Journal Validations frauduleuses de codes 3D Secure

Posté par . Licence CC by-sa.
37
25
juin
2019

Bonjour tout le monde,

J'ai hésité à poster ce message dans les forums, mais je pense qu'il peut-être intéressant de partager ici quelque chose qui nous est arrivé aujourd'hui concernant le vol et l'utilisation frauduleuse de la carte bancaire de mon conjoint.

Je lui ai offert un nouveau téléphone de marque Huawei (P Smart) il y a un mois de ça. Et aujourd'hui, il reçoit sur son téléphone par SMS une demande de validation 3D Secure d'un paiement de 1 389 euros par internet pour sfrbol3. Prenant conscience que les données de sa carte bancaires ont été volées mais rassuré par le fait que la transaction ne sera pas validé, il entame les démarches pour faire opposition sur sa carte. Entre temps, un second SMS pour une autorisation d'un achat de 303 euros sur un site de mode est reçu.

En nous connectant sur le site de notre banque en ligne, nous constatons que les deux achats sont affichés comme opération à venir, le débit est prévu le 2 juillet. Ce qui impliquerait que les deux codes aient été validé. Impossible de faire opposition sur ces paiements tant qu'ils n'ont pas été effectivement débité sur le compte. Nous irons au commissariat demain pour déposer une plainte car les codes ayant été validés, il semble plus compliqué d'obtenir un remboursement de ces dépenses frauduleuses.

À priori, j'en conclu que le téléphone contient peut-être un malware qui a sans doute accès aux SMS du téléphone et un keylogger capable de récupérer les inputs. Ce qui me surprends c'est que le téléphone est neuf (et vendu scellé, acheté sur amazon, mais sur le marketplace à un revendeur italien), qu'il n'y a pas d'usage dangereux dessus comme celui d'installer les applications en dehors du playstore, et que les quelques applications installé dessus ne devraient en toute logique ne pas poser de problèmes de sécurité de cet ordre.

Je regarde le téléphone après l'avoir coupé du réseau internet et retiré sa carte sim. Mon conjoint m'indique avoir utilisé une fois sa carte dans l'application de notre supermarché Cora pour régler les courses au drive, mais c'est la seule fois qu'il l'a utilisé. Il n'utilise que très peu cette carte de notre compte joint pour des achats perso sur internet et ne se limite qu'à des sites à priori de confiance.

Je vois une application d'antispam qui a accès aux sms, je regarde l'application sur le playstore, je vois qu'elle est édité en Russie https://play.google.com/store/apps/details?id=com.vladlee.easyblacklist&hl=fr

Les autres applications ayant accès au SMS sont des applications systèmes préinstallé avec le téléphone.

Je n'en aurais pas la certitude, mais sur une version d'Android récente (8) et avec dernier patch de sécurité datant de 8 mai, il est peu probable qu'une faille ait été exploité dans ce téléphone afin qu'un malware soit en mesure d'avoir des droits que l'os du téléphone n'aurait pas explicitement autorisé.

Du coups, reste la manière dont le numéro de carte a été récupéré. Le fait que les codes 3D secure ont été validé me laisse penser que l'attaquant a été en mesure de lire les inputs effectuées avec le clavier et que le numéro n'a pas été volé autrement. Je vois que le clavier Swiftkey a été installé, mais c'est postérieur à la date d'utilisation de la carte sur le téléphone. J'essaie de me renseigner sur la manière dont peuvent fonctionner les keylogger sur android, mais il est compliqué de trouver des informations autre que des classements des meilleurs apps de keylogguer en cherchant sur Google…

Je suppose que pour avoir accès aux inputs clavier, il faut sans doute passer par les options d'accessibilité du téléphone, mais aucune option n'est activité et aucune application ne semble les exploiter.

Reste l'application Cora Drive sur laquelle la carte a été utilisée, mais n'ayant pas d'autorisation pour accéder aux SMS, il est peut probablement que cette application soit en tord.

Une dernière chose serait que le téléphone ait été vendu avec un malware, mais la boite était scellé et le revendeur n'aurait que peut d'intérêt à faire cela.

Du coups, je suis bien embêté pour identifier le vecteur de l'attaque. Je ne suis pas développeur mobile et n'ait que peu de connaissance sur la manière dont les autorisations fonctionnent et leurs capacité à être contournés. Mais je trouve peu d'informations sur ce genre d'exploitation sur les codes 3D secure, on trouve quelques témoignages de personnes ayant eu des cas de code 3d secure validés sans qu'ils aient effectué d'achat mais tous se concentre sur leur difficulté à se faire rembourser et ils sont souvent assez ancien. Je ne trouve pas de littérature sur le sujet, ou de chercheurs ayant identifié ce genre d'attaque qui à priori doit pourtant être courante compte tenu de la synergie à mettre en œuvre.

Du coups, je garderai en mémoire qu'utiliser son téléphone portable pour faire des achats est à priori une mauvaise idée, mais s'il est si simple de récupérer les inputs d'un téléphone, alors tout les usages du smartphones dès l'instant que vous utiliser des comptes avec des données personnelles peuvent être volés, ce qui est inquiétant.

Je suis preneur si vous avez des suggestions ou des pistes de recherches, le téléphone va rester éteint jusqu'à ce que la plainte soit déposé demain afin de conserver les informations nécessaires si besoin.

  • # Surveiller le réseau

    Posté par (page perso) . Évalué à 7 (+5/-0).

    La première chose à faire quand on achète un téléphone, même qui paraît neuf, c'est de lancer la procédure de réinstallation "sortie d'usine". C'est un peu tard maintenant mais il peut toujours être intéressant de le faire pour dégager le potentiel malware.

    Avant, il peut être intéressant de surveiller le réseau. Voir quels sont les flux entrants et sortants et éventuellement, identifier le soft responsable.

    Maintenant, j'ai également eu la malheureuse expérience d'un paiement 3D Secure pour lequel je n'avais pas entré le code (mais commande que j'ai bien effectué par moi-même) qui a pourtant été débité… Donc j'ai quand même un énorme doute sur la qualité de la sécurité du bousin.

    La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

    • [^] # Re: Surveiller le réseau

      Posté par . Évalué à 5 (+4/-0).

      c'est de lancer la procédure de réinstallation "sortie d'usine".

      On peut aussi imaginer qu'un malware puisse être installé grâce à une ROM custom ou après rootage du téléphone où la remise à zéro ne servirait donc à rien.

      • [^] # Re: Surveiller le réseau

        Posté par (page perso) . Évalué à 2 (+1/-1).

        Pour la ROM custom oui, il faudrait pousser le vice jusqu'à l'installation d'un ROM stock.

        Pour le root non, une RAZ sur une ROM stock fait sauter le root (en tout cas, c'est le cas sur mon Galaxy S3 4G).

        La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

        • [^] # Re: Surveiller le réseau

          Posté par . Évalué à 3 (+2/-0).

          Si j'ai bien compris le fonctionnement d'Android, la remise à zéro ne fait qu'effacer le contenu de /data. Si le malware a été installé dans /system, il sera toujours là.

          • [^] # Re: Surveiller le réseau

            Posté par . Évalué à 3 (+3/-2). Dernière modification le 26/06/19 à 09:07.

            Exactement. Mais contre ça il existe tout de même une chaîne de confiance :

            • le bootloader vérouillé qui ne boote que du /boot signé par le fabricant
            • le /boot signé qui active dmVerity
            • dmVerity qui valide que /system n'a pas été modifié

            Bref si le fabricant est sérieux, normalement ce n'est plus possible de fabriquer un faux smartphone préalablement hacké.

            En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # validation du paiement avec retard

    Posté par . Évalué à 2 (+1/-0).

    nous constatons que les deux achats sont affichés comme opération à venir, le débit est prévu le 2 juillet. Ce qui impliquerait que les deux codes aient été validé. Impossible de faire opposition sur ces paiements tant qu'ils n'ont pas été effectivement débité sur le compte

    Dans un article sur une autre escroquerie, quelqu'un avait dit qu'on voyait le montant du chèque encaissé sur son compte, mais qu'en fait le chèque en bois n'était réfuté que plus tard.

    Peut-être que dans ton cas le débit sera annulé… En tous cas je te le souhaite.

    • [^] # Re: validation du paiement avec retard

      Posté par . Évalué à 5 (+3/-0).

      La banque refuse d'intervenir sur ce débit tant que celui-ci n'est pas passé. C'est dommage d'autant qu'on a réagi rapidement, le revendeur ne sera du coups pas au courant que la transaction est frauduleuse et va expédier les articles.

      J'ai contacté le magasin du second achat qui était identifiable mais il m'a dit n'être pas en mesure de retrouver la commande avec uniquement le prix et le titulaire de la carte ayant servi à payer, ce qui est dommage également.

      • [^] # Re: validation du paiement avec retard

        Posté par (page perso) . Évalué à 10 (+10/-0).

        La banque refuse d'intervenir sur ce débit tant que celui-ci n'est pas passé.

        Vide ton compte vers un autre compte (épargne ou autre) et prévient ta boite de ne pas faire le virement de ton salaire/paiement avant le 5 ou le 10. (Si les paiements sont programmés pour le 2 juillet ce n'est un hasard) - idéalement demande à faire le virement sur un autre compte.

        Fais également opposition sur ta carte.

        La banque va râler - car ils ont besoin que la fraude soit avérée pour agir - mais toi tu vas t'éviter pas mal d'ennuis (C'est sympa d'être remboursé 12 mois plus tard et après un passage devant les instances judiciaires - mais pas trop.)

        Ensuite comme suggéré ailleurs dans le thread, remet le tel en réglages usine et flash le avec la rom officielle du fabriquant. Note cependant que la possibilité qu'il se retrouve briqué n'est pas négligeable, certains tel sont modifié au niveau hard (c'est plus fréquent sur de l'entrée de gamme ceci dit)

    • [^] # Re: validation du paiement avec retard

      Posté par . Évalué à 10 (+9/-0).

      Accessoirement, il y a eu un jugement récent de la cour de cassassions qui implique que fournisseur des systèmes de paiement est toujours responsables et doit rembourser le client même dans le cas de l'utilisation d'un code 3d secure. Ce qui me rassure quant à l'issue de cette histoire.

      https://www.ladepeche.fr/2019/06/16/paiement-frauduleux-en-ligne-la-banque-toujours-responsable,8259872.php

      • [^] # Re: validation du paiement avec retard

        Posté par . Évalué à 8 (+7/-0).

        En gros, la règle, c'est qu'il ne peut y avoir de responsabilité de l'utilisateur (le porteur en jargon bancaire) que dans le cas d'une saisie de code PIN. Dans le cas contraire, la banque a 30 jours pour rembourser le porteur.

        En vente à distance, sans 3D secure, c'est normalement le commerçant (l'accepteur dans le jargon) qui assume le risque de fraude. 3D Secure c'est un service offert par les émetteur de carte (les banques et les réseaux) pour sécuriser l'accepteur : ils s'occupent de vérifier l'identité du porteur et assument le risque. C'est une option payante pour les accepteurs qui doivent aussi bien vouloir d'un processus de paiement un peu plus compliqué (et donc une augmentation potentielle des abandons de panier).

  • # Russie

    Posté par (page perso) . Évalué à 5 (+3/-0).

    Pourquoi tu exclues d'emblée l'antispam russe ? Ca parait un vecteur tout à fait naturel et plus simple qu'un keylogger pour récupérer les SMS de sécurité sur un tel. Les applications malveillantes aiment se réclamer de la sécurité, tout comme la Mafia te "protège". Je chercherai plutôt dans cette direction en premier abord.

    • [^] # Re: Russie

      Posté par . Évalué à 2 (+0/-0). Dernière modification le 25/06/19 à 22:44.

      Car je ne sais pas comment elle aurait pu récupérer elle-même le numéro de la carte bancaire. C'est probablement le vecteur d'attaque le plus probable en effet, mais je ne comprends pas par quel mécanisme elle aurait été en mesure de lire les inputs faites au clavier.

      • [^] # Re: Russie

        Posté par (page perso) . Évalué à 1 (+0/-0).

        Une des apps peut également gérer un proxy qui prend en charge le https, et certificat root bidon. Comme le ferait l'app "Charles Proxy".

        Ainsi tout le traffic Web serait sniffé.

        alf.life

      • [^] # Re: Russie

        Posté par (page perso) . Évalué à 2 (+0/-0). Dernière modification le 26/06/19 à 07:09.

        Je ne comprends pas cette histoire de keylogger. Ton conjoint a reçu les codes par SMS, il ne les a pas tapés. À quoi servirait un keylogger ? C'est bien l'accès aux SMS qu'il faut creuser. Et peut être potentiellement aux mails si le code est aussi envoyé par mail … (Moi je reçois par mail puis par SMS mais ils sont différents et je dois fournir les deux).

        Et +1 pour l'antispam russe comme candidat.

        • [^] # Re: Russie

          Posté par (page perso) . Évalué à 8 (+6/-0).

          Le keylogger est pour la récupération du n° de carte de crédit.

        • [^] # Re: Russie

          Posté par . Évalué à 7 (+5/-0).

          Désolé si ce n'était pas clair dans le journal, mais en gros je suis face à deux problèmes.

          1) comment l'attaquant a récupéré le numéro de la carte bancaire

          2) comment a-t-il fait pour valider les codes SMS reçu sur le téléphone

          Pour y parvenir il faut une synergie au niveau de l'attaque, un code de carte bancaire récupéré mais sans accès au téléphone ou bien un accès au téléphone mais sans la carte bancaire ne permettrait pas de réaliser ces achats frauduleux.

          L'app russe pourrait intercepter les SMS, mais sur Android elle n'aurait jamais pu avoir accès au numéro de carte bancaire qui a été saisi sur le téléphone.

          Reste la possibilité que la carte et le numéro de téléphone ait été saisie ailleurs et que l'app russe ne serve qu'à valider les codes 3dsecure lorsque les cartes volés sont associés à des numéro qu'elles gèrent. C'est aussi une possibilité.

          Voir que l'application récupère en effet les data des SMS reçu pour des raisons marketing ou d'espionnage et qu'un attaquant soit en mesure d'exploiter une faille de leur côté, c'est aussi une possibilité.

  • # recherche google : android malware pre installed

    Posté par . Évalué à 4 (+4/-1).

    Il y a eu plein de cas d'infection avant vente, directement à l'usine

    J'avais vu un article ou il y avait une double attaque, un PC sous Windows et le téléphone sous Android, spécialement fait pour coordonner les actions nécessitant des validations via sms.

    Apple a encore bien bossé pour protéger ses clients… (mais le jailbreak continue alors ce n'est pas fini)

    • [^] # Re: recherche google : android malware pre installed

      Posté par . Évalué à 4 (+2/-0).

      Cela semble concerner des téléphones bas de gammes de marques qu'on ne trouve pas par ici, alors à moins que Trump ai raison sur les motivations de huawei, il me semble que nous sommes face à un cas assez peu probable dans le cas présent.

  • # Volé numéro de téléphone

    Posté par (page perso) . Évalué à 10 (+9/-0).

    Il est possible aussi que l'arnaqueur est copié la carte sim.

    Il existe plusieurs techniques :

    Pour la carte bleu. Il est fort probable qu'elle soit dans une base de données volé associé au nom de la personne. Il suffit ensuite d'essayer d'appeler les opérateurs pour essayer d'avoir une nouvelle carte sim.

    Enfaite le numéro de téléphone comme second facteur d'authentification est obsolète et les banques doivent changer : https://www.bfmtv.com/economie/pourquoi-vous-ne-recevrez-bientot-plus-de-code-par-sms-pour-valider-vos-achats-en-ligne-1561032.html

    Rien n'empêche pour autant de vérifier que la fraude ne vient pas de l'intérieur (le téléphone) mais il ne faut pas pour autant écarter d'autres pistes

    • [^] # Re: Volé numéro de téléphone

      Posté par . Évalué à 2 (+0/-0).

      Je pense que c'est peu probable, il a changé d'opérateur pour un MVNO au moment où il a changé de téléphone. Toutes les opérations sur cet opérateur se font en ligne et une demande de nouvelle carte sim nous aurait été notifié.

      Et sauf erreur de ma part, une nouvelle sim pour ce numéro aurait invalidé la première, or la ligne fonctionne toujours correctement.

      • [^] # Quelqu’un qui a peut-être eu accès aux deux…

        Posté par . Évalué à 3 (+1/-0).

        Je pense que c'est peu probable, il a changé d'opérateur pour un MVNO au moment où il a changé de téléphone. Toutes les opérations sur cet opérateur se font en ligne et une demande de nouvelle carte sim nous aurait été notifié.

        L’abonnement au nouvel opérateur a-t-il été fait aussi en ligne ?
        Le paiement a-t-il été fait avec la carte bancaire en question (ne serait-ce que pour la carte SIM) ?

        Un personne malhonnête chez l’opérateur aurait pu récupérer le numéro de carte et pourrait aussi intercepter tes SMS.

        ¯ : macron (typographie), petit signe diacritique, qui prétend ne pencher ni à gauche ni à droite, mais se place nettement au dessus des vraies lettres, qu’il considère avec mépris.

      • [^] # Re: Volé numéro de téléphone

        Posté par (page perso) . Évalué à 6 (+4/-0).

        et une demande de nouvelle carte sim nous aurait été notifié.

        Juste au cas où : pour info, pas besoin de carte SIM de ton opérateur pour lire tes SMS pendant l'envoi, il suffit d'un accès au réseau de n'importe où.

        Et sauf erreur de ma part, une nouvelle sim pour ce numéro aurait invalidé la première, or la ligne fonctionne toujours correctement.

        Tu parles du cas idéal où tout le monde est gentil.
        Sans doute que "volé" n'est pas approprié, mais plutôt "contrefaçon de numéro de téléphone", bref une "copie virtuelle" de ton numéro ailleurs sur le réseau pour choper tes SMS, ton tel continue de fonctionner normalement.

    • [^] # Re: Volé numéro de téléphone

      Posté par . Évalué à 5 (+3/-0).

      Les sms c'est piratable oui, mais les solutions proposées par les banques sont de passer par leurs applis bancaires (qui nécessite donc un téléphone récent), qui sont des bloatwares pas-libres et qui-demandent-des-permissions-douteuses, et qui ne fonctionneront pas sur des téléphones rootés ou dont la ROM ne leur revient pas, ce qui n'est pas vraiment une grande avancée… Dommage, car il existe un certain nombre de standards, comme OATH ou encore FIDO (pourtant visa et mastercard en sont sponsors)

      • [^] # Re: Volé numéro de téléphone

        Posté par (page perso) . Évalué à 2 (+0/-0).

        Et si le téléphone est compromis, le fait de changer d'authentification sur celui-ci (biométrie vs code à valider) ne va pas changer grand chose.

        Sans parler des problèmes liés à l'application bancaire elle-même (cf le journal sur celle de «la banque postale» ici même).

  • # Annule ta carte

    Posté par . Évalué à 2 (+2/-0).

    Si ta carte est compromise, annule la.
    Toutes transactions/débits passées ensuite devrai être refusée.

  • # Confirmation manuelle non systématique

    Posté par . Évalué à 2 (+2/-0). Dernière modification le 26/06/19 à 07:26.

    A ma connaissance les arcanes de 3D Secure ne sont pas complètement connues et l'usage du PIN/OTP etc n'est pas systématique.
    La banque fixe un algorithme qui en fonction du contexte peut ou non déclencher des opérations manuelles complémentaires pour vérifier que l'internaute à l'origine de la transaction est bien le propriétaire de la carte bancaire.
    Aussi, il se pourrait que le pirate soit passé à travers les filtres et qu'il n'ait jamais eu à confirmer un code que t'aurais reçu sur ton tél. Je le vois perso, de temps en temps je n'ai rien à faire, les pages 3D Secure moulinent et disent que c'est validé in fine sans que j'intervienne.
    La seule question après c'est sur la pertinence des filtres : filtres très restrictifs et sécuritaires VS filtres non intrusifs mais moins secure…

    • [^] # Re: Confirmation manuelle non systématique

      Posté par . Évalué à 1 (+1/-0).

      NB : mon comm n'est valable que pour l'achat de 303€ sur le site de mode vu que pour l'autre t'as bien reçu un SMS de demande de validation 3DS…

      • [^] # Re: Confirmation manuelle non systématique

        Posté par . Évalué à 3 (+1/-0).

        Un SMS a également été reçu pour le paiement de 303 euros.

        Pour info, un troisième est arrivé juste après que la carte ait été mise en opposition mais lui m'apparaît pas dans la liste des débit à venir sur le site internet de ma banque.

  • # copier-coller

    Posté par . Évalué à 3 (+2/-0).

    L'app russe pourrait intercepter les SMS, mais sur Android elle n'aurait jamais pu avoir accès au numéro de carte bancaire qui a été saisi sur le téléphone.

    Keepass2android fournit un clavier spécifique (optionnel) car, selon le développeur, le copier-coller sous Android n'est pas sûr : les autres applications peuvent accéder à la zone de stockage des copier. Si c'est exact, pas besoin d'autorisation pour accéder au numéro de carte bancaire si celui-ci a été copié-collé à un moment ou un autre.

    Ma banque me permet d'interdire l'usage sur internet de ma carte physique (sauf exceptions telles que SNCF et Booking). Dans ce cas, je dois passer par la création d'une carte virtuelle. Création qui, selon le montant demandée, passe par une vérification 3D Secure avant celle de l'achat lui-même lorsqu'on utilise cette carte virtuelle.

    • [^] # Re: copier-coller

      Posté par . Évalué à 2 (+0/-0).

      Ma banque me permet d'interdire l'usage sur internet de ma carte physique (sauf exceptions telles que SNCF et Booking). Dans ce cas, je dois passer par la création d'une carte virtuelle. Création qui, selon le montant demandée, passe par une vérification 3D Secure avant celle de l'achat lui-même lorsqu'on utilise cette carte virtuelle.

      J'utilise aussi une carte bancaire virtuelle et je croyais aussi que ça ne marchait pas pour la SNCF, mais en fait si, il suffit de ne pas prendre d'assurance car cela fait 2 achats en un seul paiement ce qui est impossible avec une carte virtuelle. Sur booking.com ça marche aussi mais je ne sais plus si c'est aussi une question d'assurance.

      • [^] # Re: copier-coller

        Posté par . Évalué à 2 (+2/-0). Dernière modification le 26/06/19 à 14:16.

        oui, mais c'est le bazar chez SNCF pour :
        - se faire rembourser, la carte n'étant plus valide ?
        - récupérer les billets à une borne SNCF, qui te demande la carte qui a servi à faire les achats …

        • [^] # Re: copier-coller

          Posté par . Évalué à 2 (+1/-0).

          C'est pourquoi, même en paramétrant la carte physique comme "interdite sur internet", ma banque laisse passer des exceptions (non paramétrables, comme quoi il y a toujours moyen de faire mieux) comme la sncf ou booking (certains hôtels demandent la carte physique qui a servi à faire la réservation).

          Certains magasins (la FNAC par exemple) demandent la carte qui a servi a acheter un produit si on choisit de faire le retrait en magasin mais dans ce cas-là je fais une copie d'écran de la carte virtuelle et ça passe sans problème (avec une pièce d'identité, de toutes façons obligatoire).

          Malgré ces exceptions je trouve ce système plutôt rassurant, notamment en cas de perte de la carte physique puisqu'on ne peut rien en faire (à part les exceptions mentionnées plus haut) contrairement au système avec code au dos de la carte qui change toutes les heures.

        • [^] # Re: copier-coller

          Posté par . Évalué à 3 (+0/-0).

          • se faire rembourser, la carte n'étant plus valide ?

          Parce qu’ils font le remboursement en utilisant le numéro de la carte ayant servi à payer ? C’est possible ça ? J’aurais pensé qu’il fallait leur fournir un RIB pour recevoir le remboursement via un virement (ou bien directement en liquide au guichet…).

  • # Même cas pour moi

    Posté par . Évalué à 8 (+8/-0). Dernière modification le 26/06/19 à 16:59.

    Bonjour @goldysama,

    Je suis exactement dans le même cas que vous et ça me rassure que je ne sois pas le seul à être victime.

    Hier, 06h30, je désactive le mode avion de mon Honor View 20 et reçoit 2 SMS alors envoyés à 02h40 : un code 3D Secure pour un paiement de 1389€ à sfrblo3 et, dans la même minute, un SMS de ma banque qui indique que la paiement a été autorisé et que si je n'y suis pas à l'origine, il faut faire opposition de ma CB.
    Chose que je fais immédiatement.

    S'en suit :
    - un appel à la banque : ils voudront pas remboursé car le code 3D Secure a été envoyé ;
    - un appel à mon opérateur téléphonique : ils ne voient aucun des 2 SMS sur leur plateforme SMS alors qu'ils voient ceux de ma banque des jours suivants (donc aujourd'hui) ;
    - un appel à SFR : sans numéro de commande, ils veulent rien entendre.

    J'attends d'être débité pour porter plainte car c'est ce que demande la plateforme Perceval.

    En plus de la somme exacte du paiement au même destinataire, ce qu'on retrouve de commun dans notre cas, c'est que c'est un smartphone de la même maison : Huawei/Honor.

    Qui plus est, ma carte bancaire est nouvelle d'il y a 1 semaine donc je sais exactement sur quels sites ai-je entré mes numéros de carte depuis mon téléphone.

    Je t'ai envoyé un mail à ton adresse XMPP (je ne sais pas si c'est possible) afin qu'on échange + à ce sujet en privé si tu le souhaites.

    J'espère obtenir gain de cause !

    Merci d'avoir partager ton aventure !

    • [^] # Re: Même cas pour moi

      Posté par . Évalué à 2 (+0/-0).

      Merci pour ces infos, j'ai bien reçu ton mail. On va en discuter ensemble.

      • [^] # Re: Même cas pour moi

        Posté par . Évalué à 9 (+8/-0). Dernière modification le 26/06/19 à 20:08.

        Méfiance…
        C'est peut-être l'attaquant qui vient faire du service après-vente

    • [^] # Re: Même cas pour moi

      Posté par (page perso) . Évalué à 5 (+3/-0).

      • un appel à la banque : ils voudront pas remboursé car le code 3D Secure a été envoyé ;

      Ca me rappelle il y a quelques années où les banques disaient la même chose sans 3D Secure ("et vous n'avez pas pris l'assurance"), l'histoire se répète et toujours aussi chiant qu'ils refusent la loi sans qu'on les menace de la faire appliquer (perte de temps et argent pour tout le monde, mais pour eux ça va, sur le lot c'est rentable vu que pas mal de monde abandonne en cours de route)…

    • [^] # Re: Même cas pour moi

      Posté par . Évalué à 3 (+2/-0).

      J'ai prévenu le journaliste Damien Bancal, un de ses sites web https://www.zataz.com/ https://twitter.com/Damien_Bancal
      Il est très bien informé des problèmes de sécurité informatique…

  • # tenez-nous informés

    Posté par . Évalué à 4 (+3/-0).

    Je vous souhaite bon courage pour la prise de tête qui s'ensuit généralement à vouloir dialoguer avec des entités qui ne veulent rien savoir en espérant échapper à leurs obligations (la jurisprudence est assez favorable aux victimes sauf si elles ont fait preuve d'une négligence manifeste genre "je consulte mon compte une fois tous les six mois" ou bien "j'avais mon numéro de carte sur un papier dans le portefeuille qu'on m'a volé").

    Ce serait bien que vous nous teniez au courant, notamment si vous apprenez des choses sur le mode opératoire. Merci d'avance.

    • [^] # Re: tenez-nous informés

      Posté par . Évalué à 3 (+3/-0).

      Je ne manquerais pas de vous tenir au courant.
      Je ne comprends vraiment pas comment mes numéros de CB ont été volés et le système 3D Secure bypassé.

      • [^] # Re: tenez-nous informés

        Posté par . Évalué à 2 (+0/-0).

        une faille 3d secure ? je n'ai jamais essayé de rentrer un faux code pour voir ce que cela donne…

        • [^] # Re: tenez-nous informés

          Posté par (page perso) . Évalué à 2 (+0/-0).

          À une époque certains sites laissaient faire des tests de 000 à 999…

          Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

          • [^] # Re: tenez-nous informés

            Posté par . Évalué à 3 (+1/-0).

            du coup ca me parait plutot possible ce genre de truc. Suffit de trouver le site kivabien et avec un petit script tu trouve le 3d secure rapidement

            • [^] # Re: tenez-nous informés

              Posté par . Évalué à 2 (+2/-0).

              Pour le moment, le seul lien que nous avons trouvé entre nos deux histoires concernant la partie bypass 3D secure (pour le vol de carte bleu, on ne sait pas), c'est que nous sommes tous les 2 sur le réseau Orange : lui via un MNVO, moi via Sosh.

              • [^] # Re: tenez-nous informés

                Posté par . Évalué à 3 (+1/-0).

                Techniquement, même si sosh appartient à Orange, il s'agit à priori bien également d'un NMVO qui est connecté sur le réseau d'orange de la même façon que l'est prixtel (qui est mon opérateur).

                Par rapport à l'article de nextinpact sur le vol de SMS qui a été posté plus haut, il est possible que cela soit une faille qui touche en particulier les NVMO, mais cela risque d'être compliqué à confirmer, mon opérateur ne semble pas très coopératif pour l'instant.

      • [^] # Re: tenez-nous informés

        Posté par . Évalué à 0 (+0/-0).

        Bonjour
        Pourrait on parler en MP?
        J’ai eu la même fraude le 27/06/19 et j’ai changé d’opérateur le 20/06. Je suis chez sosh…

    • [^] # Re: tenez-nous informés

      Posté par (page perso) . Évalué à -1 (+0/-3).

      la jurisprudence est assez favorable aux victimes

      Perso je trouve que la jurisprudence n'est pas du tout en faveur des victimes : les banques font vraiment n'importe quoi depuis… ben depuis toujours. Et pour les obliger à respecter ne serait-ce que les bases il faut y aller à coups de milliers d'euros en avocats.

      Donc que sur certains rares points ça se passe relativement bien, on est encore très en dessous du minimum de ce qu'on peut attendre de la justice.

      • [^] # Re: tenez-nous informés

        Posté par . Évalué à 2 (+2/-1). Dernière modification le 27/06/19 à 18:22.

        Le fait qu'il faille, malheureusement, en passer parfois par un procès est justement ce qui produit une jurisprudence. Or, dans tous les cas dont j'ai pu avoir connaissance, la justice donnait raison au client (sauf dans les cas de négligence caractérisée et indéniable, du moins au vu de ce qui était rapporté dans l'article de presse).

        Ce qu'on pourrait attendre de plus de la justice (mais encore faudrait-il que la loi le prévoit), c'est une amende qui grimpe en flèche en cas de récidive (avec une loi exponentielle, pour être bien dissuasif).

        Ça me fait penser à la vente liée PC-Windows où certains constructeurs vont (allaient ?) jusqu'au procès même en sachant qu'ils allaient le perdre juste pour décourager ceux qui oseraient tenter l'aventure des mois de prise de tête pour gagner une centaine d'euros.

        • [^] # Re: tenez-nous informés

          Posté par (page perso) . Évalué à 0 (+0/-2).

          dans tous les cas dont j'ai pu avoir connaissance, la justice donnait raison au client

          http://sosconso.blog.lemonde.fr/2018/04/10/attaquer-la-banque-qui-a-vous-a-consenti-un-pret-immobilier-oui-mais-1-2/
          Il s'agit de banques qui ne respectent pas les procédures et qui mentent (traduction = arnaquent), mais qui se retrouvent non sanctionnées, et le contrat est toujours valide.
          Alors que si c'est le client qui merde, la banque n'est pas sanctionnée (logique) et le contrat est également toujours valide. Tient c'est étrange, quel que soit la source de l'erreur c'est toujours le même résultat.

          Autre exemple toujours sur la première page de résultat : https://www.alexia.fr/questions/167837/peut-on-intenter-une-action-en-justice-contre-une-banque-qui-a-commis-une-erreur.htm
          Je cite « J'ai été débouté et condamné à verser, au titre de l'art. 700, une somme de 1000 euros au LCL. Il y a toujours des aléa en justice. A dossier égal, la même juge à accéder à la requête d'autres plaignants en octobre 2017 !! ».

          Clairement tu devrais apprendre à utiliser un moteur de recherche, car les deux exemples que j'ai donnés proviennent de la première page de la première recherche Google que j'ai fait pour te copier-coller un lien.

          • [^] # Re: tenez-nous informés

            Posté par . Évalué à 1 (+1/-1).

            Ta conclusion est inutilement agressive, d'autant que le résultat de tes recherches ne me paraît pas pertinent. En effet, je ne parlais que du cas d'utilisation frauduleuse d'une carte de crédit (i.e. le sujet de ce fil) alors que les liens que tu cites n'ont rien à voir avec ça.

            Par ailleurs, quelqu'un cite plus haut dans ce fil un arrêt récent (que je n'ai pas été vérifier) de la Cour de Cassation allant plutôt dans le sens de mes dires.

            • [^] # Re: tenez-nous informés

              Posté par . Évalué à 2 (+1/-0).

              Malgré mes faibles connaissances en recherche internet, j'ai réussi à trouver ce lien (en première page) où il apparaît que la banque est exemptée de ses obligations légales seulement en cas de faute lourde du client et que la démonstration de cette faute lourde est à la charge de la banque.

              On y trouve même cet arrêt étonnant :
              Cass com, 2 octobre 2007, pourvoi N° 05-19.899 :
              La circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible (sic) de constituer la preuve d'une telle faute.

            • [^] # Re: tenez-nous informés

              Posté par (page perso) . Évalué à -2 (+0/-4).

              je ne parlais que du cas d'utilisation frauduleuse d'une carte de crédit

              Ton commentaire n'indique nulle part que tu limitais à un truc bien spécifique.
              Alors que le commentaire auquel tu réponds parle à peu près clairement de tous les problèmes avec les banques.

              • [^] # Re: tenez-nous informés

                Posté par . Évalué à 2 (+2/-1).

                Alors que le commentaire auquel tu réponds parle à peu près clairement de tous les problèmes avec les banques.

                Sauf que c'était censé répondre (puisque tu l'as cité) à un commentaire antérieur où il est évident qu'on parle de la jurisprudence dans le seul cas d'une utilisation frauduleuse de carte de crédit.

                Tu sais, je viens sur linuxfr parce qu'au delà des divergences d'opinion, la majorité des interlocuteurs me paraissent de bonne foi et courtois. Ce n'est pas l'impression que tu me donnes (notamment en me traitant de neuneu qui devrait apprendre à faire une recherche internet).

                Mais au final, au delà d'un possible malentendu sur qui répond à quoi, contestes-tu le fait que la jurisprudence est favorable aux usagers dans le cas qui nous occupe ici ?

                (Ce qui n'empêche malheureusement pas certaines banques d'en passer par un procès quitte à le perdre afin de décourager de futures tentatives. On est bien d'accord, c'est pas des gentils et c'est pourquoi je préconisais plus haut une amende qui croit exponentiellement en cas de récidives)

                • [^] # Re: tenez-nous informés

                  Posté par (page perso) . Évalué à -2 (+0/-4).

                  c'était censé répondre à un commentaire antérieur

                  Tu répondais clairement à mon commentaire. Donc tu travesti la réalité (aka tu mens).

                   

                  où il est évident qu'on parle de la jurisprudence dans le seul cas d'une utilisation frauduleuse de carte de crédit.

                  Le commentaire d'origine parle effectivement du seul cas des CB en indiquant je pense à juste titre que la jusrisprudence est favorable aux clients.
                  Ce à quoi j'indique que la jurisprudence à propos des banques n'est pas du tout favorable en général. Pour UN aspect des CB ok, pour le reste c'est généralement niet.

                   

                  contestes-tu le fait que la jurisprudence est favorable aux usagers dans le cas qui nous occupe ici ?

                  Non.

        • [^] # Re: tenez-nous informés

          Posté par (page perso) . Évalué à 4 (+2/-0). Dernière modification le 29/06/19 à 03:01.

          Ça me fait penser à la vente liée PC-Windows où certains constructeurs vont (allaient ?) jusqu'au procès même en sachant qu'ils allaient le perdre juste pour décourager ceux qui oseraient tenter l'aventure des mois de prise de tête pour gagner une centaine d'euros.

          Mauvais exemple : ça a pris des années avant qu'un constructeur perde. Au début c'était 100 % dans la gueule des clients.
          Maintenant c'est aussi 100 % dans la gueule des clients car l'état (ou l'Europe, je ne sais plus) a législativement validé la vente liée pour les systèmes d'exploitation.

          • [^] # Re: tenez-nous informés

            Posté par . Évalué à 2 (+2/-1).

            Ce n'est pas un mauvais exemple dans la mesure où je voulais simplement illustrer cette tactique qui consiste à aller au procès même si on pense qu'on va le perdre afin de dissuader les autres qui vont renoncer à se lancer dans un processus long et pénible pour un faible gain potentiel.

            Et il y a bien eu une période où on pouvait obtenir gain de cause sur le sujet de la vente liée, certains courageux s'y sont essayé et ont gagné (plus pour la "cause" que l'argent car ils se sont en général déclarés épuisés par le processus ; paradoxalement, leurs témoignages ont dû dissuader plus de gens encore).

            • [^] # Re: tenez-nous informés

              Posté par (page perso) . Évalué à -3 (+0/-5). Dernière modification le 29/06/19 à 17:24.

              1. tu indiques que les constructeurs vont au procès malgré le fait qu'ils savent qu'ils vont perdre
              2. je te « montre » qu'ils n'ont presque jamais perdu
              3. tu en rajoute une couche en disant que si si, il y a eu de très rares cas où les constructeurs ont perdu (donc la même chose qu'en 2) donc ça montre que ton argument est bon --> encore un argument en carton. Tu pourrais faire un petit effort parce que ta logique défectueuse n'apporte rien à la discussion
              • [^] # Re: tenez-nous informés

                Posté par . Évalué à -1 (+1/-3).

                J'ai cité un exemple de cette stratégie qui consiste à aller au procès même si on sait qu'on peut perdre pour montrer que malheureusement les banques n'ont pas l'apanage de ces méthodes. Ça a été le cas pendant une période pour la vente liée PC-Windows, peu importe le nombre de fois, faible bien sûr puisque peu ont eu le courage, et je les comprends, de se lancer la-dedans. Quel besoin avais-tu de me rentrer dedans alors qu'au final je ne faisait qu'apporter de l'eau à ton moulin ("tous pourris") et que le sujet du fil est ailleurs ?

                Maintenant ma logique défectueuse me préconise d'en rester là avec toi. Il fait trop chaud pour ça (n'oublie pas de moinser, ça te calmera peut-être).

                • [^] # Re: tenez-nous informés

                  Posté par (page perso) . Évalué à -1 (+0/-3).

                  même si on sait qu'on peut perdre

                  Ils ont perdu dans 5 % des cas (au pif). Ton exemple/argumentation ne peut pas tenir avec des prémices qui sont faux.

                   

                  ma logique défectueuse

                  cf la ligne précédente.

  • # Apple Pay Rulez ?

    Posté par . Évalué à 0 (+1/-2). Dernière modification le 26/06/19 à 22:08.

    Bon je ne cherche pas à troller, mais Apple Pay commence à arriver sur le web (pas encore fait d'achats avec sur le web) mais je l'utilise de plus en plus en boutique. Certaines joues le jeu et respecte le plafond de la carte rattachée, cela veut dire qu'en sans contact tu peux payer des gros trucs SANS COMPOSER ton code… Apple Pay c'est derrière un truc qui n'avait pas décollé avant qu'Apple s'en serve : Visa Token, un jeton utilisé pas payement. La carte Apple arrive pour les retardataires, mais elle n'a pas le sans contact top "insecure", il faut avoir un iPhone ou un Apple Watch pour le sans contact…
    Quand même, payer 300 boules au supermarché ou Décathlon en sans contact avec sa montre c'est la classe. Si on veut me voler ma montre, il faut la re-authentifier ou me couper le bras… ;)

    • [^] # Re: Apple Pay Rulez ?

      Posté par . Évalué à 6 (+5/-1).

      Les banques traditionnelles vont se faire griller vite fait à cause de leur inertie. D'un coté jeme dis que c'est bien fai pour elles, eles l'ont cherché mais d'un autre je ne vois pas d'un tres bon oeil le fait que des societes qui se font leur beurrz ave nos données personnelles viennent a connaitre les moindres détails sur tous nos paiements.

      • [^] # Re: Apple Pay Rulez ?

        Posté par (page perso) . Évalué à 3 (+1/-0).

        Si Google comme Facebook vivent de données personnelles, ce n’est pas le cas d'Apple qui vit du matériel vendu (un bras) et des services (qui n’ont pas d’intérêt sans le matériel).

        • [^] # Re: Apple Pay Rulez ?

          Posté par . Évalué à 2 (+1/-0).

          C'est pas Apple qui était en discussions "exploratoires" avec les fournisseurs de plan de santé aux États Unis ?

          Mais là ça devient hors sujet.

        • [^] # Re: Apple Pay Rulez ?

          Posté par . Évalué à 2 (+0/-0).

          Peut etre qu'Apple est un peu mieux que les autres sur ce point, mais si l'un s'y met, les autres le feront

          • [^] # Re: Apple Pay Rulez ?

            Posté par (page perso) . Évalué à 3 (+1/-0).

            À nouveau, Apple est vraiment un cas à part vu qu’ils ne vivent pas de ça. Ce qui ne veut pas dire qu’ils ne le feront jamais, bien sûr, mais a priori ils ont l’air de faire de cette particularité un argument de vente.

      • [^] # Re: Apple Pay Rulez ?

        Posté par (page perso) . Évalué à 4 (+2/-0).

        Les banques traditionnelles vont se faire griller vite fait à cause de leur inertie incompétence.

  • # Prélèvement effectué :(

    Posté par . Évalué à 4 (+4/-0).

    Même si je gardais un espoir infime, ce qui devait arriver arriva : le prélèvement de 1389€ vient d'être débité de mon compte :(

    Rien de particulier dans le libellé, juste "75 SFR".

    Je me triture l'esprit depuis 2 jours mais comment les numéros de ma carte bleue reçue il y a une semaine ont pu être volés, alors que je ne me souviens pas les avoir tapé une seule fois avec mon téléphone ?
    S'il y a eu piratage de ligne téléphonique, cela signifie qu'ils ont obtenu mon numéro de téléphone au même endroit que les codes de la carte !
    Techniquement, j'avoue que ça me dépasse, autre qu'un vol de base de données dont les données de carte bancaires seraient stockées en clair.

    • [^] # Re: Prélèvement effectué :(

      Posté par (page perso) . Évalué à 2 (+0/-0).

      Un achat sur un site tel qu'amazon, qui stocke télephone et cb ? Ou carrément un vol à la source, chez l'opérateur ?

    • [^] # Re: Prélèvement effectué :(

      Posté par . Évalué à 2 (+1/-0).

      Est ce que ça ne serait pas possible en "sans contact" d'obtenir les numéros des cartes à proximité du tel? Je vois dans le play store qu'il y a des app pour ça.

      • [^] # Re: Prélèvement effectué :(

        Posté par . Évalué à 2 (+2/-0).

        "Un achat sur un site tel qu'amazon, qui stocke télephone et cb ? Ou carrément un vol à la source, chez l'opérateur ?"

        Je n'ai pas acheté sur Amazon avec ma nouvelle carte et mon opérateur téléphonique ne connaît que mon RIB pour les prélèvements, pas les numéros de ma nouvelle carte bancaire.

        Est ce que ça ne serait pas possible en "sans contact" d'obtenir les numéros des cartes à proximité du tel? Je vois dans le play store qu'il y a des app pour ça.

        Je connaissais la possibilité, avec un TPE, de soustraire facilement de l'argent en "sans contact" tout en se limitant au plafond "sans contact" autorisé mais le fait de voler les codes de la carte, ce serait une première.
        Qui plus est, nous ne sommes pas situés dans la même région, donc ça limite un peu cette possibilité…

        • [^] # Re: Prélèvement effectué :(

          Posté par . Évalué à 3 (+2/-0).

          Je pensais à ce que ton propre téléphone si il a un malware installé/pré-installé soit capable de lire ta carte située à proximité.

          Il suffit qu'il soit équipé d'une puce NFC et ta carte être de type sans contact.
          Ici il n'est pas question de faire une transaction mais juste de lire les informations de la carte.

          Je viens de tester une des apps, ça ne demande a priori aucune autorisation et ça lit bien le num. de carte et date d'expiration avec un des apps gratuites.

          • [^] # Re: Prélèvement effectué :(

            Posté par . Évalué à 3 (+1/-0). Dernière modification le 28/06/19 à 11:22.

            Est-ce que le code situé à l'arrière de la carte est récupérable également via cette méthode ?

            • [^] # Re: Prélèvement effectué :(

              Posté par . Évalué à 4 (+2/-0).

              pour cela tu as des logiciel qui test les 999 solutions sur 999 site, un par un, en 2 minutes c'est une affaire qui roule

              • [^] # Re: Prélèvement effectué :(

                Posté par . Évalué à 1 (+0/-0). Dernière modification le 28/06/19 à 13:30.

                Ce qui voudrait dire que la solution proposée par certaines banques du code CVV qui change toutes les heures (grâce à un petit écran lcd intégré au dos de la carte) n'est pas une protection suffisante s'il faut juste quelques minutes pour trouver le code…

                • [^] # Re: Prélèvement effectué :(

                  Posté par (page perso) . Évalué à 4 (+2/-0).

                  Les banques (peut-être pas toutes) bloquent l'accès aux transactions en ligne lorsqu'il y a des tentatives infructueuses.

                  Donc tester 999 « codes cryptographiques » CVV ne fonctionne pas : le code est vérifiable uniquement par la banque, donc elle a tout loisir de constater l'attaque en cours et de verrouiller.
                  Je ne sais pas pendant combien de temps c'est verrouillé, mais quelque chose me dit que c'est définitif et qu'on est alors « invité » à changer de carte (l'attaquant connaissant la date de validité associée à la carte, ça sens mauvais).

                  Je suppose que c'est idem pour pour les CVV volatiles.

              • [^] # Re: Prélèvement effectué :(

                Posté par (page perso) . Évalué à 2 (+1/-1).

                les 999 solutions

                Les 1000 solutions.

            • [^] # Re: Prélèvement effectué :(

              Posté par . Évalué à 1 (+0/-0).

              Non, il n'est pas stocké sur la carte, mais dans le S.I. de ta banque, soit directement (chiffré ou non) soit indirectement (via un algo). J'ai lu il y a quelques années que c'était un algo.

          • [^] # Re: Prélèvement effectué :(

            Posté par . Évalué à 0 (+0/-0).

            Ah d'accord.
            Il est en effet équipé d'une puce NFC mais la fonctionnalité est désactivée depuis tout le temps.
            Maintenant, il est également probable que l'app l'active/désactive à la demande.

    • [^] # Re: Prélèvement effectué :(

      Posté par . Évalué à 1 (+0/-0).

      As-tu utilisé ta carte chez un commerçant ou un GAB?

    • [^] # Re: Prélèvement effectué :(

      Posté par . Évalué à 4 (+2/-0).

      Les deux prélèvements sont aussi passé sur mon compte bancaire.

      Nous avons effectuer les démarches d'opposition aux prélèvements et fait un signalement sur la plateforme Perceval (c'est pas faux).

      https://www.service-public.fr/particuliers/vosdroits/R46526

      La banque doit me notifier sous 10 jours le remboursement de ces prélèvements.

  • # Question sur le fonctionnement de 3D Secure

    Posté par (page perso) . Évalué à 1 (+1/-0).

    Bonjour,
    Je rebondis sur ce journal pour poser une question sur 3D Secure : Est-ce que tous les paiments sur Internet sont protégés par 3D Secure, à partir du moment où ma banque le met en place ? Ou faut-il aussi que le vendeur l'implémente ?
    Car j'ai bien l'impression que pour certains paiements (je pense à paypal et amazon en particulier) sautent l'étape 3D Secure, alors qu'avec d'autres sites je passe bien par l'étape de validation.
    Du coup, ça pourrait expliquer les paiements qui sont passés sans validation par SMS : peut-être que le vendeur n'implémente pas 3D Secure ?

  • # Préconisations ?

    Posté par . Évalué à 0 (+0/-1).

    Pour ma part mes préconisations dans l'ordre de préférence décroissante :
    - Apple Pay au max (Apple ne voit pas notre numéro de carte et générè un ID pour chaque payement)
    - Placer sa carte Chez PayPal, cela devrait aussi empêcher quelqu'un d'autre de le faire ;), utiliser alors PayPal un max
    - Amazon/Google/Microsoft, on peux faire confiance, car cela ferait énormément de mal à leur activité en cas de problème.
    - Pour les autres utiliser des numéros de carte jetable

    Bref je trouve dangereux de ne pas utiliser PayPal quand c'est disponible.

    Pour l’anecdote la carte Apple à venir d'aura pas de numéro présent ;) Seulement utilisable avec la puce donc plutôt chez les commerçants qui n'ont pas Apple Pay

    • [^] # Le virement bancaire

      Posté par . Évalué à 4 (+3/-1).

      Le virement résout tout :

      • C'est le vendeur qui nous file ses coordonnées, et pas l'inverse
      • C'est rapide (ça prend 10 secondes aujourd'hui)
      • C'est sans intermédiaire autre que la banque émettrice et réceptrice

      J'ai acheté un lave-vaisselle chez un site marchand qui accepte le virement, grâce à un virement instantané, et la commande a été traitée dans la journée. Comme avec une carte bancaire.

      • [^] # Re: Le virement bancaire

        Posté par . Évalué à 5 (+3/-0). Dernière modification le 29/06/19 à 01:34.

        Sauf que les paiement pas virement ne sont pas du tout protégé. Imaginez par exemple un IBAN frauduleux sur lequel vous feriez votre virement ou un vendeur malhonnête, vous n'aurez aucun recours pour récupérer le montant que vous avez viré.

      • [^] # Re: Le virement bancaire

        Posté par . Évalué à 1 (+0/-0). Dernière modification le 29/06/19 à 12:58.

        J'ai eu un jour un problème avec France Télécom (oui je suis vieux) et lors de la résiliation de ma ligne Numeris (https://www.orange-business.com/fr/produits/numeris). FT à continuer à prélever par RIB, j'ai été voir ma banque et demandé le retour de l'argent (et de l'être aimé, mais ils ne font pas ce service) plus blocage de TF. J'ai eu l'argent et des frais de blocage, j'ai gardé leur gros boitier en amont du modem pour les faire chier…
        Il y a quelque temps j'ai regardé les conditions d'utilisation du virement instantané, qui arrive déjà chez quelques banques, il est considéré comme irrévocable comme le virement normal. Alors je ne comprends pas pourquoi ma banque avait réussi à faire revenir l'argent…

        • [^] # Re: Le virement bancaire

          Posté par . Évalué à 2 (+0/-0).

          Peut-être que ta banque a juste convaincu FT de faire un virement dans l'autre sens ?

        • [^] # Re: Le virement bancaire

          Posté par . Évalué à 4 (+3/-0). Dernière modification le 29/06/19 à 14:36.

          Parce que le virement et le prélèvement sont deux choses différentes qui n'ont pas la même réglementation.
          Un prélèvement peut s'annuler, mais un virement non.

  • # Re: Le virement bancaire

    Posté par . Évalué à 4 (+5/-1). Dernière modification le 30/06/19 à 20:17.

    Bonjour,
    j’ai eu une fraude similaire à @Goldy , le 27 juin a 13:05 j’ai reçu un sms 3dsecure pour un achat de 1389 euros à authentifier. Cet achat a été fait sur le site sfrbol3.
    A 13h09 un second paiement sur le site place des tendances a été tenté mais la banque a alors bloqué la carte.
    J’utilise un iPhone X ainsi qu’un MacBook Pro 2018.
    Fait intéressant, le 20 juin j’ai effectué la portabilité vers Sosh et à la lecture du fil de discussion je m’aperçois que c’est quelque chose qui semble commun à la fraude de @Goldy ainsi qu’à celle de @yopi1

    • [^] # Re: Le virement bancaire

      Posté par . Évalué à 1 (+1/-0).

      Ah, intéressant de savoir que nous ne sommes pas seuls.
      Il y aurait-il un moyen d'échanger en privé avec toi et Goldy pour que l'on concentre nos efforts et trouvions plus rapidement une solution à notre problème, stp ? Le fait de faire pression ensemble sur notre opérateur ou notre banque pourrait être plus efficace.

      • [^] # Re: Le virement bancaire

        Posté par . Évalué à 1 (+1/-0).

        je pense en effet que nous pourrions en discuter tous les 3 et faire pression sur l'opérateur à la banque.
        Je suis dispo à cette adresse: 47e02zq21zl42uw @ jetable.org pour le moment (je vous communiquerai mon adresse en privé)

    • [^] # Re: Le virement bancaire

      Posté par . Évalué à 2 (+0/-0). Dernière modification le 01/07/19 à 09:45.

      À priori on a affaire au même schéma d'attaque, c'est exactement la même chose pour moi. Premier achat de 1389 euros sur le site de SFR suivit d'un autre de 303 euros sur place des tendances.

      On a eu un aussi un portage du numéro de téléphone mais depuis Free vers Prixtel sur le réseau Orange fin mai.

      Ce quatrième cas me fait véritablement penser que l'attaquant est en mesure de lire les SMS envoyé sur le réseau et que nos téléphones ne sont à priori pas en cause.

      Par contre, le mutisme de l'opérateur sur la question et l'impossibilité d'ouvrir un ticket de leur coté va probablement rendre le processus compliqué.

      Hésite pas à m'envoyer un mail sur mon adresse Jabber (je n'utilise plus jabber, mais le mail fonctionne), on pourra essayer de s'organiser.

      • [^] # Re: Le virement bancaire

        Posté par . Évalué à 0 (+0/-0). Dernière modification le 01/07/19 à 11:23.

        à noter que j'étais chez prixtel (en utilisant orange) juste avant de passer à Sosh.
        Voici mon mail 47e02zq21zl42uw @ jetable.org

      • [^] # Re: Le virement bancaire

        Posté par . Évalué à 2 (+0/-0).

        De tout évidence, il y a quelqu'un chez un des opérateurs qui s'amuse à abuser du système de portabilité.
        Les achats en France pointent clairement du doigt une fraude locale.

        Je pense que c'est pas à vous de rapporter ces faits à votre opérateur
        et que c'est probablement contre productif pour trouver l'auteur.
        Soit ça enquête, soit ça laisse tomber en supposant que c'est vous le problème(99%), et jamais si ça venait à trouver l'origine ça pourrait passer le problème sous silence afin de préserver leur image.

        Je vous suggère de prendre contact communément avec l'OCLCTIC ou la BEFTI
        https://www.ssi.gouv.fr/en-cas-dincident/
        en expliquant que vous avez un schéma commun.

        • [^] # Re: Le virement bancaire

          Posté par . Évalué à 3 (+1/-0).

          Pour être précis, on ne cherche pas a identifier l'auteur, je pense que c'est hors de notre porté, mais simplement essayer de comprendre comment il a pu faire pour valider les codes sans avoir accès à nos téléphones.

          J'ai eu un retour d'un utilisateur sur twitter qui avait subit une opération frauduleuse sur le site de SFR et en ce qui le concerne, sa banque lui avait indiqué que le paiement a été validé sans que le code n'ait été saisi. Peut-être que c'est le cas pour nous aussi et que nos banques ne sont juste pas en mesure de savoir si un code a été ou non saisi pour valider un 3D Secure, et cela pourrait tout aussi laisser penser que le 3D Secure n'est juste en réalité pas du tout secure…

          • [^] # Re: Le virement bancaire

            Posté par . Évalué à 1 (+1/-0).

            Bonjour à tous,
            Je viens de tomber sur vos messages. J ai été victime du même type de fraude avec deux transactions frauduleuses : 1609€ chez SFR et 282€ chez Place des tendances.
            La deuxième transaction a été refusée (sms 3D secure reçu) mais celle chez SFR a bien été débitée. La banque m indique que la transaction a été validée via 3D secure (je n ai pourtant reçu aucun sms pour cette transaction) et refuse donc de me rembourser…
            A la lumière de vos échanges un dysfonctionnement du système sur le site de SFR me semble le plus probable mais comment le prouver ?

            • [^] # Re: Le virement bancaire

              Posté par . Évalué à 2 (+0/-0).

              Donc on a ici 4 personnes (TTM29 , Goldy, Djeck, yopi1.) qui
              - Sont chez Sosh (et Prixtel juste avant ?)
              - ont des paiements passés chez SFR
              - avec réception de SMS 3DSecure

              Après une recherche rapide, je ne trouve pas d'autres cas ailleurs que sur LinuxFR. 3 des 4 comptes (pas Goldy) ont été créés après publication de ce journal. C'est super bizarre (et inquiétant) votre affaire. J'aimerais bien connaître le fin mot de l'histoire, si vous arrivez à obtenir des réponses de l'opérateur et/ou de la banque.

              • [^] # Re: Le virement bancaire

                Posté par . Évalué à 1 (+1/-0).

                De mon côté, je suis chez Free.
                La discussion étant assez fermée avec ma banque (bientôt ex-banque), j’ai saisi le médiateur bancaire pour essayer de débloquer la situation…

                • [^] # Re: Le virement bancaire

                  Posté par . Évalué à 2 (+0/-0).

                  Est-ce que tu pourrais nous dire de quelle banque il s'agit ? (hésite pas à m'envoyer un mail si tu ne souhaites pas le communiquer publiquement).

                  Un des points communs que nous avons également est que nous sommes tous sur des banques en ligne, ça serait intéressant si cela était ton cas également.

              • [^] # Re: Le virement bancaire

                Posté par . Évalué à 2 (+0/-0).

                Nous avions trouvé un témoignage sur Twitter également concernant le site de sfr.

                Une chose intéressante, avant que je poste mon journal, un recherche Google que sfrbol3 renvoyait systématiquement des résultats sur des fraudes à la carte bancaire, sans pour autant qu'on ne trouve d'occurrences du terme dans les résultats, cela doit concerner encore plus de monde probablement, mais peu de gens ne semblent en parler publiquement.

                • [^] # Re: Le virement bancaire

                  Posté par . Évalué à 0 (+0/-0).

                  @TTM29 : Tu es chez Free mais il reste encore des antennes Orange dans leur contrat, non ? Il suffit que tu aies été, comme par hasard je le concède, sur une antenne Orange au moment de l'envoi/piratage des SMS 3D Secure pour qu'on retrouve un vecteur commun qui est la plateforme SMS de Orange.
                  Si tu pouvais joindre Goldy pour qu'on puisse t'ajouter à notre échange de groupe pour nous tenir au courant de l'avancée de nos dossiers persos…

            • [^] # Re: Le virement bancaire

              Posté par (page perso) . Évalué à 2 (+0/-0).

              La banque m indique que la transaction a été validée via 3D secure et refuse donc de me rembourser

              La seule et unique situation où une banque peu refuser, c'est lorsque tu as saisi le code confidentiel à 4 chiffres de ta carte sur un terminal de paiement.
              Toute autre situation implique remboursement. Éventuellement avec dépôt de plainte préalable, mais je crois que ce n'est même pas obligatoire ; il y a peut-être une histoire de papier à remplir au commissariat en 10 minutes.

              • [^] # Re: Le virement bancaire

                Posté par . Évalué à 4 (+2/-0).

                En effet, lorsque nous sommes allé au commissariat, ils nous ont fait remplir un papier avec nom prénom etc, et dessus est imprimé un message qui indique que la banque doit dans tout les cas rembourser le client sans qu'une plainte ne soit nécessairement déposée. Le papier est ensuite daté et tamponné pour l'envoyer à la banque, ça prends 5 min à faire.

  • # Vulnérabilités SS7

    Posté par . Évalué à 3 (+2/-0).

    Je l'ai pas vu dans les discussions donc je le met là, au cas où.
    Je me suis renseigné auprès d'expert il semblerait que le protocole SS7 utilisé pour les SMS soit complètement troué. En attendant son remplacement dans 10 ans par un protocole sécurisé

    See
    - https://sensorstechforum.com/fr/metro-bank-2fa-ss7-attack/
    - https://lehack.org/en/planning/en-mature-secure-and-vulnerable-hackers-still-hold-your-privacy-in-their-hands

    En gros le hacker intercepte ton sms mais il lui faut je crois ton numero de téléphone, ou autre chose, donc besoin d'ingénierie sociale. Dans un rayon de 500 m il peut écouter ce qui se passe par SMS. Les victimes peut être est il interessant de savoir entre vous si vous habitez pas trop loin les uns des autres (ou pas)

    my 2 small cents …

    • [^] # Re: Vulnérabilités SS7

      Posté par . Évalué à 3 (+1/-0).

      Je n'ai trouvé qu'une autre personne (qui n'est pas intervenu ici) qui habite dans la même ville que moi, sinon nous habitons tous dans une région différente.

      Mais oui j'y ai pensé également, j'attends un retour de l'opérateur mobile sur cette question.

  • # Site web SFR piraté comme OnePlus ?

    Posté par . Évalué à 0 (+0/-0). Dernière modification le 11/07/19 à 10:00.

    Peut-être que le n° de CB a été récupéré comme ça a été le cas pour le site web de OnePlus ?

    Étant donné que vous avez tous effectué des achats sur SFR…

    Pour 3D Secure, des hypothèses ont déjà été évoquées précédemment.

    • [^] # Re: Site web SFR piraté comme OnePlus ?

      Posté par . Évalué à 1 (+0/-0). Dernière modification le 11/07/19 à 10:51.

      Étant donné que vous avez tous effectué des achats sur SFR…

      SFR gère t-il lui même la transaction bancaire (comme Amazon par exemple) ou bien passe t-il par une plateforme de paiement tierce (comme la majorité des sites de e-commerce) ?

      Dans ce dernier cas, il n'a pas connaissance du numéro de carte.

      De toutes façons, si j'ai bien compris, c'est le pirate qui a effectué les achats sur SFR, pas les victimes qui a priori n'ont sans doute jamais donné leur numéro de carte à SFR.

      • [^] # Re: Site web SFR piraté comme OnePlus ?

        Posté par . Évalué à 0 (+0/-0). Dernière modification le 11/07/19 à 13:47.

        Je confirme : je n'ai jamais effectué d'achat sur le site de SFR.
        Qui plus est, ma carte bancaire était neuve d'une semaine et je sais très exactement les 5 à 10 enseignes où j'ai utilisé ma carte.

  • # Suites...

    Posté par . Évalué à 4 (+2/-0).

    Pour vous informer que finalement, la banque a accepté de me rembourser les transactions frauduleuses. Mais visiblement, ce n'est pas le cas pour tout le monde.

    C'est vraiment regrettable que les procédures d'alertes pour les utilisations frauduleuses de ses moyens de paiement soit aussi foireuses. Il est impossible de prendre les devants, les vendeurs sont sourds aux alertes qu'on peut leur faire, ni SFR ni Place des tendance n'ont voulu traiter les demandes qui ont été faite d'annuler les commandes car elles étaient frauduleuses. Et devoir attendre que les débits soient effectifs sur le compte interdit toute enquête de flagrance, les marchandises ayant largement le temps d'être livré et récupéré voir peut-être revenu avant même qu'il ait été possible de faire une déclaration, aussi bien à la banques qu'aux autorités.

    Au final, je me suis retrouvé avec un trou de près de 1700 euros pendant deux semaines. J'ai la chance que cela n'ai pas eu de conséquence autre que du stress pour moi, mais j'ose pas imaginer si cela m'était arrivé à l'époque où j'étais smicard la galère que cela aurait pu être.

    Au final, je trouve que ma banque en ligne a vraiment mal géré le problème et je me rends compte que 3D secure n'étant probablement pas du tout secure, il est au final plus dangereux pour les utilisateurs que protecteur, car la banque va sans trop de problème se baser là dessus pour considérer que vous êtes de mauvaise fois (voir le témoignage de TTM29 plus haut).

    • [^] # Re: Suites...

      Posté par . Évalué à 1 (+0/-0).

      les vendeurs sont sourds aux alertes qu'on peut leur faire, ni SFR ni Place des tendance n'ont voulu traiter les demandes qui ont été faite d'annuler les commandes […].

      Tu m'étonnes. Tant qu'il n'y aura pas d'amende en cas de refus d'annuler ou au moins de suspendre une commande dès lors qu'on peut justifier du dépôt d'une plainte, leur intérêt est de faire la sourde oreille.

    • [^] # Re: Suites...

      Posté par . Évalué à 2 (+1/-0).

      • [^] # Re: Suites...

        Posté par . Évalué à 2 (+0/-0).

        Il est très probable que cette décision de la cours de cassation rendu quelques semaines seulement avant ça ait joué en ma faveur dans la décision de la banque de me rembourser.

        Il faut louer ici l'abnégation dont a dû savoir faire preuve la personne à l'origine de cette décision car cela a sans doute dû durer des années avant que cette décision finale soit rendu.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.