité matérielle du magasin• Infrastructure du terminal

– Câbles et lignes de communication;

– Réduire le nombre de câbles à découvert;

– Restreindre l’accès aux fils et câbles du terminal;

– Protéger les pièces où se trouvent les téléphones, les panneaux électriques, les routeurs, etc.

Sécurité matérielle du magasin• Caméras et positionnement

– Veiller à ce que les guichets automatiques et les caisses soient suffisamment éclairés.

– Filmer la zone où ont lieu les transactions, en évitant de capter les renseignements sur le NIP;

– Inspecter immédiatement les terminaux en cas de déplacement ou de bris de caméra ou si l’image a été bloquée.

Protection du terminal de clavier NIP

• Débuter avec un inventaire complet des modèles des claviers NIP du magasin.

Gracieusement fourni par :


• Noter tous les branchements au terminal.


Des espions de clavier enregistrent toutes les frappes de la caisse enregistreuse électronique.

Ces espions peuvent être minuscules et sembler faire partie du câblage régulier. Voilà pourquoi il est essentiel d’être attentif aux moindres détails lors de votre inspection.

Les modifications aux branchements du terminal peuvent être difficiles à détecter.

Dans ces images, les criminels ont entièrement changé le câble qui relie le terminal à l’unité principale.

Cette modification a permis d’intégrer des fils supplémentaires qui enregistrent les renseignements bancaires.


• Créer une routine de vérification quotidienne de l’équipement des terminaux, afin de prévenir toute contrefaçon.


Protection du terminal de clavier NIP• Équipement de protection pour clavier NIP

Alarme électronique

Support de protection renforcé

Étiquette à l’épreuve de la contrefaçon


• Mises à niveau du terminal– Acheter des terminaux auprès d’un distributeur

agréé seulement.– Vérifier la conformité des terminaux à tous les

critères d’évaluation sur la sécurité édictés par l’industrie

• Consulter le site www.pcisecuritystandards.org/pin pour obtenir la liste des terminaux approuvés par le secteur des cartes de paiement.

Protection du terminal de clavier NIP• Mise au rencart de terminaux

– Renvoyer les vieux terminaux aux distributeurs agréés à l’aide d’une méthode d’expédition sécuritaire ou d’une remise en mains propres lors de l’installation des nouveaux terminaux.

– Effacer toutes les données du terminal.– Supprimer tous les identifiants d’entreprise.


• Éviter de jeter le terminal dans un conteneur d’ordures accessible au public.


• Procéder à une inspection pour détecter des caméras cachées– plafonds suspendus au-

dessus des claviers NIP– présentoirs à brochures– boîtes de dons posées à

côté des claviers NIP


Les caméras numériques modernes servant à filmer le NIP du détenteur de carte sont minuscules une fois sorties de leur boîtier

Par conséquent, elles sont faciles à dissimuler ou à camoufler dans un magasin.

Ce type de caméra miniature peut être caché facilement dans un carreau de plafond au-dessus du terminal.


Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP

• Personnel ciblé– Établir une politique sur la coercition et la

corruption. – Prévoir pour le personnel une méthode de

communication anonyme avec la haute direction.– Offrir une formation au personnel sur les diverses

catégories de fraude, de vol de terminal, d’équipement de débit, de matériel contrefait et sur les mesures à prendre à cet égard.

Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP• Embauche et sensibilisation du personnel

– Vérification des antécédents (criminels, financiers, formation scolaire, etc.).

– Si la vérification des antécédents est impossible, demander les renseignements suivants :

• Nom complet/ adresse / no de téléphone à la maison• Date de naissance• Photo• Expériences de travail• NAS, etc.


• Offrir une formation au personnel sur l’importance de rapporter tout incident de clonage et les différentes étapes à cet égard– Marche à suivre en présence de préoccupations

croissantes liées à un terminal.– Noms des personnes ressources.– Méthode pour joindre la haute direction relativement à

une contrefaçon.– Méthode pour communiquer avec le service de police à

l’intention du personnel et de la direction.

Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP• Accessibilité des fournisseurs de services

– Convenir d’une heure et d’une date précises et confirmer le nom du technicien.

– Un prétendu technicien qui effectue une visite à l’improviste ne doit pas être autorisé à toucher aux terminaux tant que son identité n’a pas été établie.

– Le technicien doit fournir un rapport écrit sur le travail effectué et ce rapport doit être conservé pendant six mois.



Dans cette situation, le criminel s’est fait passer pour un technicien auprès du personnel du commerce.

Il a affirmé que pour prévenir la fraude par carte de crédit, le terminal devait être placé dans cette boîte de sécurité. Il a ensuite remis un feuillet d’instructions au personnel.

La boîte contenait un dispositif de clonage de carte et une caméra miniature.

Méfiez-vous des visites de technicien à l’improviste.

Conclusion

• Le vol de clavier NIP favorise la fraude.• Les commerçants peuvent aider à contrer et à

prévenir cette infraction à l’aide de quelques gestes simples.

Conclusion

• Trousse d’outils de prévention du vol de clavier NIP

– La trousse contient :• des étiquettes à l’épreuve de la contrefaçon• un questionnaire sur l’évaluation du risque• une fiche technique pour terminal de clavier NIP• une liste de vérification quotidienne du clavier NIP

Pour communiquer avec nous

Ouest du Canada : 1.800.667.9199 Est du Canada : 1.800.667.3390

Economy & Finance

Prévention du vol de clavier NIP