Un phishing, un appel et vos euros s’envolent

Posted On 17 Juin 2014

Tag: 3d secure, banque, phishing, phoning, piratage, sms

Les escrocs ont trouvé une nouvelle parade aux sécurités mises en place par les banques. Dernière arnaque en date, faire changer votre numéro de téléphone. Le pirate peut ainsi recevoir le SMS qui validera la transaction financière qu’il fera à partir de votre compte en banque.

Tout débute par un hameçonnage. Le voleur, via un phishing, met la main sur vos identifiants de connexion (login et mot de passe). Avec ces précieux, l’escroc ne peut pas obligatoirement jouer avec vos économies. Les banques ont mis en place des doubles systèmes de sécurité qui utilisent le SMS.

Bilan, si le pirate souhaite vous voler votre argent, il a besoin de confirmer un code que la banque communique, par téléphone, au client. Le voyou a donc besoin de recevoir le précieux texto. La rédaction de zataz.com a appris que des phisheurs n’hésitaient pas à téléphoner à la banque, en se faisant passer pour le client piégé et inciter le « banquier » à changer le numéro de téléphone. Le plus inquiétant est que cela fonctionne encore ! « Ils téléphonent le samedi, souligne un conseiller financier contacté par la rédaction de zataz.com, ils sont insistants. Certains n’hésitent pas à utiliser la messagerie interne que, normalement, seul le client peut utiliser via son compte Internet« . Mais si le compte du dit client a été piraté, facile pour le voleur d’usurper la communication.

Cas dramatiques !

Les deux derniers cas en date de piratage sont dramatiques. Le premier, un homme de la Drome a découvert que ses 18.840 euros de son compte s’étaient envolés. Le filoutage a permis au pirate de taper dans le livret de sa victime et celui de sa famille ! Le SMS de la Caisse d’Epargne permettant le virement avait été envoyé sur le portable du voleur. Ce dernier avait réussi la modification.

Chez SFR, le ver était dans le fruit

Plus inquiétant encore, l’affaire que vient de résoudre, non sans mal, l’opérateur SFR. Début juin, SFR découvrait qu’un de ses employés avait piraté les cartes sim de deux retraités de Saint-Amans Soult (Tarn). Un des employés du groupe SFR avait piraté leurs téléphones, depuis le Maghreb. Bilan, plusieurs milliers d’euros envolés. D’abord sous forme d’appels téléphoniques qui auront coûtés aux aînés plus de 2.000 euros ; Ensuite, plus de … 28.000€. Le pirate a réussi, aussi, à intercepter les SMS envoyés par le groupe AXA banque. Des SMS qui validaient les virements des pensions des deux victimes du Tarn. Les cyber gendarmes sont sur l’affaire. Un autre cas aurait été détecté en France.

Que faire ?

Les banques et les opérateurs téléphoniques vont se réunir la semaine prochaine, à Paris, pour tenter de contrer le phénomène. Une communication interne aux employés des banques, un demande écrite et un appel téléphonique au client devrait déjà être un rempart efficace ! Du côté des clients, votre banque, FAI… ne vous réclameront JAMAIS vos identifiants de connexion, alors arrêtez de les donner !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

5 Comments

TheCyberSeb 17/06/2014 at 09:19 Reply

Une petite coquille : « taper dans le livret de sa victime et celui de sa faille ».
- Damien Bancal 18/06/2014 at 23:43 Reply
  
  Oups, merci 🙂
darthbob 17/06/2014 at 13:45 Reply

Sait-on si la Banque de cet homme de la Drôme va le rembourser pour avoir failli au niveau du contrôle d’identité lors de la modification du numéro de téléphone ?

Je trouverai anormal que cet homme porte le chapeau… Certes il y a eu fishing mais ce n’est qu’un élement du vol.
- Damien Bancal 18/06/2014 at 23:42 Reply
  
  La banque rembourse, une fois la plainte déposée et les constatations effectuées. Cependant, certaines banques commencent à montrer les dents en mettant en avant que leurs clients n’ont pas suffisamment fait attention.
Pingback: ZATAZ Magazine » Boutiques en ligne : meilleures amies des pirates ?