Piratage compte bancaire

Statut
Non disponible pour d'autres réponses.
Ce n'est pas le lieu effectivement de commenter telle ou telle faille. Car si elle est résolue, les clients lésés n'ont aucune chance, tout passera sous silence.

Par ailleurs, au-delà des failles de sécurité (éventuelles), voire faute du client, j'espère qu'un juge se posera légitimement la question de comment on peut réaliser un virement en ligne de 80K EUR sans plus de vérifications que cela. Par défaut, les plafonds ne sont pas élevés, et les relever, selon le plafond, ne devrait pas être la résultante d'un simple code SMS. Ce n'est que mon avis...
 
L'objet de la discussion que j'ai lancée est de sensibiliser les gens au fait que .
1. Les téléphones (ou tablettes) sont la cible des pirates et sont moins protègés que les PC . Qui a un antivirus par exemple ?
2. La banque n'a aucun moyen de prouver que ce sont eux qui ont entré le code SMS depuis un PC ou un tel . Encore moins d'affirmer qu'il ont donné leur code par grave négligence .
3. Une validation par simple code SMS n'est pas une solution secure . À interroger quand on va ouvrir un compte dans une banque

Pour le plafond c'est effectivement délirant de virer en qq jours 80000. Sans rentrer dans les pratiques de la BP (1 semaine pour ajouter un bénéficiaire en ligne, 3000 euros / jour). A partir d'un certain montant cela doit déclencher d'autres mécanismes de sécurité.

Une data leak doit être notifiée par la banque à son client sinon c'est du pénal .

En espérant que tout le monde soit remboursé et que cela face jurisprudence. Sachant que la Loi est pourtant en faveur du consommateur ...
 
C'est 80 000E en une seule fois et quelques secondes.

Y a deja des jurisprudences, sur des faits similaires, si les fait sont identiques pour chacun, ils seront tous remboursés.
En vrai pas besoin de leak il suffit d'une faille pour qu'une societe doit avertir ces clients.

Vous avez des exemples de proces perdu par des clients qui se sont fait purger leurs comptes or affaire de clients qui ont reçu un appel de pseudo banquiers qui voulait obtenir les codes. Des affaires vraiment similaire a LCL ?

Autre question : Si on recoit un appel du numero de son agence bancaire qui s'affiche sur son telephone et que l'on repond à la demande du pseudo conseiller en donnant ces codes. Est ce que l'on est responsable, vous savez si des clients on perdu leur proces sur ce point ?
 
samy-91 a dit:
Si on recoit un appel du numero de son agence bancaire qui s'affiche sur son telephone
Cliquez pour agrandir...
Déjà, on ne peut pas incriminer l'agence d'une action contre laquelle elle ne peut rien.
Si demain quelqu'un se fait passer pour toi, tu serais d'accord pour en couvrir les conséquences ? :rolleyes:

samy-91 a dit:
et que l'on repond à la demande du pseudo conseiller en donnant ces codes
Cliquez pour agrandir...
On ne donne *jamais* de code à quelque personne que ce soit, c'est régulièrement indiqué (*) dans les mails de prévention et dans les pages de connexion aux espaces clients des banques.

Cela est vrai même si c'est toi qui appelle la banque, alors imagine combien c'est vrai lorsque tu n'es pas certain de ton interlocuteur !

(*) Je suis client dans 4 banques (Hello Bank, Fortunéo, Boursorama, ING), les 4 m'en informent régulièrement, c'est quand même difficile de passer à coté et de dire qu'on n'est pas au courant (cf captures écran), je doute qu'il en soit autrement dans d'autres établissements.
 

Pièces jointes

  • La consultation des
    pièces jointes est
    réservée aux abonnés
  • La consultation des
    pièces jointes est
    réservée aux abonnés
  • La consultation des
    pièces jointes est
    réservée aux abonnés
  • La consultation des
    pièces jointes est
    réservée aux abonnés
Dernière modification:
[lien réservé abonné]
 
AlbertoWin a dit:
[lien réservé abonné]
Cliquez pour agrandir...
aucun preuve, aucune piste, juste un titre racoleur démenti dans l'article.
 
Comment une banque peut prouver techniquement qu'un client a donné son identifiant + mot de passe et code personnelle unique par sms ?

J'aimerai bien comprendre, vous avez connaissance de dossier gagner par les banques ?
 
samy-91 a dit:
Comment une banque peut prouver techniquement qu'un client a donné son identifiant + mot de passe et code personnelle unique par sms ?

J'aimerai bien comprendre, vous avez connaissance de dossier gagner par les banques ?
Cliquez pour agrandir...
Soit il dit avoir été victime de phishing, soit les bases des sites correspondent (même IP, même adresse d'expédition que habituellement)...
 
Si je donne mes codes a @AlbertoWin volontairement parce que c'est un pote qu'il est de l'autre côté de la France qu'il me prend de l'argent. Comment la banque peut prouver qu'il y a négligences de ma part ?
 
samy-91 a dit:
Si je donne mes codes a @AlbertoWin volontairement parce que c'est un pote qu'il est de l'autre côté de la France qu'il me prend de l'argent. Comment la banque peut prouver qu'il y a négligences de ma part ?
Cliquez pour agrandir...
avec difficulté; ce genre de fraude existe; je l'ai même vu au sein d'un couple.

C'est pour çà que la banque doit vous rembourser mais elle va vous demander de porter plainte contre lui pour essayer de limiter la casse.

Malheureusement s'il n'y avait pas tant de gens qui essayent de détourner des lois qui les protègent, çà serait sans doute plus facile de faire fonctionner ces lois le jour où il y a une vraie fraude.
 
samy-91 a dit:
Si je donne mes codes a @AlbertoWin volontairement parce que c'est un pote qu'il est de l'autre côté de la France qu'il me prend de l'argent. Comment la banque peut prouver qu'il y a négligences de ma part ?
Cliquez pour agrandir...
C’est pas possible du coup j’attends vos codes par MP dans les plus brefs délais ;)

Non plus serieureusement on vous demande de porter plainte en effet et si la banque est sur d’une fraude elle porte plainte pour escroquerie ça finit en enquête pénale et là ça se verra que vous avez un lien avec cette personne.
Dans une enquête civile ils ne le verront pas. Mais si vous devez valider sur votre téléphone ils sauront que c’est votre téléphone et là le piège se referme…
 
Franchement je ne comprend pas comment une fraude au virement est possible. On est sensé confirmé une opération avec un code SMS temporaire aléatoire que l'on reçoit sur son numéro sauf si on change son numéro de portable.
 
Triaslau a dit:
Malheureusement s'il n'y avait pas tant de gens qui essayent de détourner des lois qui les protègent, çà serait sans doute plus facile de faire fonctionner ces lois le jour où il y a une vraie fraude.
Cliquez pour agrandir...
Mais carrément !!
 
Les pirates ont récupéré compte et mot de passe via une data leak de la banque et/ou une opération de phishing auprès du client

Les pirates ont introduit un code sur votre portable qui a programmé un re routage de vos SMS vers leur numéro . L’autre option théorique étant de hacker le SI de la banque en MAJ où le système qui génère le code, c’est pas ouvert à tout le monde .

Le SMS n’est pas sûr ; les banques le savent puisqu’elles le remplacent progressivement par le système de connexion à votre compte depuis votre appli sur le téléphone préalablement enregistré .

A titre d’illustration :
Je me suis fait très rarement (1 fois) avoir mais j’ai cliqué sur un message + lien envoyé par une connaissance ( a son insu ) et cela génera : des rdv dans mon agenda, dès contacts de numéros surtaxés en tête de mon carnet d’adresse (commençant par un ´.’) et l’envoi (a mon insu) du même message à tout mon carnet d’adresse Messenger … que j’ai dû effacer 1 par 1 et les prévenir . Voilà c’est pas magique on doit faire un truc sur son tel pour l’activer mais même étant initié je me suis fait avoir par l’usurpation de l’émetteur .

Bref encore une fois : soyez hyper prudent avec les app téléphoniques.
 
Dernière modification:
Bonjour,

Je suis l auteur du premier message de ce fil, avec mon père, client du LCL, qui s était fait voler 3000 euros lors d un virement frauduleux vers un IBAN français inconnu. Il n a reçu aucun SMS de validation, ni aucun appel ni quoi que ce soit.

Par ailleurs, il n a jamais utilisé d application Android ou iOS, ni au moment de fraude, ni avant, utilisant exclusivement l accès web avec son PC sous Windows 10.

Le hack Android me semble être une mauvaise piste. La fuite de données et les droits d admin frauduleux pour désactiver les notifications SMS directement depuis le cœur de réseau LCL me semblent par contre bien plus probables.

Et une possible complicité interne…
 
complicité interne c'est possible mais il faut avoir acces au mot de passe, l'identifiant tout LCL le connait, le mot de passe c'est plus compliqué.
Si LCL a bien fait son travail quand quelqu'un visite une fiche ou la base de données il devrait avoir des logs.
J'aimerai savoir si votre pere a fait des virements autour du moment de la fraude. Est ce qu'il a reçu des sms avec le code temporaire ?
C'est pour verifier si ça fonctionne
 
samy-91 a dit:
complicité interne c'est possible mais il faut avoir acces au mot de passe, l'identifiant tout LCL le connait, le mot de passe c'est plus compliqué.
Si LCL a bien fait son travail quand quelqu'un visite une fiche ou la base de données il devrait avoir des logs.
J'aimerai savoir si votre pere a fait des virements autour du moment de la fraude. Est ce qu'il a reçu des sms avec le code temporaire ?
C'est pour verifier si ça fonctionne
Cliquez pour agrandir...
Encore une fois arrêtez de tergiverser.

On se regroupe, action collective et on dit que la banque doit prouver la négligence grave et qu’il n’y a pas eu de défaillance. Rapide, simple et succès garanti.

Car là vos propos sont contradictoires.
Trahison interne ? Ok et ? Pourquoi vous parlez d’identifiant et de mot de passe? Il n’en ont pas besoin. En plus le mot de passe subit un me encryption a sens unique (hashage) et personne ne peut retrouver le mot de passe d’origine. Personne.
 
samy-91 a dit:
complicité interne c'est possible mais il faut avoir acces au mot de passe, l'identifiant tout LCL le connait, le mot de passe c'est plus compliqué.
Si LCL a bien fait son travail quand quelqu'un visite une fiche ou la base de données il devrait avoir des logs.
J'aimerai savoir si votre pere a fait des virements autour du moment de la fraude. Est ce qu'il a reçu des sms avec le code temporaire ?
C'est pour verifier si ça fonctionne
Cliquez pour agrandir...

Dans le cas de mon père, la fraude remonte au 22 décembre 2021. Il n a fait aucun virement le jour du vol, ni les jours d avant. Il a 80 ans, il s intéresse à l informatique mais n est pas du tout smartphone ou app mobile. Je n arrive pas à le convaincre d installer Whatsapp pour partager les photos de famille avec lui, alors l app mobile du LCL…. Il ne savait même pas qu elle existait. Et il n installe aucune autre app. Le smartphone pour lui, c est téléphone, SMS et c est à peu près tout.

Il a un Samsung A40, mais n à installé aucune app depuis qu il a. Ca remonte facilement à deux ans.

Il utilise exclusivement l accès web pour se connecter à son compte LCL depuis son PC Windows, depuis des années et des années. Et il m a bien confirmé qu il n a reçu aucun appel suspect de la banque ou de SMS / e-mail pouvant ressembler à du phishing.

Bref, cela ressemble à une fuite de données directement depuis la banque, et aussi la désactivation des SMS de validation, car il n a jamais reçu de SMS pour ajouter l IBAN destinataire du virement ni pour valider la transaction.

Son plafond de virement avait aussi été modifié frauduleusement car il était à 1500 euros et le virement frauduleux a été d un montant de 3000 euros, soit le double du maximum permis.

Tout cela montre que les pirates avaient des accès administrateurs avancés directement dans le SI du LCL pour:

Modifier le plafond du montant maximum de virement bancaire
Désactiver l envoi de SMS pour valider les opérations critiques comme ajout d IBAN et ordre de virement
Effectuer des opérations sensibles comme un virement.

Par ailleurs, les premiers virement frauduleux remontent à novembre 2021, et ont au moins duré jusqu a fin janvier 2022 soit près de 3 mois. C est excessivement long pour que de telles failles de sécurités n aient pas été colmaté dès les premiers retours de fraude. Le LCL cache des choses potentiellement graves dans cette affaire.
 
zeldus a dit:
Dans le cas de mon père, la fraude remonte au 22 décembre 2021. Il n a fait aucun virement le jour du vol, ni les jours d avant. Il a 80 ans, il s intéresse à l informatique mais n est pas du tout smartphone ou app mobile. Je n arrive pas à le convaincre d installer Whatsapp pour partager les photos de famille avec lui, alors l app mobile du LCL…. Il ne savait même pas qu elle existait. Et il n installe aucune autre app. Le smartphone pour lui, c est téléphone, SMS et c est à peu près tout.

Il a un Samsung A40, mais n à installé aucune app depuis qu il a. Ca remonte facilement à deux ans.

Il utilise exclusivement l accès web pour se connecter à son compte LCL depuis son PC Windows, depuis des années et des années. Et il m a bien confirmé qu il n a reçu aucun appel suspect de la banque ou de SMS / e-mail pouvant ressembler à du phishing.

Bref, cela ressemble à une fuite de données directement depuis la banque, et aussi la désactivation des SMS de validation, car il n a jamais reçu de SMS pour ajouter l IBAN destinataire du virement ni pour valider la transaction.

Son plafond de virement avait aussi été modifié frauduleusement car il était à 1500 euros et le virement frauduleux a été d un montant de 3000 euros, soit le double du maximum permis.

Tout cela montre que les pirates avaient des accès administrateurs avancés directement dans le SI du LCL pour:

Modifier le plafond du montant maximum de virement bancaire
Désactiver l envoi de SMS pour valider les opérations critiques comme ajout d IBAN et ordre de virement
Effectuer des opérations sensibles comme un virement.

Par ailleurs, les premiers virement frauduleux remontent à novembre 2021, et ont au moins duré jusqu a fin janvier 2022 soit près de 3 mois. C est excessivement long pour que de telles failles de sécurités n aient pas été colmaté dès les premiers retours de fraude. Le LCL cache des choses potentiellement graves dans cette affaire.
Cliquez pour agrandir...

Peu importe où est la faille, la banque doit rembourser sauf si elle prouve une négligence grave ou une fraude la part du client.

Réclamation LR/AR service client -> Médiateur -> Tribunal
 
Charles356 a dit:
Peu importe où est la faille, la banque doit rembourser sauf si elle prouve une négligence grave ou une fraude la part du client.

Réclamation LR/AR service client -> Médiateur -> Tribunal
Cliquez pour agrandir...
On sait ça c'est pas nouveau.
Je suis curieux de connaître leur technique
 
Statut
Non disponible pour d'autres réponses.
Bons plans du moment
Logo Monabanq
Compte bancaire : Jusqu'à 160 € offerts + 2% d'intérêts
Logo Bourse Direct
Bourse : Jusqu'à 200 € offerts pour une 1ère ouverture/transfert
goodvest
PER : Jusqu'à 1 000 € de frais de gestion offerts
Logo EasyBourse
Bourse : Frais de transfert : jusqu'à 2 000€ remboursés
Voir plus d'actualités
Actualités les plus consultées
Carsat« Ma retraite Agirc-Arrco a baissé. Ma pension Carsat du 9 septembre va-t-elle suivre ? » 1966« J'ai 59 ans en 2025. Je pourrai partir à la retraite à quel âge ? » 1967 retraite« Je peux prendre une retraite progressive ? À partir de quand ? J'aurai 59 ans en 2026 » couper sa carte bancaireUne grève massive de la carte bancaire ce mercredi ? Les résultats de notre sondage exclusif Bloquons tout« Bloquons tout » : votre banque peut-elle limiter vos retraits d'espèces, sur votre livret ou votre assurance vie ? Les taux immobiliers sont sous pressionTaux immobilier : une très mauvaise nouvelle pour le coût votre crédit cette semaine ?
Retour
Haut