Fuite de cartes bancaires BankIslami / Pakistan

Fin octobre 2018, BankIslami Pakistan a détecté une vague de transactions frauduleuses qui a révélé la plus grande fuite du secteur bancaire de l'histoire du Pakistan. Bien que la perte initiale chez BankIslami ait été modeste, l'incident a exposé des données de cartes de paiement de l'ensemble du système bancaire national, les cartes volées étant écoulées sur des forums de carding internationaux.

Ce qui s'est passé

Au matin du 27 octobre 2018, BankIslami a détecté des transactions anormales d'environ 2,6 millions de roupies (environ 20 000 dollars) sur l'un de ses schémas de cartes de paiement internationales. La banque a réagi rapidement, suspendant les opérations par carte à l'international et publiant un communiqué public le lendemain.

Mais la détection chez BankIslami n'était que la partie visible. En quelques jours, les chercheurs en sécurité ont trouvé deux lots de données publiés sur la place de marché de carding du dark web Joker's Stash — l'un le 26 octobre et un plus important le 31 octobre — contenant ensemble les détails de plus de 19 000 cartes de paiement appartenant aux clients de 22 banques pakistanaises. Habib Bank Limited représentait la plus grande part. Les cartes volées étaient vendues entre environ 100 et 160 dollars chacune et encaissées via des distributeurs automatiques et terminaux de point de vente dans des pays dont les États-Unis et la Russie.

Comment cela s'est produit

Les enquêteurs ont conclu que les cartes n'avaient pas été volées par une seule intrusion réseau dans les serveurs centraux des banques. Les données correspondaient plutôt à du skimming de cartes — des dispositifs malveillants implantés sur les distributeurs et TPE — complété, dans le cas de BankIslami, par la compromission de l'infrastructure de commutation de paiement. L'étendue des banques touchées excluait une compromission unique de serveur et indiquait une opération d'encaissement plus large contre l'écosystème des cartes pakistanaises.

Réponse

BankIslami a déclaré que les clients touchés seraient remboursés et que leurs cartes seraient réémises. La Banque d'État du Pakistan a émis des avis exigeant des mises à jour de sécurité continues, une surveillance en temps réel des opérations par carte et une coordination avec les schémas de paiement ; en réponse, environ dix banques ont temporairement suspendu les retraits par carte à l'international. Le chef de la cybercriminalité de l'Agence fédérale d'enquête a déclaré aux médias que « presque toutes » les grandes banques pakistanaises avaient été touchées, et a ouvert plus de 100 dossiers.

Pourquoi c'est important

L'épisode de 2018 a constitué un tournant pour la sécurité des cartes de paiement au Pakistan. Il a révélé des faiblesses systémiques — application limitée de la puce EMV, surveillance déficiente des distributeurs et TPE, et détection lente de la fraude — dans l'ensemble du secteur bancaire du pays, et a poussé la banque centrale vers des exigences de sécurité des cartes plus strictes et une migration accélérée vers la puce et le code PIN. Il demeure l'exemple pakistanais emblématique d'une compromission massive de cartes alimentant le marché clandestin mondial du carding.