Upload
halo-metrics
View
408
Download
1
Embed Size (px)
DESCRIPTION
PIN pad
Citation preview
Prévention du vol de clavier NIP
Protégez votre clavier NIP. Protégez vos clients. Protégez votre réputation.
Aperçu
– Trousse d’outils de prévention du vol de clavier NIP– Vol de clavier et manœuvres de clonage.
• Présentation de la problématique et ampleur du problème• Personnes impliquées• Déroulement du vol• Exemples de claviers NIP trafiqués• Conséquences• Solutions technologiques• Pratiques exemplaires et solutions
– Conclusion et questions
Halo Metrics Inc.
• Les vols de clavier NIP ont considérablement augmenté au cours des 3 dernières années.
• Nos clients ont réclamé des mesures de sécurité plus rigoureuses pour contrer ces manœuvres.
• Nous offrons désormais toute une gamme de solutions préventives à cet égard.
Présentation de la problématique
Les terminaux de clavier NIP sont volés, trafiqués, puis réinstallés en vue d’usurper les renseignements bancaires des clients.
Cette manœuvre menant à la fraude et au vol d’identité est communément appelée « clonage ».
Ampleur du problème• Le personnel de Halo Metrics a constaté une
augmentation importante du nombre de demandes pour des solutions de protection des claviers NIP au cours des trois dernières années.
• Selon certaines sources de l’industrie, les arrestations liées au vol de clavier NIP ont connu une hausse de 300 % au cours de la dernière année.
Personnes impliquées
• Le clonage est une activité criminelle lucrative difficile à détecter et à prévenir.
• Par conséquent, cette activité est attrayante pour l’ensemble de la collectivité criminelle, du crime organisé en passant par les organisations plus modestes.
Personnes impliquées
• Le vol de clavier NIP est généralement le résultat d’un effort collectif organisé, notamment par des équipes professionnelles du crime organisé.
• La tentative de vol implique habituellement plus d’un participant.
Exemple
Deux personnes pénètrent dans un magasin.
Exemple
La femme surveille les alentours pendant que son partenaire procède au vol du clavier NIP.
Il est : 19 h 52 min 2 s.
Exemple
La femme tente de distraire un client.
Il est : 19 h 52 min 9 s.
Exemple
Il est : 19 h 53.
Exemple
Le vol est terminé.
Il est : 19 h 53.
Déroulement du vol• Dans cet exemple, le voleur est arrivé à retirer
le clavier NIP d’un support d’affichage en métal de faible épaisseur en moins de 60 secondes.
• Les tiges de support pour clavier dépourvues de dispositif de sécurité n’offrent que très peu de protection, voire même aucune.
• Les claviers NIP posés sur un comptoir peuvent être volés en moins de trois secondes.
Méthodes utilisées pour trafiquer les claviers NIP
• Les criminels insèrent un lecteur de cartes dans le terminal de clavier volé.
• Le clavier trafiqué est ensuite réinstallé.
Exemples de vols de claviers NIP
Renseignements fournis par :
Photographie Technique d’écrémage
Un autocollant montrant les détails du produit et un numéro de série est apposé sous le terminal. La majorité des terminaux affichent également un numéro de série de façon électronique.
Lors de votre vérification régulière, notez le numéro de série sous le terminal et comparez-le avec le numéro électronique.
De plus, passez un doigt sur l’autocollant pour vérifier s’il ne dissimule pas une contrefaçon.
Exemples de vols de claviers NIP
Renseignements fournis par :
Les terminaux sont souvent dotés d’autocollants de sécurité ou d’étiquettes d’entreprise posés sur les orifices de vis ou les fentes, ce qui permet de déterminer si le boîtier a été ouvert.
En général, les criminels retirent ces étiquettes pour contrefaire les terminaux et apposent parfois leurs propres autocollants.
À la livraison du terminal, notez attentivement la position, la couleur et le matériau des étiquettes.
De plus, inspectez le terminal pour détecter tout signe montrant que l’étiquette a été retirée ou trafiquée.
Exemples de vols de claviers NIP
Renseignements fournis par :
Photographie Technique d’écrémage
Les dispositifs de clonage insérés dans le terminal sont invisibles, de façon à ce que ni le commerçant ni le personnel ne puisse soupçonner quoi que ce soit.
Cette photo montre un dispositif de clonage inséré dans un terminal. Ce dispositif est normalement dissimulé par le couvercle de la carte SIM.
Exemples de vols de claviers NIP
Renseignements fournis par :
Dans cette situation, le criminel s’est fait passer pour un technicien auprès du personnel du commerce.
Il a affirmé que pour prévenir la fraude par carte de crédit, le terminal devait être placé dans cette boîte de sécurité. Il a ensuite remis un feuillet d’instructions au personnel.
La boîte contenait un dispositif de clonage de carte et une caméra miniature.
Méfiez-vous des visites de technicien à l’improviste.
Méthode d’enregistrement des données
• Le lecteur de carte enregistre les renseignements bancaires.
• Ces données peuvent être téléchargées manuellement – Les voleurs viendront
reprendre le clavier NIP.
Exemples de vols de claviers NIP
Renseignements fournis par :
Ces données peuvent aussi être téléchargées sans fil.
•Cette vue aérienne démontre comment les connexions sans fil peuvent s’étendre bien au-delà des murs d’un magasin.
Conséquences
• Pour le propriétaire ou l’exploitant– Perte d’un bien (clavier) 300 $ - 500 $;– Coûts potentiels liés à des services d’expertise
judiciaire ou d’analyse des systèmes;– Possibilité de poursuites judiciaires;– Départ d’employés.
Conséquences• Pour le client
– Renseignements bancaires compromis• Susceptible d’être victime de vol d’identité• Perte pécuniaire
– Complications et frustrations liées au remplacement des documents personnels, cartes bancaires, etc.
Conséquences
• Les manœuvres de clonage peuvent grandement affecter le comportement d’achat des victimes, chez qui on peut notamment observer :
– un changement dans les habitudes d’achat;– un changement des lieux de magasinage;– un penchant pour d’autres méthodes de
paiement;– une baisse d’utilisation des cartes de débit.
Conséquences
• Couverture médiatique– Les médias conseillent au grand public de faire les
courses dans les magasins munis d’équipement de protection pour les claviers NIP.
Conséquences
• Conséquences minimes sur le vol de claviers NIP– Les criminels ne feront pas l’objet d’accusations de
vol d’identité ou de fraude bancaire.– À l’origine, le crime consiste en un simple vol. Par
conséquent, les accusations à cet égard sont généralement peu sévères et résultent habituellement en une amende ou une période de probation.
Solutions technologiques• Les terminaux de clavier NIP se perfectionnent
– Terminaux de paiement sans contact et technologie à puce et à NIP.
• Les nouvelles technologies offrent une solution à court terme– Tous les commerçants devront se munir d’un système
à puce et à NIP dans les 5 prochaines années.– Il est plus difficile de contrefaire des cartes à puce et
à NIP.
Solutions technologiques• Le Royaume-Uni utilise la technologie à puce et
à NIP depuis déjà plusieurs années.• La société Shell a interdit le paiement par carte à
puce et à NIP dans 600 de ses stations-service au Royaume-Uni en mai 2006.
• Une fraude par carte à puce et à NIP d’un million de livres sterling avait eu lieu dans une station-service Shell.
• Adresse URL de l’histoire : http://www.silicon.com/research/specialreports/idmanagement/0,3800011361,39158743,00.htm
Solutions technologiques
• « Néanmoins, la porte-parole d’Apacs a confié à notre journaliste que les criminels ont dû bénéficier d’un accès facile aux claviers NIP, puisque la modification de ceux-ci en vue de voler les NIP et de copier les renseignements sur la bande magnétique est une tâche qui requiert du temps. »
Solutions technologiques
• À chaque nouvelle percée technologique, et celle-ci n’y fait pas exception, les criminels tentent de trouver une faille et le processus devient un cycle continu.
• Les technologies évoluent, mais les criminels emboîtent le pas.
Pratiques exemplaires
• Les recommandations ci-dessous vous aideront à créer des processus et à miser sur la sensibilisation pour prévenir ces crimes.
Analyse du risque
• Le processus d’analyse du risque de clonage et le point de vente devraient au moins comprendre les éléments suivants :– une liste du matériel;– une liste des menaces possibles;– un examen des probabilités de vol.
Liste du matériel
Menace et probabilité
• Le clonage est fréquent– Il s’agit de l’une des menaces les plus courantes au
sein de l’industrie de la vente.– Les facteurs qui favorisent l’augmentation des
probabilités de vol comprennent notamment :
Menace et probabilité
• Un volume élevé de transactions– Les criminels cherchent à obtenir le plus de
données possible sur les comptes et les NIP en un court laps de temps.
– Les commerçants qui reçoivent de nombreux paiements modiques (tels que les exploitants de stations-service) courent un risque de vol plus élevé.
Menace et probabilité
• L’utilisation fréquente d’un terminal– Le recours à un terminal unique pour traiter de
nombreuses transactions pourrait favoriser les tentatives de vol.
– Les guichets automatiques en magasin constituent un bon exemple d’un tel terminal.
Menace et probabilité
• Les périodes de pointe pour les ventes– Les commerces qui connaissent des périodes de
pointe prévisibles peuvent être ciblés par les voleurs de clavier NIP.
– Les Fêtes, les événements spéciaux et les promotions incarnent quelques exemples de périodes de pointe.
Questionnaire sur l’évaluation du risque
Répondre au questionnaire en ligne sur l’évaluation du risque à halometrics.com/pinpad
Pratiques exemplaires• Trois catégories principales
– Sécurité matérielle du magasin;– Protection du terminal de clavier NIP;– Accessibilité du personnel et des fournisseurs de
services aux terminaux de clavier NIP.
Sécurité matérielle du magasin
• Infrastructure du terminal– Câbles et lignes de
communication;– Réduire le nombre de câbles à
découvert;– Restreindre l’accès aux fils et
câbles du terminal;– Protéger les pièces où se
trouvent les téléphones, les panneaux électriques, les routeurs, etc.
Sécurité matérielle du magasin• Infrastructure du terminal
– Câbles et lignes de communication;
– Réduire le nombre de câbles à découvert;
– Restreindre l’accès aux fils et câbles du terminal;
– Protéger les pièces où se trouvent les téléphones, les panneaux électriques, les routeurs, etc.
Sécurité matérielle du magasin• Caméras et positionnement
– Veiller à ce que les guichets automatiques et les caisses soient suffisamment éclairés.
– Filmer la zone où ont lieu les transactions, en évitant de capter les renseignements sur le NIP;
– Inspecter immédiatement les terminaux en cas de déplacement ou de bris de caméra ou si l’image a été bloquée.
Protection du terminal de clavier NIP
• Débuter avec un inventaire complet des modèles des claviers NIP du magasin.
Gracieusement fourni par :
Protection du terminal de clavier NIP
• Noter tous les branchements au terminal.
Gracieusement fourni par :
Des espions de clavier enregistrent toutes les frappes de la caisse enregistreuse électronique.
Ces espions peuvent être minuscules et sembler faire partie du câblage régulier. Voilà pourquoi il est essentiel d’être attentif aux moindres détails lors de votre inspection.
Les modifications aux branchements du terminal peuvent être difficiles à détecter.
Dans ces images, les criminels ont entièrement changé le câble qui relie le terminal à l’unité principale.
Cette modification a permis d’intégrer des fils supplémentaires qui enregistrent les renseignements bancaires.
Protection du terminal de clavier NIP
• Créer une routine de vérification quotidienne de l’équipement des terminaux, afin de prévenir toute contrefaçon.
Gracieusement fourni par :
Protection du terminal de clavier NIP• Équipement de protection pour clavier NIP
Alarme électronique
Support de protection renforcé
Étiquette à l’épreuve de la contrefaçon
Protection du terminal de clavier NIP
• Mises à niveau du terminal– Acheter des terminaux auprès d’un distributeur
agréé seulement.– Vérifier la conformité des terminaux à tous les
critères d’évaluation sur la sécurité édictés par l’industrie
• Consulter le site www.pcisecuritystandards.org/pin pour obtenir la liste des terminaux approuvés par le secteur des cartes de paiement.
Protection du terminal de clavier NIP• Mise au rencart de terminaux
– Renvoyer les vieux terminaux aux distributeurs agréés à l’aide d’une méthode d’expédition sécuritaire ou d’une remise en mains propres lors de l’installation des nouveaux terminaux.
– Effacer toutes les données du terminal.– Supprimer tous les identifiants d’entreprise.
Protection du terminal de clavier NIP
• Éviter de jeter le terminal dans un conteneur d’ordures accessible au public.
Protection du terminal de clavier NIP
• Procéder à une inspection pour détecter des caméras cachées– plafonds suspendus au-
dessus des claviers NIP– présentoirs à brochures– boîtes de dons posées à
côté des claviers NIP
Protection du terminal de clavier NIP
Les caméras numériques modernes servant à filmer le NIP du détenteur de carte sont minuscules une fois sorties de leur boîtier
Par conséquent, elles sont faciles à dissimuler ou à camoufler dans un magasin.
Ce type de caméra miniature peut être caché facilement dans un carreau de plafond au-dessus du terminal.
Photographie Technique d’écrémage
Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP
• Personnel ciblé– Établir une politique sur la coercition et la
corruption. – Prévoir pour le personnel une méthode de
communication anonyme avec la haute direction.– Offrir une formation au personnel sur les diverses
catégories de fraude, de vol de terminal, d’équipement de débit, de matériel contrefait et sur les mesures à prendre à cet égard.
Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP• Embauche et sensibilisation du personnel
– Vérification des antécédents (criminels, financiers, formation scolaire, etc.).
– Si la vérification des antécédents est impossible, demander les renseignements suivants :
• Nom complet/ adresse / no de téléphone à la maison• Date de naissance• Photo• Expériences de travail• NAS, etc.
Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP
• Offrir une formation au personnel sur l’importance de rapporter tout incident de clonage et les différentes étapes à cet égard– Marche à suivre en présence de préoccupations
croissantes liées à un terminal.– Noms des personnes ressources.– Méthode pour joindre la haute direction relativement à
une contrefaçon.– Méthode pour communiquer avec le service de police à
l’intention du personnel et de la direction.
Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP• Accessibilité des fournisseurs de services
– Convenir d’une heure et d’une date précises et confirmer le nom du technicien.
– Un prétendu technicien qui effectue une visite à l’improviste ne doit pas être autorisé à toucher aux terminaux tant que son identité n’a pas été établie.
– Le technicien doit fournir un rapport écrit sur le travail effectué et ce rapport doit être conservé pendant six mois.
Accessibilité du personnel et des fournisseurs de services aux terminaux de clavier NIP
Gracieusement fourni par :
Dans cette situation, le criminel s’est fait passer pour un technicien auprès du personnel du commerce.
Il a affirmé que pour prévenir la fraude par carte de crédit, le terminal devait être placé dans cette boîte de sécurité. Il a ensuite remis un feuillet d’instructions au personnel.
La boîte contenait un dispositif de clonage de carte et une caméra miniature.
Méfiez-vous des visites de technicien à l’improviste.
Conclusion
• Le vol de clavier NIP favorise la fraude.• Les commerçants peuvent aider à contrer et à
prévenir cette infraction à l’aide de quelques gestes simples.
Conclusion
• Trousse d’outils de prévention du vol de clavier NIP
– La trousse contient :• des étiquettes à l’épreuve de la contrefaçon• un questionnaire sur l’évaluation du risque• une fiche technique pour terminal de clavier NIP• une liste de vérification quotidienne du clavier NIP
Pour communiquer avec nous
Ouest du Canada : 1.800.667.9199 Est du Canada : 1.800.667.3390