Bertho (Auteur du topic), Posté le: Lun 16 Mai 2022, 22:43 Sujet du message: Re: 123
Re: 123230571208121
CurtisNewton a écrit:
Bon raisonnement ! Mais, sur les factures Free Mobile, il n'y a pas l'IBAN. Après, tu parles des factures Freebox. Comme je n'en reçois plus depuis des années, ni la notification de facture (fonctions indispensables, mais absente de chez Free Mobile !), la faille pourrait donc venir de là ?
Non, on dirait bien, car je viens de vérifier, et le RIB est incomplet. D'accord, il pourrait être plus incomplet de que ça...
Par contre, comme je disais plus haut, comment récupérer une SIM avec une CB au nom du pirate ?
Il lui faut la carte et le code ! Donc, si c'est un CB volée, elle sera logiquement vite mise en opposition...
Et quand il change le RIB, il doit être à son nom également. OK ! Si c'est un pirate à l'autre bout de la planète, avant que l'on puisse l'avoir, il a le temps de faire le nécessaire pour disparaitre ou même il a des faux papiers pour avoir un compte bancaire... Mais là, plus de possibilité de récupérer une SIM sur une borne ! Ou il est en France avec de faux papiers, une CB volée encore utilisable et avec un Free Center pas trop loin pour agir. Ça fait encore pas mal de choses...
Tu peux ajouter à ta liste, un nombre d'essais limité pour les tentatives de récupération de compte. Ça évite qu'un bot teste des tas de possibilité pour compléter le RIB.
En tout cas, si tu as mis dans le mille avec ta liste, ça fait quand même du boulot (automatisé ou non) et beaucoup de choses à corriger. Sans parler de mes questions rajoutées.
Conclusion: moins il y a de choses sur le Net nous concernant, mieux c'est !
PS: je ne suis et n'ai jamais été sur aucun réseau social et je fais très attention à ce que je donne comme informations
Le RIB n'a pas besoin d'être au nom du client, il doit juste être valide.
Je confirme que le numéro de RIB était encore présent sur les factures Freebox en avril 2021, alors qu'elles étaient envoyées en PDF par pièces jointe. Mais, comme les factures Free Mobile sont reçues sur la même boîte mail, et contiennent le numéro de client, c'est tout bon pour le pirate qui récupère la paire numéro de client / RIB, le sésame pour la prise de contrôle du compte Free Mobile.
Pas besoin d'une CB à ton nom pour récupérer la carte SIM en borne. Le paiement sans contact doit fonctionner en revanche, donc une CB volée c'est OK. D'après le support Free, La première carte SIM récupérée par le pirate a été insérée dans un iPhone 6S, la deuxième (quelques jours plus tard, suite au blocage de la carte SIM que j'avais réussi à demander dans une boutique) dans un iPhone 8. Donc, des portables très vieux qui n'ont même pas besoin d'être volés.
Je trouve ça dingue le niveau de détail de l'opération...
Renard des ondes, Posté le: Mar 17 Mai 2022, 7:47 Sujet du message:
7061865579
Le RIB n'est pas complet sur les factures Freebox, il manque les six derniers chiffres, y compris sur celles envoyées en PJ (j'ai vérifié, notamment celles du T1 2021).
Ton pirate est peut être allé chercher ton RIB directement sur ton espace client de la banque (mais il n'en avait pas besoin ?) puisque c'est le contrôle de ton mail qui lui a permis de prendre la main, d'abord sur le compte Free Mobile et ensuite sur le compte ING.
CurtisNewton, Posté le: Mar 17 Mai 2022, 8:55 Sujet du message:
1346111885
Bonjour,
D'accord pour le retrait des SIM pour une carte volée (il faut donc qu'il en est une sous la main si le paiement sans contact passe... une saleté ce truc !). Par contre, pour le RIB mis dans l'espace client pour bloquer une récupération de ta part, si il est valide, il est bien à un nom. Parce que là, il ne va pas non plus mettre son identité.
J'ai bien regardé les anciennes factures, je n'ai jamais eu de RIB complet sur celles de la Freebox. Les factures Free Mobile n'arrive plus automatiquement dans les boites mail (ça a assez râlé à l'époque, et je croyais ça plus ancien), c'est juste une notification. C'est soit la notification, soit par courrier postal depuis l'espace abonné. Si tu as gardé des anciennes reçues automatiquement ou à ta demande, forcément, elle sont dans ta boite, mais sans le RIB dessus.
Ça aurait été bien comme pour Free que l'on puisse totalement désactiver l'envoi d'un email pour ça ! Ça évite de devoir surveiller sa boite pour effacer...
Renard des ondes, Posté le: Mar 17 Mai 2022, 11:02 Sujet du message:
7061865579
Pour l'avenir, il faut bien comprendre que le problème n'est pas chez Free Mobile ou ING en particulier. Il ne faut pas se tromper de cible : le point de départ est un mail piraté chez OVH :
1/ Un mail dont le MDP a été récupéré suite à une fuite de données
2/ Un MDP ancien, alors qu'il faudrait le changer régulièrement (ce qu'on ne fait pas tous, par confort)
3/ Des données sensibles que l'on laisse dessus (et ailleurs sur le net) par négligence ou excès de confiance (comme tout à chacun)
Chez RED, par exemple, c'est la même chose...
Voilà ce que donne un essai de récup sur deux anciennes lignes RED résiliées : leur numéro a été réattribué et on y voit les mails (incomplets) des nouveaux titulaires, sur lesquels peuvent être envoyés, je suppose, un nouveau MDP ou un lien pour le recréer.
L'ID est encore plus simple à trouver chez eux, puisque c'est au choix le mail, le numéro de la ligne ou un numéro présent sur les factures.
CurtisNewton, Posté le: Mar 17 Mai 2022, 14:42 Sujet du message:
1346111885
Oui pour le changement de mot de passe, mais c'est long, fastidieux et si le système plante à ce moment sur le serveur, tu peux rester bloquer sans pourvoir te connecter avec l'ancien ! Il y a même une étude qui disait que les changer souvent ne changer pas grand chose au final:
« Plus les usagers sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système », écrit le CNSC. Et l’autorité de rappeler le temps perdu à cause de la réinitialisation du mot de passe ou du verrouillage du compte après des essais infructueux. Plus les usagers sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système », écrit le CNSC. Et l’autorité de rappeler le temps perdu à cause de la réinitialisation du mot de passe ou du verrouillage du compte après des essais infructueux. »
Et en plus, il te faut une imprimante pour bien les sortir sans faute de copie sur le papier à la main et en double ou triple exemplaire... Faire ça souvent... comment dire !
Comme toujours, j'en reviens à dire qu'il faut en faire le minimum par le Net pour les choses séreuses, même si ça semble plus rapide ou plus pratique.
Reste à savoir comment l'email a été piraté chez OVH...
fofomm, Posté le: Mar 17 Mai 2022, 20:23 Sujet du message:
156548143986
Bonjour,
Il faut éviter de mettre le même mot de passe partout.
J'avais fait l'erreur dans le passé en mettant le même mot de passe que mon adresse mail Free sur un site de jeux en ligne. Suite à un piratage du site en question mon mot de passe s'est retrouvé dans une base de donnée que des voyous ont utilisé pour pirater mon adresse mail Free.
Heureusement que c'était une adresse mail pas vraiment importante sans données sensibles.
Renard des ondes, Posté le: Mar 17 Mai 2022, 22:08 Sujet du message:
7061865579
Je crois aussi qu'il faut avoir plusieurs adresses mail, une que tu donnes un peu partout pour les comptes pas important et d'autres dédiées pour ce qui est sensible avec un MDP chiadé et différent à chaque fois.
frederic76, Posté le: Mer 18 Mai 2022, 3:45 Sujet du message:
6727861148
Pas forcément avoir plusieurs boîtes mails mais au moins des alias.
Ainsi 1 boite pour le perso/famille/amis, 1 pour le pro, 1 pour le spam/newletters, 1 pour la banque. Et à côté de ça, x alias pour par ex des administrations, sites... Et où y'a pas forcément besoin de répondre par ce mail.
Mais surtout éviter de donner plusieurs fois le même mail à x entreprises, sites...,pas le même MDP de boîte mail que pour sites x ou y. Éviter plusieurs administrations ou autres du même style (ex énergies, multimédia...) sur 1 même boîte mail et/ou même alias.
En terme d'info de soi sur le net comme boîte mail.. 'renseigner le moins de trucs réels possible. Mettre le plus souvent des info fictifs surtout quand y'a pas besoin. Par ex lors de livraison de colis en point relais ou poste, pas besoin de fournir mail et numéro de tel. Ça sera déposé comme prévu à l' endroit ou au pire un mot déposé. Ça a toujours marché... Pourquoi ça changerait ?
Les champs soit disant obligatoire ne sont pour la plupart quasiment jamais utiles pour l'action en question, mais sont une mine d'info à la revente.
Éviter aussi de se connecter à des sites sur des équipements autres que les siens (ex au boulot, chez des amis...) ou sur des Wifi publics ou autre que le sien fiable. Ne pas prêter son tel ou tablette ou alors bloquer les dll/install/modif via compte limité... Et bien verrouiller ses appareils dès qu'on n'est plus dessus.
Ne pas mettre x HDD externe ou interne à un ordi, sur le même os mais les mettre ailleurs, sur un autre type d'os (Freebox OS, Linux...) pour éviter la contamination, la propagation des virus.... _________________ Collectif, c'était mieux avant !
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum