Le « shimming » : cette arnaque à la carte bancaire peut vider vos comptes

Fin juin, le site Signal Arnaques a alerté sur un nouveau type d'arnaque à la carte bancaire : le « shimming ». L'objectif ? Pirater les données bancaires et siphonner les comptes bancaires des victimes. Mais comment ? En piégeant les terminaux de paiement (TPE). On vous explique.

Cette arnaque peut faire peur et pour cause, il n'y a aucun moyen de s'en prémunir. Le « shimming » consiste à piéger les terminaux de paiement et les distributeurs de billets par exemple, en y installant un dispositif, le « shimmer ».

« Le principe est de poser sur un lecteur de carte (par exemple sur un distributeur de billets ou une pompe à essence) un dispositif qui enregistre les données de toutes les cartes qui y passent », explique Signal Arnaques dans son message diffusé sur X. Le « shimmer » est inséré dans la fente de lecture des cartes à puce et transmet ensuite toutes les informations bancaires à un hackeur qui se trouve à distance. Quand le client tape son code de carte bleue sur une machine piégée, les malfaiteurs auront alors accès à ce code et aux coordonnés bancaires de la victime. Les hackers peuvent alors vider les comptes bancaires.

[Tweet du compte @compte]

36 000 euros en 2023

Cette arnaque « vise à récupérer les données contenues dans la puce de la carte » bancaire, explique la Banque de France dans le dernier rapport de son Observatoire de la sécurité des moyens de paiement. Selon ce rapport, « le préjudice financier lié à ce type d'attaque est estimé à 36 000 euros en 2023, en baisse par rapport à 2022 (50 000 euros) ».

Au cours du mois de juin, des « shimmers » ont été installés sur les terminaux d'une station essence de Vitry-sur-Seine (Val-de-Marne), rapporte Le Parisien. Les hackers ont réussi à extraire des sommes importantes depuis Madrid et Barcelone. Après avoir interpellé quatre suspects dans l'Essonne, les enquêteurs ont procédé à plusieurs perquisitions. Résultat : du matériel de « shimming » et environ 9 000 euros en liquide ont été retrouvés.

Comment s'en protéger ?

« Le seul véritable moyen d'éviter d'en être victime reste de surveiller régulièrement ses comptes bancaires », prévient la plateforme sur X.

La variante de cette arnaque est le « skimming », qui, elle, enregistre les données bancaires via la piste magnétique de la carte. Les données de la carte ainsi obtenues sont ensuite « réencodées sur des cartes à piste magnétique ». Ces cartes contrefaites sont alors, par exemple, utilisées pour des paiements de proximité ou des paiements à distance sur internet « principalement sur les sites de e-commerce non européens qui n'ont pas mis en œuvre l'authentification forte du porteur de la carte ».

Au titre de l'année 2023, « seulement trois attaques ont été recensées pour un préjudice total de 19 563 euros (contre 192 540 euros en 2022, soit une baisse de 90%) », rapporte encore La Banque de France dans son dernier rapport.

Attention à ces 3 arnaques qui peuvent vider votre compte bancaire