Techniques du phishing + vishing, comment s'en prémunir?

AlbertoWin

Contributeur régulier
Voici comment une attaque en 2 phases a lieu :

  • Vous recevez un mail soi-disant de votre banque pour valider ou empêcher un blocage de compte et aller sur un site qui' n'est pas celui de votre banque, bien qu'il puisse être sécurisé.
  • Ex ici de la société générale
image1.png

Vous rentrez vos identifiants et mot de passe qui permettront au pirate d'accéder à votre compte plus tard.

  • Une fois rentré, vous ne voyez ni votre solde, ni votre nom (suspect) mais on vous demande votre numéro (que évidemment votre banque a déjà) pour l'étape 2.
image2.png
  • On vous envoie ensuite un SMS pour valider l'ajout d'un bénéficiaire ou d'un nouvel appareil, en donnant le code, vous permettez à un nouvel appareil de se connecter à votre compte. Ou c'est un SMS de test (à vrai dire, je ne sais pas)
  • Ensuite on vous demande votre carte bancaire (là encore votre banque a perdu les infos de votre carte, c'est ennuyeux...), là encore ça doit tilter.
1697293201028.png

  • Ensuite on vous dit que tout est bon et vous êtes redirigé vers le site de la banque (la vraie mais vous n'êtes toujours pas connecté). Surprenant non?
Etape 2 : le vishing.

  • Le pirate se connecte à votre compte, observe votre historique et vous appelle. Avec les informations, il vous met en confiance et vous indique que des opérations suspectes sont en cours, et que probablement vous avez répondu à un faux mail. Votre cerveau comprend et le piège se referme.
  • La personne au bout du fil, qui a pu usurper le numéro de votre banque, vous demande de valider une opération par carte bancaire, qu'il vous vend comme une validation d'annulation. Hors, une annulation ne doit jamais être validé. Etant préssé par l'urgence relative imposé par l'interlocuteur, vous validerez l'opération et vous êtes débité d'un achat jamais fait.
Conclusion :
  • Toujours vérifier le site de sa banque, ne jamais cliquez sur les liens.
  • être alerté si après connexion, des choses étranges ont lieu et changer son mot de passe.
  • Ne pas donner ses informations de carte sur le site de sa banque, sous aucun prétexte.
  • Ne jamais valider une opération dont vous n'êtes pas à l'origine.
Résultats :

Vous avez perdu votre argent, la banque vous oppose un remboursement pour négligence car vous avez été le maillon victime de l'ingénierie sociale.
 
AlbertoWin a dit:
  • Ensuite on vous dit que tout est bon et vous êtes reirigé vers le site de la banque (la vraie mais vous n'êtes toujours pas connecté). Surprenant non?
Cliquez pour agrandir...
Non, pas surprenant, je dirais plutôt que c'est banal.
On prend soin de mettre l'url des sites dont on a besoin dans les favoris.
On ne clique jamais sur un lien donné en mail, mais on utilise le lien que l'on a dans ses favoris.
Accessoirement, mais plus technique :
On regarde à quoi ressemble l'adresse mail de l'expéditeur.
Et on regarde l'url du lien.. Bien que, parfois, cette url est tellement proche de la véritable url qu'il est difficile d'y déceler une entourloupe.
Ce genre de mail, j'en reçois tous les jours.. Comme tout le monde, je suppose.

En voici un reçu il y a 2 jours, aussi de la SG... Alors que je n'y dispose d'aucun compte :
Expéditeur : SG bien sûr, mais adresse mail mailehxlbpkwguo[@]so-l.co.jp .... Un peu bizarre comme adresse mail!
URL : [asapplastics.com.au/readme.php"] ... Si on se fait avoir avec une telle url, je dirais que c'est que l'on cherche un peu les ennuis!
 
poam5356 a dit:
Non, pas surprenant, je dirais plutôt que c'est banal
Cliquez pour agrandir...
C'était du second degré
 
Bonjour @AlbertoWin ,

A quand la suite de
votre réponse
à mon Post ?

C'est aussi du second degré :)
 
Merci de partager ces informations. C'est toujours intéressant de voir les techniques misent en œuvre pour voler les gens et savoir s'en prémunir.
 
Bonjour, j'ai lu qu'une personne qui s'est fait escroquer 25000 € sur Boursorama banque. Par une technique de Viching. Et soi-disant que la personne va prendre un avocat et que la banque va lui rembourser car il y aurait une nouvelle loi qui rembourserait les personnes qui se font escroquer par ce moyen. Ça me semble étrange et donc j'aurais aimé avoir votre avis
 
Car ça me paraît un peu facile de virer 25000 € à un escroc et que la banque vous rembourse
 
Un peu facile oui déjà, et en quoi la banque serait tenue de rembourser pour une faute qui ne lui incombe pas ? :unsure:
 
Il n'y a pas eu de nouvelle loi sur le sujet à ma connaissance, uniquement des recommandations en mai dernier de l'Observatoire de la Sécurité des Moyens de Paiement sur les remboursements de victime de fraude :
[lien réservé abonné]

Le dernier cas que j'ai vu passer d'un client qui a communiqué son code pour valider une opération a donné tort au client : [lien réservé abonné] mais en fonction des cours et des cas, ça peut changer
 
Surtout que la cour ne s'est jamais réellement penché sur un cas de vishing ou d'authentification forte.
 
AlbertoWin a dit:
Voici comment une attaque en 2 phases a lieu :

  • Vous recevez un mail soi-disant de votre banque pour valider ou empêcher un blocage de compte et aller sur un site qui' n'est pas celui de votre banque, bien qu'il puisse être sécurisé.
  • Ex ici de la société générale
Afficher la pièce jointe 21521

Vous rentrez vos identifiants et mot de passe qui permettront au pirate d'accéder à votre compte plus tard.

  • Une fois rentré, vous ne voyez ni votre solde, ni votre nom (suspect) mais on vous demande votre numéro (que évidemment votre banque a déjà) pour l'étape 2.
Afficher la pièce jointe 21523
  • On vous envoie ensuite un SMS pour valider l'ajout d'un bénéficiaire ou d'un nouvel appareil, en donnant le code, vous permettez à un nouvel appareil de se connecter à votre compte. Ou c'est un SMS de test (à vrai dire, je ne sais pas)
  • Ensuite on vous demande votre carte bancaire (là encore votre banque a perdu les infos de votre carte, c'est ennuyeux...), là encore ça doit tilter.
Afficher la pièce jointe 21524

  • Ensuite on vous dit que tout est bon et vous êtes redirigé vers le site de la banque (la vraie mais vous n'êtes toujours pas connecté). Surprenant non?
Etape 2 : le vishing.

  • Le pirate se connecte à votre compte, observe votre historique et vous appelle. Avec les informations, il vous met en confiance et vous indique que des opérations suspectes sont en cours, et que probablement vous avez répondu à un faux mail. Votre cerveau comprend et le piège se referme.
  • La personne au bout du fil, qui a pu usurper le numéro de votre banque, vous demande de valider une opération par carte bancaire, qu'il vous vend comme une validation d'annulation. Hors, une annulation ne doit jamais être validé. Etant préssé par l'urgence relative imposé par l'interlocuteur, vous validerez l'opération et vous êtes débité d'un achat jamais fait.
Conclusion :
  • Toujours vérifier le site de sa banque, ne jamais cliquez sur les liens.
  • être alerté si après connexion, des choses étranges ont lieu et changer son mot de passe.
  • Ne pas donner ses informations de carte sur le site de sa banque, sous aucun prétexte.
  • Ne jamais valider une opération dont vous n'êtes pas à l'origine.
Résultats :

Vous avez perdu votre argent, la banque vous oppose un remboursement pour négligence car vous avez été le maillon victime de l'ingénierie sociale.
Cliquez pour agrandir...

J'utilise l'authentification par empreinte digitale.

Je suis les recommandations de ma banque..
 
La personne m'a dit que son avocat lui avait fait part de nouvelles lois depuis Janvier 2023.

J'ai aussi lu cela qui contredirait @AlbertoWin (mais je ne suis pas un expert).
[lien réservé abonné]

Et j'ai trouvé cela :
[lien réservé abonné]

cela
https://www.moneyvox.fr/banque/actu...xes-pour-se-faire-rembourser-par-votre-banque

et cela

[lien réservé abonné]

Une fois encore cela m'étonne que les banques remboursent mais... ces articles sont ils faux ?
 
Pendragon a dit:
J'ai aussi lu cela qui contredirait @AlbertoWin (mais je ne suis pas un expert).
[lien réservé abonné]
Cliquez pour agrandir...
En quoi ça me contredit? La banque doit prouver plusieurs choses :
  • Que le client est bien responsable de la transaction. Si tel est le cas, qu'il a effectué une négligence grave.
  • Que l'opération a été faite avec authentification forte, dûment authentifiée et non affecté par une déficience technique.
Dans le cas de vishing, vous validez par authentification forte l'achat et comme je l'ai dit, voici ce qui provoque la bascule.
 
Ça vous contredit parce que la cour de cassation a obligé la banque à rembourser le client alors qu'il avait communiqué son code 3D à un voleur
 
Enfin c'est l'interprétation que je fais de cet extrait de jugement. Je ne suis pas un expert
 
Pendragon a dit:
Ça vous contredit parce que la cour de cassation a obligé la banque à rembourser le client alors qu'il avait communiqué son code 3D à un voleur
Cliquez pour agrandir...
Oui mais un code ne suffit plus... Car ce n'est pas de l'authentification forte... ici on parle d'un SMS.

Ici je parle d'une validation avec saisie du code SUR UN APPAREIL HOMOLOGUE valant authentification forte...
 
De toute façon, si le client est persuadé qu'il a la abnque en ligne, rien ne l'interdira de valider toutes les opérations frauduleuses qu'il fait sans s'en rendre compte.

Là où Bourso pourrait augmenter la sécu c'est en imposant un délai entre la saisie d'un nouvel iban et un virement.

Car souvent les clients qui se sont fait avoir s'en rendent compte ou ont un soupçon après avoir raccroché.
 
Pendragon a dit:
Là où Bourso pourrait augmenter la sécu c'est en imposant un délai entre la saisie d'un nouvel iban et un virement.
Cliquez pour agrandir...
Quand on se fait piéger, oui forcément, on dit ca. Par contre, à l'inverse, lorsqu'on souhaite effectuer un virement rapidement, on le voit tout différemment ^^

EDIT : à moins que le délai dont tu parles soit de l'ordre de quelques minutes / quelques heures, là effectivement ca serait une idée, mais pas comme certaines banques qui t'imposent plusieurs jours ouvrés, voire parfois un appel téléphonique
 
Il n'y a pas que les virements, il y a les achats par carte bancaire... Si vous donnez les codes, le compte peut être vidé quelque soit la manière... Mettre un délai ne changera rien si le fraudeur a accès.
 
@AlbertoWin Bien vu :cool:
 
Bons plans du moment
Logo Boursorama Banque
Compte bancaire : Jusqu'à 120 € offerts de prime de bienvenue
Logo Société Générale
Compte jeune : Jusqu'à 100 € offerts + compte jeune à 1 €
goodvest
Assurance-Vie : Jusqu'à 1 000 € de frais offerts
Logo Altaprofits
Assurance-Vie : Jusqu'à 300 € + bonus de 2%
Voir plus d'actualités
Actualités les plus consultées
courrier senior« Ma retraite a légèrement augmenté ce mois-ci, comment ça se fait ? » Carsat« Ma retraite Agirc-Arrco a baissé. Ma pension Carsat du 9 septembre va-t-elle suivre ? » Une jeune femme compte son argent dans son porte-monnaie« Bloquons tout » : le paiement par carte bancaire coûte-t-il une blinde aux commerçants ? Deux personnes devant un ordinateur.Plus de 120 euros par mois : comment réduire le coût affolant des assurances pour les étudiants ? Le site officiel MaPrimeRenov'.Rénovation énergétique : c'est officiel, ce qui change pour toucher MaPrimeRenov' à partir du 30 septembre Les taux immobiliers sont sous pressionTaux immobilier : une très mauvaise nouvelle pour le coût votre crédit cette semaine ?
Retour
Haut