Fraudes par virement bancaire

jmi12

Contributeur régulier
dans cette mise à jour, il y avait votre numéro client et votre code secret ? ou d'autre éléments ?

car si vous avez saisi votre n° client et votre code secret c'est suffisant pour que les escrocs aillent ensuite sur le site de LBP, initient l'ajout du nouveau bénéficiaire (d'où le certicode reçu par SMS) et ensuite procèdent, via votre espace client, aux deux virements vers le Luxembourg.
pas besoin de pirater un téléphone pour cela......

si demain quelqu'un me donne son identifiant client et son code secret dans une banque, je peux faire ce que je veux après sur ses comptes. et pas de certicode ou authentification forte pour cela.

Cdt
Normalement, l'ajout de comptes externes est une opération sensible pour laquelle un code 3D Secure est envoyé. Un 2eme code est envoyé ensuite pour faire les virements. C'est ainsi que cela fonctionne chez ING et FORTUNEO, à ma grande satisfaction.
 

jmi12

Contributeur régulier
dans cette mise à jour, il y avait votre numéro client et votre code secret ? ou d'autre éléments ?

car si vous avez saisi votre n° client et votre code secret c'est suffisant pour que les escrocs aillent ensuite sur le site de LBP, initient l'ajout du nouveau bénéficiaire (d'où le certicode reçu par SMS) et ensuite procèdent, via votre espace client, aux deux virements vers le Luxembourg.
pas besoin de pirater un téléphone pour cela......

si demain quelqu'un me donne son identifiant client et son code secret dans une banque, je peux faire ce que je veux après sur ses comptes. et pas de certicode ou authentification forte pour cela.

Cdt
Sauf qu'en vertu de l'article L133-19-V du CMF, si l'authentification forte n'a pas été mise en oeuvre pour le ou les virements et si le payeur conteste avoir réalisé l'opération, la banque devra rembourser.
 

elodie31

Membre
A la caisse d'epargne on reçoit un code lorsqu'on se connecte à son espace client, puis un autre lorsqu'on ajoute un compte externe, puis (après 24h d'attente) on peut effectuer un virement mais là encore après avoir reçu un code. Si elle prend toutes ces dispositions c'est parce que la loi l'y oblige.
Si vous arrivez à prouver que vous n'avez pas reçu de code avant que le virement n'ait lieu (et ce sera facile si la procédure n'est pas implantée dans votre banque) vous serez remboursé.

Informez-vous sur les techniques de phishing afin que cela ne vous arrive plus, et informez vos proches pour qu'ils ne tombent pas dans le panneau. Lorsqu'on reçoit un mail douteux la première chose à faire s'il comporte un lien est de le survoler à la souris et de voir en bas de l'écran vers quoi il pointe avant de cliquer dessus. En général ce sont des sites bidons.
 

C6BIEN

Membre
A partir du moment où votre réponse au mail a donné toutes les informations nécessaires pour que les pirates se connecte à votre place, il leur reste à récupérer la sécurisation par SMS (copie SIM par SWAP opérateur téléphonique ou alors par technique du contre appel du fraudeur qui se fait passer pour qq un d'autre genre banquier ou contrôle d'opération à qui vous donnez le code - si si ça existe)
c'est vous qui êtes reconnu comme initiateur (accès internet + sécurisation)
=> pas de remboursement sauf à lutter juridiquement à l'issue incertaine
 

jmi12

Contributeur régulier
A partir du moment où votre réponse au mail a donné toutes les informations nécessaires pour que les pirates se connecte à votre place, il leur reste à récupérer la sécurisation par SMS (copie SIM par SWAP opérateur téléphonique ou alors par technique du contre appel du fraudeur qui se fait passer pour qq un d'autre genre banquier ou contrôle d'opération à qui vous donnez le code - si si ça existe)
c'est vous qui êtes reconnu comme initiateur (accès internet + sécurisation)
=> pas de remboursement sauf à lutter juridiquement à l'issue incertaine
Ne pas oublier l'article L133-19-V qui impose le remboursement des opérations non autorisées qui n'ont pas fait l'objet d'une authentification forte. D'ailleurs, La Poste connaît cette disposition et dans l'affaire de phishing ayant visé notre ami Toto_35, elle a remboursé spontanément une opération qui n'avait pas fait l'objet d'une authentification forte. Dans la présente affaire, il reste à savoir s'il y a eu authentification forte ou pas. Dans tous les cas, c'est à la banque de prouver qu'elle a respecté les règles et pas au client ( article L133-23 du CMF).
 

Axiles

Contributeur régulier
Je n'ai pas vu ce conseil dans les messages mais la priorité me semble de consulter un avocat, qui sera surement plus utile que des posteurs anonymes sur un forum, d'aussi grande qualité que soit le forum. Prenez donc mes remarques qui suivent avec la même prudence que les autres retours et prenez conseil auprès d'un expert en complément

Sur le fond, ma compréhension est que vous avez transmis aux fraudeurs les informations nécessaires pour accéder à vos comptes, ainsi que le SMS de validation d'ajout d'un nouveau bénéficiaire. Aussi difficile que soit la situation pour vous, je suis très peu confiant sur l'issue d'une démarche judiciaire en la matière puisque ces deux actions, aussi bons soient les fraudeurs, vous engagent lourdement. Je reste dubitatif sur le fait que votre ligne téléphonique ait été piratée. A votre place, je me préparerais à ne jamais récupérer l'argent.

Par prudence, avez-vous bien changé depuis tous vos identifiants etc ?

Si vous voulez des conseils plus adaptés, je ne peux que vous encoruager à partager les éléments reçus (anonymisés), comme la copie d'écran du mail ou du SMS

Soyez bien assurée que je compatis à vos difficultés en tout cas.
 

jmi12

Contributeur régulier
Comme Axiles, je réitère mon conseil de consulter avec toutes les pièces du dossier, une association de consommateur, ou un avocat, si vous le pouvez, notamment si vous avez une assurance juridique.
Vous avez obtenu, me semble-t-il, l'information utile, pour orienter vos recherches et consulter utilement.
Comme je vous l'avais dit, les discussions d'un forum peuvent vous aider, mais l'efficacité de votre défense commande d'étudier le dossier avec un spécialiste.
 

Bibibenate

Nouveau membre
Bonjour,

1 : vous n’avez pas reçu un email frauduleux de votre banque mais un email d’un fraudeur se faisant passer pour votre banque, ce n’est pas la même chose.

2: la Banque ne rembourse que si sa propre négligence est engagée (par ex un virement fait par un conseiller suite à une demande par email sans contre-appel au client pour vérifier son identité) et là ce n’est clairement pas le cas.
Vous avez autorisé des opérations pour lesquelles vous n’étiez pas à l’initiative.
Vous ne pretez pas attention à un message reçu vous informant de la création d’un nv bénéficiaire que vous n’avez pas fait et vous le validez !
Que faut-il de plus ?

en fait la Banque pourrait légitimement se demander si vous n’êtes pas à l’origine de cette fraude et n’en bénéficiez pas.
 

agra07

Contributeur régulier
Bonjour,
Je n'ai pas tout compris,
Le 7 avril environ, j'ai fait un prêt a ma banque (LBP) pour un achat moto de 7000 euros.
J'ai dû garder l'argent sur mon compte le temps de recevoir un chéquier pour pouvoir payer ma nouvelle moto.
L'argent est donc sur votre compte et vous n'attendez qu'un chéquier pour payer.

Le problème étant que dimanche 12 avril, j'ai reçu un email frauduleux de ma banque me demandant de mettre à jour mes coordonnées.
Un mail que vous avez cru être de votre banque.
Qu'avez-vous fait exactement en recevant ce mail ? Avez vous cliqué sur un lien ?
Si vous avez cliqué sur un lien, vers quoi pointait ce lien ? un site internet ?
Quels renseignements avez vous donnés (nom, adresse, numéro de téléphone, identifiant, code secret) ?

Suite a sa, le même jour, j'ai reçu un message sur mon téléphone m'informant l'ajout d'un bénéficiaire a mon nom.
Le bénéficiaire a été ajouté le dimanche ?


Je n'ai pas prêté attention
Est-ce que vous avez d'autres comptes bancaires à votre nom ?


J'ai ensuite reçu un message me demandant de rentrer le certicode de validation pour confirmer le virement
Quel jour, quelle heure ?
Avant de valider un virement, ne faut-il pas un certicode pour valider le nouveau bénéficiaire ?
Une demande vous est adressée pour un virement: qu'avez-vous fait ?

Je n'avais pas compris donc je suis allé sur ma banque plus tard
Quel jour, quelle heure ? Quand vous dites "sur ma banque", je suppose qu'il s'agit du site internet de votre banque.


Et j'ai pu y voir 2 virements de 3000 euros vers une autre banque au Luxembourg
A la Banque postale, on ne peut virer que 3000€ par jour mais on peut programmer plusieurs virements à l'avance. Quand vous dites "voir", ces virements étaient-ils programmés ou bien déjà réalisés tous les deux ?

Je suis immédiatement partit à mon bureau de poste et de la. J'ai appris que c'était un mail auquel je n'aurai pas dû répondre.
Quel jour, quelle heure ?

Vous voudrez bien m'excuser pour la précision de ces questions, mais dans le cadre d'une procédure, je pense que les éléments factuels sont déterminants devant un juge.
 

jmi12

Contributeur régulier
Bonjour,

1 : vous n’avez pas reçu un email frauduleux de votre banque mais un email d’un fraudeur se faisant passer pour votre banque, ce n’est pas la même chose.

2: la Banque ne rembourse que si sa propre négligence est engagée (par ex un virement fait par un conseiller suite à une demande par email sans contre-appel au client pour vérifier son identité) et là ce n’est clairement pas le cas.
Vous avez autorisé des opérations pour lesquelles vous n’étiez pas à l’initiative.
Vous ne pretez pas attention à un message reçu vous informant de la création d’un nv bénéficiaire que vous n’avez pas fait et vous le validez !
Que faut-il de plus ?

en fait la Banque pourrait légitimement se demander si vous n’êtes pas à l’origine de cette fraude et n’en bénéficiez pas.
Sur le point 1, vous avez raison, puisqu’il s’agit de phishing, les mails reçus et les sites vers lesquels ils renvoient imitant, en général, très bien, ceux de la banque.

Sur le point 2, la problématique n’est pas aussi simple.

Ce qui est sûr, c’est que la règlementation du code monétaire et financier qui transpose en droit interne les directives européennes sur les moyens de paiement est particulièrement protectrice du consommateur, ce qui n’est pas une mauvaise chose en soi, quand on voit la multiplication et la sophistication des fraudes aux moyens de paiement, mais comme toujours dans les systèmes bienveillants, certains aigrefins professionnels en profitent pour commettre leurs forfaits, sachant qu’au final, la fraude est payée par le consommateur.

Il ne faudrait pas en conclure que toutes les victimes de phishing ou toutes les personnes se présentant comme telles, sont des escrocs, bien au contraire. La plupart des victimes sont des gens de bonne foi, parfois insouciants, mais aussi, je pense, souvent peu au fait des techniques de piratages et ayant une maîtrise réduite voire inexistante de l’outil informatique. C’est gens-là doivent être protégés et défendus, dans la mesure bien sûr où leur vigilance minimale relative à la préservation des données personnalisées de sécurité (identifiant, mot de passe, code d’authentification forte, …) est respectée. C’est ainsi que la jurisprudence de la cour de cassation considère qu’il y a négligence grave permettant de refuser le remboursement des sommes détournées, si l'utilisateur d'un service de paiement communique les données personnelles de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance.

Le client a donc des obligations et notamment celles de préserver la sécurité de ses données de sécurité personnalisées (article L 133-16 du CMF).
Mais la banque a, lorsque le client conteste avoir autorisé une opération de paiement exécutée, d’autres obligations et elle supporte notamment, en vertu de l’article L133-23 du CMF, la charge de prouver que « l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ». L’article L133-23 rajoute même : « L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. »

La justice ne fait qu’appliquer cette législation.

La banque, est, en outre, dans le cadre des conventions de compte, soumise à la responsabilité contractuelle et elle doit, le cas échéant, répondre des manquements à ses obligations, ce qui permet à la partie lésée, d’obtenir une indemnisation sur le fondement de l’article 1231-1 du code civil. La jurisprudence bancaire fait application de cette disposition, comme du CMF.

Pour porter un jugement éclairé sur une fraude bancaire, il faut avoir une connaissance précise des faits ayant conduit à sa réalisation, ce qui est clairement impossible, dans le cadre de discussions de forums, quelle que soit par ailleurs la qualité des intervenants. On peut donner des pistes, fournir des informations juridiques utiles à la victime, mais au final, si elle n’a pas de compétence juridique affirmée, elle doit consulter, comme cela a été dit, plusieurs fois.
 
Haut