Techniques du phishing + vishing, comment s'en prémunir?

[wwolf1]

Il y a un plafond sur les achats par carte bancaire et de nombreuses banques imposent un délai entre la demande d'enregistrement d'un nouveau bénéficiaire et la possibilite de faire un virement. Ce qui est parfois bien pénible aussi.

 

[Pendragon]

Il n'y a pas que les virements, il y a les achats par carte bancaire... Si vous donnez les codes, le compte peut être vidé quelque soit la manière... Mettre un délai ne changera rien si le fraudeur a accès.

Je parlais de l'arnaque où le client croit avoir affaire à un conseiller Boursorama.

Il suffirait de mettre par exemple 4h entre la saisie d'un nouvel IBAN et le virement proprement dit et ça éviterait beaucoup d'arnaque

 

[AlbertoWin]

Il y a un plafond sur les achats par carte bancaire et de nombreuses banques imposent un délai entre la demande d'enregistrement d'un nouveau bénéficiaire et la possibilite de faire un virement. Ce qui est parfois bien pénible aussi.

Plafond qui peuvent être montés sur Internet pour la plupart donc le fraudeur monte les plafonds avant... Encore une fois si vous avez fait rentrer un voleur chez vous, ce n'est pas parce qu'il y a une porte à double gonds devant les bijoux qui ne pourra pas aller. Surtout si l'escroquerie comme souvent se fait un vendredi, à la clôture hebdomadaire des banques.

Je parlais de l'arnaque où le client croit avoir affaire à un conseiller Boursorama.

Vous n'avez pas compris. Le vishing sert à mettre en confiance le client pour qu'il valide par authentification forte le(s) virements ou les achats par carte. Puisque sans authentification forte, les fonds ne peuvent pas être transférés (car s'ils le sont la banque se fait en tord cf le code monétaire et votre arrêté) et que seul le client dispose du moyen de confirmer.
S'il suffisant des codes pour vider les comptes, il ne vous appellerait pas lol.

Pour finir, un système n'est sécurisé qu'à hauteur de son maillon le plus faible. Les technologies informatiques et les règles ont fortement évolués, laissant à l'arrière les clients qui deviennent ce maillon. Les clients doivent être mis au courant que comme un code de carte bancaire, on ne donne pas ses identifiants, ni ses codes, et on ne valide jamais une transaction. C'est un manque clair de pédagogie qui met en péril la sécurité des milieux. Si au sein de mon entreprise, je me fais pirater, je peux offrir une voie d'or pour tous les autres accès. Donc il faut faire preuve de vigilance car nous sommes aussi des cibles. Et en entreprise comme à la banque, si je suis la source, je serai déclaré responsable et j'en subirai les conséquences (disciplinaire pour l'entreprise et financière pour la banque).

Pour finir, sachez que la banque ne peut pas récupérer votre argent. Si elle récupère votre argent, elle vous le rend. Elle va jamais risquer un procès et les répercussions sociales et sur son client d'une telle fraude. Mais si elle ne peut rien faire, elle ne vous donnera rien car vous octroyer un remboursement ouvre la voie à tous les autres...

 

[jp19]

Encore une fois si vous avez fait rentrer un voleur chez vous, ce n'est pas parce qu'il y a une porte à double gonds devant les bijoux qu'il ne pourra pas y aller

 

[Pendragon]

Vous n'avez pas compris. Le vishing sert à mettre en confiance le client pour qu'il valide par authentification forte le(s) virements ou les achats par carte. Puisque sans authentification forte, les fonds ne peuvent pas être transférés (car s'ils le sont la banque se fait en tord cf le code monétaire et votre arrêté) et que seul le client dispose du moyen de confirmer.

Mais si, j'ai bien compris, , ce qui est étrange c'est que nous n'arrivions pas à nous comprendre vous et moi .
Au cours de cette technique, le faux conseiller suggère que le client mette son argent à l'abri sur un autre compte car la banque aurait détecté des mouvements frauduleux.
Le client fait donc des virements sur un IBAN que lui communique le voleur, et bien entendu en validant les étapes pour faire ce virement.

La faille dans des banques type Boursorama c'est qu'il semblerait que vous puissiez créer un nouveau bénéficiaire et faire un virement tout de suite après la création alors que dans les autres banques il faut attendre 72 heures entre ces deux opérations.
Boursorama pourrait imposer 4h minimum (exemple) entre l'étape de création de l'IBAN du bénéficiaire et le premier virement et cela réduirait drastiquement cette arnaque car entre le coup de téléphone du faux banquier et ces 4 heures, généralement le client se rend compte qu'il a eu affaire à un escroc.
En effet après avoir fait ces virements et raccroché le client est souvent pris d'un doute et téléphone de lui-même à Boursorama pour se rendre compte qu'il a eu affaire à un faux conseiller.

L'introduction de ce délai (même court) entre l'étape de création d'un nouvel IBAN et l'etape de virement proprement dit permettrait de mieux protéger le client.

J'espère m'être mieux exprimé...

 

[AlbertoWin]

C'est rare que les gens s'en rendent compte immédiatement. Il s'en rende souvent compte quand leur compte est debite! De plus aujourd'hui avec l'énorme message anti fraude, ce délai sera juste pénalisant.

Et si le virement est pas possible ils débuteront par carte bancaire...

 

[Mr_Chiffre]

Mais si, j'ai bien compris, , ce qui est étrange c'est que nous n'arrivions pas à nous comprendre vous et moi .
Au cours de cette technique, le faux conseiller suggère que le client mette son argent à l'abri sur un autre compte car la banque aurait détecté des mouvements frauduleux.
Le client fait donc des virements sur un IBAN que lui communique le voleur, et bien entendu en validant les étapes pour faire ce virement.

La faille dans des banques type Boursorama c'est qu'il semblerait que vous puissiez créer un nouveau bénéficiaire et faire un virement tout de suite après la création alors que dans les autres banques il faut attendre 72 heures entre ces deux opérations.
Boursorama pourrait imposer 4h minimum (exemple) entre l'étape de création de l'IBAN du bénéficiaire et le premier virement et cela réduirait drastiquement cette arnaque car entre le coup de téléphone du faux banquier et ces 4 heures, généralement le client se rend compte qu'il a eu affaire à un escroc.
En effet après avoir fait ces virements et raccroché le client est souvent pris d'un doute et téléphone de lui-même à Boursorama pour se rendre compte qu'il a eu affaire à un faux conseiller.

L'introduction de ce délai (même court) entre l'étape de création d'un nouvel IBAN et l'etape de virement proprement dit permettrait de mieux protéger le client.

J'espère m'être mieux exprimé...

Je peux aussi me rappeler que boursobank ne fera jamais ça.Et mettre le faux conseiller dans les spam.

Ceci dit bien sûr si j'avais un compte boursobank.

 

[Pendragon]

C'est rare que les gens s'en rendent compte immédiatement. Il s'en rende souvent compte quand leur compte est debite!

Sur quelles données vous appuyez vous pour prouver vos écrits ? Des témoignages ? Des statistiques ?
Ce sujet m’intéresse, merci pour votre expertise et les liens que vous me donnerez.

 

[Pendragon]

Je peux aussi me rappeler que boursobank ne fera jamais ça.Et mettre le faux conseiller dans les spam.

??? Un fois de plus j'ai rien compris "mettre le faux conseiller dans les spams ?". Vous êtes au courant qu'ils vous appellent avec le numéro de Boursorama donc comment le mettez vous dans les spams ? Cela m’intéresse, merci.

 

[Pendragon]

Pour finir, sachez que la banque ne peut pas récupérer votre argent. Si elle récupère votre argent, elle vous le rend. Elle va jamais risquer un procès et les répercussions sociales et sur son client d'une telle fraude. Mais si elle ne peut rien faire, elle ne vous donnera rien car vous octroyer un remboursement ouvre la voie à tous les autres...

Mais oui, je sais et n'ai jamais dit le contraire ..... La banque ne rendra pas d'argent d'elle même mais semble pouvoir y être contrainte.
Je vous ai donné des liens . Il semblerait que des lois existent qui condamnent les banques à rembourser un client victimes de vishing. Je vous ai donné des extraits de cour de cassation, des articles de loi.

J'attendais plutôt une réponse contradictoire basée sur le droit, que sur des généralités. Peut être qu'un jour futur, un experte passera par là (avocat financier) et nous expliquera.

 

[Pendragon]

En pièce jointe copie d'un jugement en Mars 2023.

 

[AlbertoWin]

Sur quelles données vous appuyez vous pour prouver vos écrits ? Des témoignages ? Des statistiques ?
Ce sujet m’intéresse, merci pour votre expertise et les liens que vous me donnerez.

Sur des témoignages, sur des arrêts de la cour (dont le votre d'ailleurs...) Et les rapports de la FBF relatif à la médiation.

 

[AlbertoWin]

attendais plutôt une réponse contradictoire basée sur le droit, que sur des généralités

Je vous ai déjà exposé cela dans mon post précédent. Cela découle du code monétaire et de la jurisprudence. Un arrêt de cour d'appel ne fait pas jurisprudence. Oui vous pouvez gagner contre la banque car la cour N'A JAMAIS TRANCHE sur l'authentification forte et le vishing. Quand elle le fera, nous saurons a quoi nous en tenir. Aujourd'hui ce n'est que supposition, la notion de négligence grave est a la liberté des tribunaux.

 

[Pendragon]

Oui vous pouvez gagner contre la banque

OK... d'ailleurs l'extrait du jugement en est la preuve.

(ce qui m'interpelle d'ailleurs, quand responsabiliserons nous les personnes ? on en est à rembourser une personne qui a viré son argent à un compte tiers en by passant les sécurités de son compte... Incroyable)

 

[Kephset]

OK... d'ailleurs l'extrait du jugement en est la preuve.

(ce qui m'interpelle d'ailleurs, quand responsabiliserons nous les personnes ? on en est à rembourser une personne qui a viré son argent à un compte tiers en by passant les sécurités de son compte... Incroyable)

Victoire de la banque en première instance, du client en appel, reste plus qu'à attendre la cassation...
Comme souvent on a du mal à trouver une constante dans les jugements.

 

[Pendragon]

Victoire de la banque en première instance, du client en appel, reste plus qu'à attendre la cassation...
Comme souvent on a du mal à trouver une constante dans les jugements.

L'affaire passe en cassation ?

 

[AlbertoWin]

L'affaire passe en cassation ?

A 50k le jugement j'en suis quasi sur... Mais ce n'est pas renseigné.

 

[attentif]

Bonjour à tous,

Personnellement, je serais demandeur d'une authentification forte, lors de ma connexion à mon espace bancaire en ligne, systématiquement au lieu de au moins une fois tous les 180 jours, comme imposé par la DSP2.

Pour la connexion à mon espace bancaire à partir de mon mobile, la question est résolue puisque c'est systématiquement le cas.
Par contre, à partir d'un navigateur ce serait à mon avis un plus indéniable du point de vue de la sécurisation de l'accès à son espace bancaire en ligne.

Ainsi, une personne détenant mon identifiant et mon mot de passe pour accéder à mon espace bancaire en ligne, ne pourrait pas le faire sans une authentification forte de ma part. De plus, cela permettrait d'être averti que quelqu'un tente d'y accéder frauduleusement.

 

[jp19]

à partir d'un navigateur ce serait à mon avis un plus indéniable du point de vue de la sécurisation de l'accès à son espace bancaire en ligne

La pire des 3 banques en ligne chez qui je suis client étant Fortunéo : l'accès web se fait via identifiant + mot de passe (même pas un clavier virtuel), les 2 pouvant être mémorisés par le navigateur

 

[AlbertoWin]

Cette règle a surtout été mise en place pour les agrégateurs pour éviter que chaque jour la personne soit rediriger vers le site de sa banque pour authentification. Cela explique la hausse de 90 a 180 jours récentes elle aussi.

A mon avis l'authentification forte devrait être faite au cas par cas (cookies de connexion, adresse IP, navigateur...) selon une échelle de risque.