Eric12, Posté le: Ven 24 Fév 2023, 12:48 Sujet du message:
2746624083
msg a écrit:
Le plus douteux, c'est que la banque appelle pour signaler une fraude sur votre compte, juste quelques instants avant ou après avoir reçu le fameux code par SMS. A part sur un mouvement d'une très grosse somme, les banques ne peuvent pas vérifier toutes les transactions autrement que par un code secret reçu par SMS / le code secret de la carte tapé sur un clavier.
Ça n'existe quasiment plus les codes secret a usage unique reçu par SMS, c'est de la validation par 3D-secure maintenant:
Et ce n'est pas avant ou après l'appel, mais pendant. Ils t’appelle, te dise que tu t'es fait pirater, que ce n'est pas grave, qu'il vont rembourser, mais qu'il faut le faire tout de suite maintenant sinon il sera trop tard, que tu va recevoir une demande d’opération a valider pour confirmer le remboursement, et la ils lancent l’opération, et voila, l'arnaqué croit valider un remboursement, alors qu'il vient de valider un paiement.
msg, Posté le: Ven 24 Fév 2023, 13:02 Sujet du message:
8864382515
Le principe du payement sécurisé par Internet :
1°) tu communiques les données de ta carte au commerçant
2°) le commerçant appelle ta banque et présente la somme qu'il veut encaisser
3°) la banque t'envoie un code par SMS sur ton mobile pour vérifier que c'est bien toi qui fait l'achat, puis attend la confirmation.
4°) tu donnes le code SMS reçu par ta banque au commerçant
5°) le commerçant donne la confirmation (code qui correspond à la somme demandée) et la transaction est validée
Le code transite : banque => client => commerçant => banque.
La boucle est bouclée.
Dans l'escroquerie:
1°) l'escroc fait des achats avec des infos ou cartes volées
2°) le commerçant appelle la banque et présente la somme qu'il veut encaisser
3°) la banque t'envoie un code par SMS sur ton mobile pour vérifier que c'est bien toi qui fait l'achat, puis attend la confirmation
4°) l'escroc t'appelle pour te soutirer le code SMS
5°) tu le lui remet pensant que c'est ton banquier
6°) l'escroc le transmet au commerçant qui peut valider l'achat auprès de ta banque
7°) Ils se font livrer à une fausse adresse, chez un complice ou retirent rapidement les articles en magasin une fois payé.
La boucle est bouclée et tu n'as plus aucun recours ! Comment l'escroc arrive à avoir le numéro de mobile correspondant aux données de la CB de la victime, reste un mystère. Le top de l'escroquerie serait que l'escroc arrive à lire les SMS à distance, là la victime n'est au courant de rien.
Dernière édition par msg le Ven 24 Fév 2023, 13:17; édité 1 fois
Eric12, Posté le: Ven 24 Fév 2023, 13:15 Sujet du message:
2746624083
Sauf rare cas de banque qui ne respectent pas la loi, la simple validation par SMS a usage unique n'existe plus ! (voire mon lien message précédent).
- Soit c'est code SMS a usage unique + un autre code permanent
- Soit c'est de la validation 3D-secure par appli.
C'est plutôt du deuxième cas que les escroc profite, dans le premier il faudrait qu'ils récupèrent les 2 codes, et a mon avis ils laissent tomber dans ce cas. Le principe du payement sécurisé par 3D-secure:
1°) tu communiques les données de ta carte au commerçant
2°) le commerçant appelle ta banque et présente la somme qu'il veut encaisser
3°) la banque te demande de valider le paiement sur ton application bancaire
4°) tu valides le paiement
5°) le commerçant reçoit la confirmation du paiement et la transaction est validée
Dans l'escroquerie :
1°) L’escroc t’appelle, te fais son discourt, te prévient que tu vas recevoir une demande de validation pour un "remboursement"
2°) l'escroc fait un achat avec des infos ou cartes volées
3°) le commerçant appelle la banque et présente la somme qu'il veut encaisser
4°) la banque te demande de valider le paiement sur ton application bancaire
5°) tu valides le paiement (que tu croie être un remboursement, et comme l'escroc t'a bien fait peur et mis la pression, tout en te mettant en confiance, tu fais pas attention)
6°) le commerçant reçoit la confirmation du paiement et la transaction est validée
7°) l'escroc te remercie et raccroche
8°) Ils se font livrer à une fausse adresse, chez un complice ou retirent les articles en magasin une fois payé.
msg a écrit:
Comment l'escroc arrive à avoir le numéro de mobile correspondant aux données de la CB de la victime, reste un mystère.
Le infos des escrocs sont issue de basse de données acheté sur le Darkweb qui contienne toutes les infos nécessaire. Ces données étant issue de divers piratage et recoupage d'info qui permettent de savoir beaucoup de choses sur beaucoup de gens.
Dernière édition par Eric12 le Ven 24 Fév 2023, 13:29; édité 1 fois
msg, Posté le: Ven 24 Fév 2023, 13:28 Sujet du message:
8864382515
Le problème c'est que tout le monde n'a pas un Smartphone (Curtis Newton peut confirmer !? ) pour y installer des applications. Donc le 3D sécure demande d'avoir un téléphone récent et que les clients maitrisent le fonctionnement de l'application.
Eric12, Posté le: Ven 24 Fév 2023, 13:37 Sujet du message:
2746624083
J'ai édité pour plus de précision...
La validation par code SMS a usage unqiue est encore possible, si pas de Smartphone (peut-être pas dans toutes les banques), mais normalement associé à un autre code (permanent) pour respecter la loi.
msg, Posté le: Ven 24 Fév 2023, 14:14 Sujet du message:
8864382515
Donc les deux codes (celui reçu et le permanent), tu les communique à qui ? Au commerçant ou à ta banque ?
Je ne suis pas trop au courant du fonctionnement avec les deux codes, mais j'aimerais comprendre, car on ne peut pas diffuser le code permanent en clair, donc il faut une application sécurisée incompatible avec les anciens mobiles et pour ceux n'ayant qu'un petit forfait sans data comme le 2€.
freewhynot, Posté le: Ven 24 Fév 2023, 14:27 Sujet du message:
1935016622
Bonjour,
msg a écrit:
Donc les deux codes (celui reçu et le permanent), tu les communique à qui ? Au commerçant ou à ta banque ?
Le 2ème code est communiqué à la banque. Le pirate ne peut pas le connaître, sauf s'il a piraté aussi le compte bancaire. _________________ Mini 4K Fibre (ZMD RIP) à 29,99€/mois, Édition Collector
CurtisNewton (Auteur du topic), Posté le: Ven 24 Fév 2023, 14:49 Sujet du message:
1346111885
Eric12 a écrit:
msg a écrit:
Le plus douteux, c'est que la banque appelle pour signaler une fraude sur votre compte, juste quelques instants avant ou après avoir reçu le fameux code par SMS. A part sur un mouvement d'une très grosse somme, les banques ne peuvent pas vérifier toutes les transactions autrement que par un code secret reçu par SMS / le code secret de la carte tapé sur un clavier.
Ça n'existe quasiment plus les codes secret a usage unique reçu par SMS, c'est de la validation par 3D-secure maintenant:
Je vois un certain nombre de personnes qui glissent leur CB entre l'étui et le dos du mobile, le genre de truc à éviter !
Les Fous ?! Une carte, ça doit être dans des coffres en "poupées russes" !
msg a écrit:
Le problème c'est que tout le monde n'a pas un Smartphone (Curtis Newton peut confirmer !? ) pour y installer des applications.
Et j'en suis fier !
Eric12 a écrit:
La validation par code SMS a usage unique est encore possible, si pas de Smartphone (peut-être pas dans toutes les banques), mais normalement associé à un autre code (permanent) pour respecter la loi.
Logiquement, toutes les banques en ligne peuvent ne pas l’accepter, vu qu'il faut passer leur application. Sauf que, on peut aussi faire les choses depuis l'espace client, donc on devrait pouvoir avoir encore le SMS. Et aussi, en cas de panne du mobile, on utilise un truc plus "ancien"...
Citation:
C'est plutôt du deuxième cas que les escroc profite, dans le premier il faudrait qu'ils récupèrent les 2 codes, et a mon avis ils laissent tomber dans ce cas.
Donc, un "vieux" mobile est plus sécurisé... On évite même les virus qui volent les données des autres applications et les failles de l'OS et de l'application de la banque !
CQFD
freewhynot a écrit:
msg a écrit:
Donc les deux codes (celui reçu et le permanent), tu les communique à qui ? Au commerçant ou à ta banque ?
Le 2ème code est communiqué à la banque. Le pirate ne peut pas le connaître, sauf s'il a piraté aussi le compte bancaire.
Et en plus, on est sur le site de la banque pour le taper comme je le disais plus haut (en fenêtre incrustée pour PayPal et en direct pour d'autres).
freewhynot, Posté le: Ven 24 Fév 2023, 15:35 Sujet du message:
1935016622
msg a écrit:
Je ne suis pas trop au courant du fonctionnement avec les deux codes, mais j'aimerais comprendre, car on ne peut pas diffuser le code permanent en clair, donc il faut une application sécurisée incompatible avec les anciens mobiles et pour ceux n'ayant qu'un petit forfait sans data comme le 2€.
Tu ne possèdes pas de mobile récent, tu ne peux donc pas télécharger une appli bancaire (prétendument ) sécurisée. Il te reste ton PC à partir duquel tu gères ton compte bancaire.
Du coup, tout achat à distance devrait en principe se faire aussi, dans ce cas, sur ton PC. À un moment donné, tu reçois toujours par SMS, sur ton mobile, le code à usage unique (phase 1). Tu le saisis sur ton PC puis tu es connecté automatiquement sur le site de ta banque afin que tu tapes, sur ton PC également, le code permanent (phase 2). L'achat est en principe validé. Voili voilà !
Évidemment, mieux vaut avoir dans ce cas un PC portable. C'est toujours plus confortable en mobilité. _________________ Mini 4K Fibre (ZMD RIP) à 29,99€/mois, Édition Collector
CurtisNewton (Auteur du topic), Posté le: Ven 24 Fév 2023, 16:50 Sujet du message:
1346111885
Et c'est même mieux... dés que tu es sur le site de ta banque, le SMS part, tu le tapes, et on te demande le code permanent (qu'il est possible de changer au moins dans certaines banque).
FreeWave, Posté le: Ven 24 Fév 2023, 17:33 Sujet du message:
232387209725
Après avoir "tué" récemment mon iPhone 4, le vieux c...on de service s'est remis un peu à la page en achetant un Samsung A53G, le premier Smartphone digne de ce nom que j'ai eu en main (l'iPhone 4 c'était encore un peu limite, il ramait).
Donc maintenant tout passe par Samsung Pay avec la bénédiction de ma banque, ma CB reste rangée chez moi. Plus de code PIN, je règle par empreinte digitale et bien entendu Samsung Pay affiche un masque de carte sans aucune référence. Via Samsung Pay ma banque m'autorise à tout payer, micro paiements comme gros paiements.
Dans le passé, à une époque où il y avait énormément de sites (essentiellement US) qui acceptaient les paiements à distance sans le fameux code CVC à 3 chiffres, le vecteur principal c'était ces horribles "rabot" qu'utilisaient les commerçants. Je sais qu'une fois suite à un réglement non sollicité j'avais compris l'origine du problème. Je me suis en effet rappelé d'une nénette à la FNAC qui avait validé un de mes règlements par ce rabot, elle avait une attitude un peu bizarre qui m'avait un peu interpellé, et je suis pratiquement certain qu'elle recopiait à la main les données carbones sur un post-it (je ne me rappelle plus au juste pourquoi le paiement n'avait pu se réaliser par un terminal).
A noter aussi que dès lors que vous avez réglé, les grandes enseignes disposent des facto de toutes les infos sur votre carte bancaire, hormis le code CVC à 3 chiffres. Si vous appelez à distance une grande enseigne (pas un commerçant) pour faire une contestation sur un ticket, ils peuvent vous rembourser en ligne direct car ils ont toutes ces infos. Sur un ticket du BHV un article avait dû être scanné deux fois par erreur... rentré chez moi, j'ai appelé, on m'a mis en relation avec le service comptabilité et l'interlocutrice avait toutes les informations faciales de ma carte bancaire, elle me les a dicté par téléphone pour que je vérifie que c'était bien ma carte bancaire, et a effectué un remboursement direct grace à la fameuse carte commerçant qui permet de recréditer un client... mais à condition de posséder les données faciales de la carte du client (dont ne disposent que les grosses enseignes).
Donc sachez que les services comptables des grandes enseignes disposent d'informations que vous ne soupçonnez pas dès lors que vous avez payé chez eux, c'est la même chose pour Amazon et tout autre GRAND sites en ligne qui disposent de services comptables dignes de ce nom, et c'est d'ailleurs heureux qu'il n'y ait pas tant de fraudes que cela. Ils disposent en gros des données faciales en relief, sauf le code CVC, tout simplement pour pouvoir être en mesure d'effectuer des remboursements instantanés.
Ca pose moins de problèmes aujourd'hui car désormais très peu de sites ou enseignes acceptent le règlement à distance sans "a mnima" le fameux code CVC (ce n'était pas du tout le cas dans les années 80-90)
Sur les paiements en ligne c'est :
- PayPal en priorité
- e-carte fourni généreusement et sans limite par ma banque (intégré à mon forfait de services en ligne)
- et CB si on ne peut pas faire autrement notamment sur les réglements par micro crédit. Dans tous les cas, hormis PayPal, je n'enregistre la CB nulle part ou c'est juste à titre temporaire, puis je l'efface
Vous avez lu l'actualité comme moi :
- BNP a récemment lancé une nouvelle CB avec lecteur d'empreintes intégrées donc plus besoin de code PIN
- Certaines banques expérimentent des CB qui demain auraient un champ CVC variable, ce serait donc probablement un TOTP, pour les paiements en lignes qui imposent la CB physique, ce pourrait être l'innovation la plus intéressante.
Autrement il y a toujours 3D secure et patatacouffin, mais le CVC variable aurait un intérêt : pas besoin de connexion Internet, le TOTP est basé sur une horloge.
freewhynot, Posté le: Ven 24 Fév 2023, 17:43 Sujet du message:
1935016622
CurtisNewton a écrit:
...Et le SMS de validation de l'achat sur le mobile de la victime et le 2ème code à taper pour valider l'achat (norme DSP2), il n'y en a donc pas ? Raison de plus pour être méfiant et raccrocher !!
OK ! Amazon fait sans tout ça...
Effectivement, sur Amazon les paiements par CB sont très souvent validés sans aucune intervention de la banque ! C’est pourquoi j’ai supprimé l’enregistrement permanent de ma carte bancaire sur mon compte client Amazon. On ne sait jamais ce qui pourrait arriver...
Et PayPal... _________________ Mini 4K Fibre (ZMD RIP) à 29,99€/mois, Édition Collector
CurtisNewton (Auteur du topic), Posté le: Ven 24 Fév 2023, 18:57 Sujet du message:
1346111885
Pour PayPal, quand tu fais un simple achat par CB, tout se déclenche, quand tu as un compte, je ne sais pas car je n'en ai pas. Il faudrait que je demande...
Si Amazon a une dérogation, PayPal peut également l'avoir. Le plus simple, taper sa carte à chaque achat !
Pour Amazon, qu'est-ce que ça alourdirait les achats de leur côté pour gérer tout ça !
msg, Posté le: Ven 24 Fév 2023, 19:09 Sujet du message:
8864382515
Si je comprend bien :
1°) je donne les infos sur ma carte au commerçant
2°) le commerçant contacte ma banque
3°) ma banque m'envoie un code par SMS
4°) je me connecte sur le site de ma banque et renseigne les 2 codes SMS + Code achat par Internet OU j'utilise l'application
5°) si les codes sont bon ou validation par l'appli , la banque valide l'achat et le commerçant reçoit l'argent
Ça ressemble au 3D sécure , où la banque fait l'intermédiaire entre le client et le commerçant .
Pour l'application , j'ai quelques interrogations . Vu qu'on a plus besoin apparemment des 2 codes (par SMS , ni code achat par Internet) , il faut bien que le téléphone puisse se connecter à Internet pour échanger avec la banque (Wifi ou réseau mobile) . Ne risque t-on pas de valider un achat Internet alors qu'on n'est pas derrière le clavier du PC (cas du réseau mobile) ?
A rendre les choses plus faciles pour nous , on facilite peut-être aussi celle des escrocs .
Renard des ondes, Posté le: Ven 24 Fév 2023, 19:23 Sujet du message:
7061865579
CurtisNewton a écrit:
Pour PayPal, quand tu fais un simple achat par CB, tout se déclenche, quand tu as un compte, je ne sais pas car je n'en ai pas. Il faudrait que je demande...
Si Amazon a une dérogation, PayPal peut également l'avoir. Le plus simple, taper sa carte à chaque achat !
Pour Amazon, qu'est-ce que ça alourdirait les achats de leur côté pour gérer tout ça !
PayPal est une bonne solution , d'autant que tu peux avoir et utiliser un compte PayPal sans avoir ou donner un numéro de CB ..
Tu valides en ligne le paiement avec ton ID PayPal ( un mail ) et un MDP ( spécifique de préférence ) bien chiadé
PayPal débites ensuite ton compte en banque ( celui que tu as relié à PayPal ) quelques jours après
Avantages :
1/ Le commerçant est payé par PayPal , donc il n'a pas accès à tes données bancaires ou CB
2/ En cas de non livraison ou de livraison non conforme , tu fais une réclamation et PayPal te rembourse ..
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum