Des arnaqueurs ont réussi à détourner le procédé SécuriPass à leur profit : avec l’arrivée sur nos smartphones des applications bancaires et surtout de la validation des achats en ligne directement depuis le téléphone, un niveau supérieur dans la sécurité a été franchi par rapport à la simple validation des achats par SMS ou 3D Secure. Dans l’esprit de chacun, désormais, la validation d’un achat en ligne directement dans l’application bancaire est un gage de sécurité renforcée. C’était sans compter sur l’ingéniosité des arnaqueurs…
Le scénario
Voici rapportée l’histoire de Mme DUPONT, recevant sur son smartphone un appel qui affiche « Banque » à l’écran, car elle a elle-même entré le numéro de sa banque dans son carnet d’adresse :
– allo, bonjour
– allo, Mme DUPONT, bonjour, ici la banque en ligne du Crédit Agricole, je vous appelle parce que notre cellule de surveillance vient de détecter un achat suspect apparaissant sur votre compte bancaire…
– ah bon ?
– êtes-vous à l’origine d’un achat sur le site Cdiscount pour un montant de 700€, effectué ce matin depuis la région parisienne ?
– mais non, pas du tout… je n’ai rien acheté sur le site Cdiscount et je n’habite même pas la région parisienne…
– d’accord, dans ce cas ne quittez pas je vous prie, je procède juste à quelques vérifications, mais ne vous inquiétez pas, je ne vous demanderai aucune information personnelle ou bancaire…
A ce stade de la conversation, Mme DUPONT ne comprend pas vraiment ce qui se passe :
– allo, ici la banque en ligne du Crédit Agricole, j’ai terminé les vérifications Mme DUPONT. Quelqu’un a bien effectué un achat d’un montant de 700€ qui sera débité sur votre compte bancaire
– mais comment cela est-il possible ?
– ne vous inquiétez pas Mme DUPONT, je fais le nécessaire pour que cet achat frauduleux vous soit recrédité très rapidement… Ne quittez pas je vous prie…
Mme DUPONT ne comprend toujours pas ce qui se passe, mais le ton calme et posé de la personne au bout du fil, ainsi que la possibilité d’être remboursée rapidement de ce faux achat ont plutôt tendance à la rassurer. Après quelques secondes, la personne reprend la conversation :
– voilà Mme DUPONT, le remboursement sur votre compte bancaire est initialisé. Je vous transmets une demande de validation de remboursement directement via l’application Crédit Agricole sur votre smartphone. Vous n’avez qu’à valider simplement le SécuriPass dès que vous le recevrez
Dans les secondes qui suivent, Mme DUPONT reçoit effectivement un avis SécuriPass sur son téléphone lui demandant de valider un achat d’un montant de 700€ effectué sur le site Cdiscount. Elle tique tout de même à la vue du message :
– mais ce n’est pas marqué « Remboursement », c’est inscrit « Achat », comment cela se fait-il ?
– ne vous inquiétez pas Mme DUPONT, c’est parce que le logiciel n’est pas encore tout à fait au point, mais c’est bien une demande de remboursement que je viens de vous envoyer directement depuis la banque en ligne du Crédit Agricole. Ne tenez pas compte du mot « Achat » et validez. Ne perdez pas de temps car je n’ai que quelques secondes pour autoriser ce remboursement avant que l’opération ne soit définitivement débitée sur votre compte
– bon, d’accord, je valide, merci…
Mme DUPONT valide le SécuriPass sur son smartphone, puis, après quelques politesses, la personne à l’autre bout du fil raccroche.
– ouf, se dit Mme DUPONT, je crois que je ne suis pas passée loin de la catastrophe !!
Le lendemain, Mme DUPONT consulte son compte et, surprise, voit s’afficher un achat de 700€ sur le site de Cdiscount dont elle n’est pas à l’origine. Incrédule, elle appelle son conseiller et lui raconte sa conversation téléphonique de la veille avec la banque en ligne. Le conseiller lui explique alors qu’elle vient d’être victime d’une arnaque au SécuriPass et que, malheureusement, il n’y a aucune possibilité de remboursement puisque l’achat a été validé justement par SécuriPass
Alors qu’est-il arrivé à Mme DUPONT ?
Suite à une fuite de données depuis un site de e-commerce (cela arrive tous les jours sur internet), les données personnelles et bancaires de Mme DUPONT se sont retrouvées en vente pour presque rien sur le Black Market (marché noir illégal sur internet, accessible uniquement par les pirates et les arnaqueurs).
En possession du nom, prénom, adresse, numéro téléphone, de carte bancaire avec date de validité + CCV de Mme DUPONT, un arnaqueur souhaite faire un achat illégal sur un site de e-commerce, mais il sait qu’il sera bloqué par le Sécuripass ou tout autre moyen de validation d’un achat utilisé par les banques pour déterminer si c’est bien la bonne personne qui fait cet achat.
Le stratagème est le suivant : à partir du numéro de carte bancaire en sa possession, l’arnaqueur arrive à déterminer la banque de Mme DUPONT puis, grâce à son adresse, il trouve également le numéro de téléphone de son agence bancaire locale et usurpe l’identité téléphonique de cette banque grâce à un logiciel spécialisé (spoofing). Il prépare alors pour lui-même un achat en ligne sur le site de Cdiscount, saisit les informations bancaires en sa possession et marque une pause à cette étape.
Utilisant le numéro de téléphone de son agence bancaire pour encore mieux tromper sa confiance, il appelle Mme DUPONT en se faisant passer pour la banque en ligne du Crédit Agricole, et tout en la noyant d’informations pour qu’elle ne puisse pas prendre le temps de réfléchir, il lui fait croire qu’il est son banquier et qu’il initie une prétendue demande de remboursement qu’elle doit valider par SécuriPass. Il valide de son côté son achat frauduleux sur le site Cdiscount, ce qui déclenche l’envoi d’un SécuriPass à Mme DUPONT qui, désemparée et stressée mais mise en confiance par le faux banquier, valide en croyant qu’il s’agit d’un remboursement.
Pour résumer, Mme DUPONT, manipulée par un faux banquier, a elle-même validé l’achat frauduleux d’un arnaqueur en croyant qu’il s’agissait d’un remboursement.
Et que faire si cela m’arrive ?
- Avant d’obéir à votre interlocuteur, vérifiez l’information par vous-même : raccrochez immédiatement (même s’il vous menace de graves conséquences financières), puis appelez votre conseiller bancaire afin qu’il confirme l’information. Sachez de plus que ce dernier ne vous demandera pas vos numéros ou codes de carte bancaire par téléphone
- Lorsque vous vous rendez compte que vous avez été escroqué, faites opposition sur votre carte bancaire et contactez immédiatement votre banquier. Même s’il refuse de vous rembourser, il pourra surveiller votre compte
- Signalez l’escroquerie dont vous avez été victime sur la plateforme gouvernementale Cybermalveillance ainsi que sur le portail Pharos qui permet un traitement judiciaire de l’affaire
Plus d’informations :