Renard des ondes, Posté le: Ven 13 Mai 2022, 18:00 Sujet du message:
7061865579
Patatos@dit_Jojo a écrit:
L'identifiant bancaire et Free Mobile ne sont pas stockés en clair, vu qu'ils utilisent l'authentification par pavé numérique virtuel.
Non, il n'y a plus de pavé virtuel pour le compte Free Mobile comme c'était le cas au début, l'ID et le MDP sont stockés en clair sur le PC par le navigateur (si c'est le paramétrage retenu).
A priori, il y a eu un vol de données chez ING il y a quelques mois...
Oui, c'est la phase "banque". J'ai fait 2 sujets distincts car il y a 2 étapes distinctes : 1 prendre le contrôle du numéro de mobile (et le garder) et 2 prendre le contrôle du compte bancaire (et le garder aussi !).
Renard des ondes a écrit:
CurtisNewton a écrit:
Avec le lien fourni, on voit qu'il y a des chances que ça s'arrange. Il faudrait quand même savoir d'où ça a pu partir ce problème.
ID et PWD des comptes Free Mobile et ING... l'un ou l'autre encore... mais les deux à la fois... Phishing, keylogger, ou des papiers comme des relevés de comptes qui partent à la poubelle sans être en tout petits morceaux.
Ni pour Free ni pour ING le pirate n'a utilisé mon mot de passe : à chaque fois il est passé par un mécanisme de réinitialisation du mot de passe.
Busyspider a écrit:
Pour les banques, on a maintenant une double authentification.
SMS avec envoi de code. Mais également le SecuriCode (pour les achats en ligne), mais qui devrait je pense pouvoir servir en cas de demandes spécifiques comme le changement de mot de passe.
Pour le SecuriCode. On peut confirmer soit.
- via l'application de la banque (et là c'est sur le Smartphone)
- soit on a refusé d'installer l'appli et on reçoit dans ce cas un courrier papier par la poste avec l'info de ce SecuriCode (j'ai pour ma part choisi cette 2ème option)
et c'est là qu'on voit (encore une fois) qu'il ne faut pas tout mettre dans le même panier et que le SecuriCode (reçu chez nous) à rajouter manuellement en 2ème contrôle a tout son sens.
Ceci dit le cas évoqué ici ressemble fortement à un phishing...
Chez ING, ils n'ont pas développé l'appli Android d'authentification, et donc la vérification se fait uniquement par SMS. Tu récupères l'accès au numéro de mobile, tu as tout gagné !
Bertho (Auteur du topic), Posté le: Sam 14 Mai 2022, 2:38 Sujet du message:
230571208121
CurtisNewton a écrit:
Il y a bien eu un truc qui a fait qu'il a accédé à quelque chose qui a permis d'avoir le reste. Ce n'est pas juste avec le RIB et les informations des réseaux sociaux que ça a pu en arriver là.
Et identifiant de la banque n'est pas sur le RIB pour l'accès l'espace client. Si ?
Et la fonction de récupération à la banque, elle demande quoi comme informations ?
Ta SIM s'est donc désactivée quand le pirate a pris la nouvelle ?
Ton adresse email n'est pas piratée également ?
Tu y stockes des choses sensibles ?
Merci, tu m'as mis sur une piste intéressante : concernant mon adresse email, je viens de vérifier dans la fonction "check passwords" de Google Chrome. J'ai 1 mot de passe considéré comme compromis, à savoir un celui de l'email de mon fils associé au serveur mail.ovh.net, "found in data breach 10 days ago", à savoir aux alentours du 4 mai. Mon piratage Free a eu lieu le 3 mai.
J'ai 2 emails, 1 sur le même nom de domaine (en .fr) que celui de mon fils (un nom de domaine qui m'appartient depuis une vingtaine d'années, hébergé chez OVH), et 1 deuxième sur un domaine similaire en .com. Ca pourrait donc correspondre.
D'autant plus qu'en allant vérifier sur le webmail de mon adresse en .fr (que je n'utilise jamais car j'utilise un client de messagerie), j'ai bien des emails envoyés par ING où apparaissent le numéro de compte client. Notamment quand un virement est rejeté, le numéro de compte client apparaît en clair, alors qu'il n'y a que les 3 derniers chiffres pour une confirmation de virement reçu : D'un côté ING considère que c'est une info confidentielle, de l'autre pas. Belle faille de sécurité; toujours active à priori.
Sur mon email en .com j'ai des emails envoyés par Free Mobile pour mon portable, à savoir les factures où figurent le numéro de compte client + numéro de portable. J'ai également des factures Freebox où apparaîssent le RIB. Comme c'est au même nom, pas difficile de deviner que c'est le même RIB qui est associé au compte Free Mobile Eh oui, Free considère que dans le cas d'un mobile, le RIB est confidentiel (puisqu'il permet de récupérer l'accès au compte mobile), mais quand il s'agit d'une facture Freebox, pas de soucis pour y mettre le RIB. Les dernières factures Freebox ne contiennent plus le RIB, la faille a donc été corrigée par Free.
J'en conclus donc que si mes identifiants ont bien fuité comme le dit Google Chrome Safety Check, et si on accède à mes emails, alors on retrouve alors les éléments manquants pour pirater en premier mon compte Free Mobile, puis à suivre mon compte ING. En faisant une recherche sur Google, il m'a fallu 2 minutes pour trouver ma date de naissance et mon code postal (et dire que je suis plutôt anti réseaux sociaux...)
J'avais déjà changé mes identifiants d'emails la semaine dernière par précaution, mais là je viens de changer tous les autres mots de passe des emails des membres de ma famille qui sont associés à mes noms de domaine. J'ai également sécurisé mes comptes OVH en changeant le MDP et en activant la double authentification par mobile (avec Authenticator, et donc pas par carte SIM ).
Ce que je trouve quand même bizarre, c'est le nombre d'informations à croiser. J'ai du mal à imaginer que le pirate puisse être aussi malin, tenace, et... chanceux ! C'est pourquoi je ne suis pas persuadé à 100% que la piste de l'email soit la bonne.
En revanche, mon problème de blocage de compte Free Mobile impossible à récupérer reste entier, et j'aimerais bien arriver à le résoudre. Demain peut-être, car il est tard !
frederic76, Posté le: Sam 14 Mai 2022, 5:28 Sujet du message:
6727861148
De nos jours il ne suffit pas de grand chose pour avoir tout, plus ou moins facilement même sans forcément maîtriser.
Pour l'auteur, il est possible que tu ai pu te faire en amont avoir, en étant ou non actif :
- un mail ou SMS de type phishing
- une pièce jointe verolee
- une app vérolée ou avec backdoor du style app de retouche, de scan ou autre faisant fureur auprès des jeunes ou personnes cherchant un effet spécial sans se soucier de, et au final l'app envoie à l'insu plein de données ailleurs.
- prêt, même ponctuel, du tel à quelq'un qui a voulu l'avoir et qui a pu avoir le temps de dll un fichier vérolé ou script par ex
- ton tel posé à côté de toi sans forcément regarder et quelq'un assez proche pour y envoyer un fichier via Bluetooth ou autre de façon discrète.
De nos jours, les Smartphone et tablettes sont devenues aussi voir plus précieuses qu'un ordi portable. Or, combien de personnes y activent le verrouillage du mobile alors que sur ordi c presque systématique grâce aux entreprises ? Ou même si verrouillé, combien utilisent un MDP ou autre qui ne soit pas connu d'un tiers ? Combien deverrouillent un Smartphone devant des gens qui peuvent voir le code, schéma ou autre ?
Fais un check-UP du tel, fais de même sur les tablettes, ordi. Ne pas répondre ni même ouvrir les mails, SMS frauduleux ou douteux que tu connais pas, verrouilles bien le tel...
Même si ton compte bancaire a été vidé, la loi française et européenne doit recrediter le compte dès la contestation, dans un délai maximum de 48h sans quoi elle est en tort et encourt des pénalités et autres frais. Donc en allant à ta banque ou par recommandé, la banque doit sans délais remettre tout et trouver une solution même si tu n'as plus de tel ou plus ce numéro...
Une plainte est nécessaire aussi pour aider la justice, je vois que c fait, tant mieux.
Même si un RIB peur apparaître sur l'espace Free (ou ailleurs), il ne peut pas avoir accès au compte bancaire lui même. Il pourrait au pire faire un virement.
S'il a aussi accès au compte bancaire, c qu'il y a eu accès, cf plus haut. _________________ Collectif, c'était mieux avant !
DG33600, Posté le: Sam 14 Mai 2022, 6:49 Sujet du message:
3529831270
Bertho a écrit:
Chez ING, ils n'ont pas développé l'appli Android d'authentification, et donc la vérification se fait uniquement par SMS. Tu récupères l'accès au numéro de mobile, tu as tout gagné !
Ce point est hallucinant ! Norme européenne DSP2, 3D Secure :
CurtisNewton, Posté le: Sam 14 Mai 2022, 8:46 Sujet du message:
1346111885
Bonjour,
@Bertho
Intéressant tout !
Et ce mot de passe, il était unique pour une utilisation à un seul endroit ?
Sur ton email en .fr, où est-ce qu'ils étaient les messages d'ING pour que le client mail ne les "voient" pas ? C'était des sauvegardes, et si tu es en POP3, tu n'as accès qu'au dossier de réception et sur certains Webmail aux spams qui sont redirigés dedans.
J'ai regardé des factures Free Mobile, en 2016, au hasard, mais il n'y a pas de RIB dessus. Par contre, comme c'est un 0€, c'est peut-être pour ça ?
Elles datent de quand celles avec le RIB inclus ?
EDF, quand on validait par le Net un mandant SEPA envoyait tout dans un message (Nom, adresse, RIB...). J'ai trouvé ça pas du tout sécurisé surtout vu comme ils sont casse-pieds sur leur site pour se connecter. Ça a peut-être changé ?
Ça me rappelle que certaines reversions de pensions de retraite faisaient ça sur les papiers reçus par la Poste, le RIB est présent au complet. Là aussi, ça a peut-être changé...
Pour ta date de naissance, tu l'as bien donnée quelque part ? Non ?
Quelqu’un l'a mise sur un de ces messages sur Facebook ou autres ?
Citation:
Ce que je trouve quand même bizarre, c'est le nombre d'informations à croiser. J'ai du mal à imaginer que le pirate puisse être aussi malin, tenace, et... chanceux ! C'est pourquoi je ne suis pas persuadé à 100% que la piste de l'email soit la bonne.
+1000 ! Surtout, qu'il n'est pas certain, vu le travail a fournir pour avoir les informations, d'avoir une grosse somme à la clé...
Citation:
En revanche, mon problème de blocage de compte Free Mobile impossible à récupérer reste entier, et j'aimerais bien arriver à le résoudre. Demain peut-être, car il est tard !
Ça risque d'être plus dur effectivement ! Et, je n'ai pas d'aide de possible chez Free Mobile directement. Chez Free, oui, on aurait pu faire remonter...
Renard des ondes, Posté le: Sam 14 Mai 2022, 10:52 Sujet du message:
7061865579
Au vu de tout ça, pour moi, hors keylogger, le point de départ ne peut être qu'un accès à l'email lié aux comptes piratés :
Je viens de faire le test, on peut changer très facilement le MDP du compte Free Mobile si on connait l'ID à 8 chiffres et que l'on a accès à l'email lié à la ligne.Aucune autre info de vérification n'est demandée (le RIB ou le numéro de CB par exemple sur lesquels serait le prélèvement mensuel), un lien de changement de MDP est envoyé sur l'email en moins de deux minutes chrono, c'est bouclé !
Après, je ne connais pas les options de récup de l'ID et du MDP chez ING, mais si c'est aussi facile...?
L'ID, déjà, devait être présente sur des mails d'ING ?
Renard des ondes, Posté le: Sam 14 Mai 2022, 16:15 Sujet du message:
7061865579
Pour FM, il faut avoir accès au mail associé à la ligne et avoir un intérêt à pirater la ligne mobile. D'ailleurs le pirate a pu récupérer une SIM sans le SMS envoyé sur cette ligne...
Peut être en se faisant passer pour @Bertho auprès d'une boutique Free ? Normalement à la borne ce n'est pas possible, cf les précédents messages...
Citation:
Depuis nos bornes Free :
Vous pouvez renouveler et retirer votre carte SIM dans une boutique équipée d'une borne Free. La nouvelle carte SIM est alors activée automatiquement. Dans ce cas, un code SMS vous est envoyé sur votre ancienne SIM pour valider votre demande.
Si vous ne pouvez plus utiliser votre ancienne SIM (en cas de vol, de perte ou dysfonctionnement), vous devez vous rendre dans une boutique Free et vous adresser à un conseiller Free, munis de vos papiers d'identité.
Cette histoire a l'air d'être une succession de défaillances accumulées dont a profité un pirate plus vif que la moyenne. Il y a déjà eu ce genre d'affaire à plusieurs reprises ici, notamment avant que ne Free mette en place le SMS de vérification à la borne (Octobre 2015):
J'ai retrouvé le sujet auquel je pensais (septembre 2015) : Le processus de changement de MDP était différent, il fallait aussi connaitre le RIB ou le numéro de CB associé à la ligne comme moyen de paiement. Mais clairement, à quelques détails près, on est dans le même cas de figure
Sauf que là, c'est logiquement le mail qui a été piraté en premier alors que dans l'autre cas, je pensais à l'époque que c'est le compte bancaire qui l'avait été en premier.
CurtisNewton, Posté le: Sam 14 Mai 2022, 17:05 Sujet du message:
1346111885
Citation:
avoir un intérêt à pirater la ligne mobile.
+1 !
Citation:
D'ailleurs le pirate a pu récupérer une SIM sans le SMS envoyé sur cette ligne...
En opposition avec ce qui est dit plus haut...
Auprès d'un Free Center ? Et comment ? Avec de faux-papiers ?
Et pour la CB sur la borne, volée également ?
Il faut un Free Center à proximité en plus... Que de questions sans réponses !
Reste à trouver la listes des défaillances maintenant... Pour le RIB ou le numéro de CB (abrégé pour les deux), je croyais que c'était ça qui avait été mis en place en dernier sur les bornes...
Pour ton sujet, je m'en rappelle, mais je ne pensais pas que ça remontait aussi loin !
Renard des ondes, Posté le: Sam 14 Mai 2022, 22:04 Sujet du message:
7061865579
Autre test du soir :
1/: J'ai le numéro de la ligne et le contrôle du mail rattaché, mais pas l'ID à 8 chiffres :
Manip 1 : Via le processus de récup, l'ID est alors envoyée sur le mail rattaché à la ligne
Manip 2 : Toujours via le processus de récup, un lien de réinitialisation du MDP est envoyé à nouveau sur le mail rattaché à la ligne
Pas de SMS sur la ligne mobile
2/Je n'ai pas ou plus accès au mail rattaché, mais je connais l'ID et le moyen de paiement, la récup est aussi possible :
L'adresse mail est alors changée dans le compte (dans ce cas un SMS est envoyé sur la ligne mobile ), et je suppose que l'on doit faire ensuite les manips 1 et 2.
Donc un compte bancaire piraté peut être aussi à l'origine de la prise de contrôle de la ligne mobile (comme je pense dans le sujet de septembre 2015).
L’œuf ou la poule, en quelque sorte. ... sauf que on peut dire que si il y a eu un SMS, c'est le compte bancaire qui a été piraté d'abord, et que, sans SMS, c'est l'email qui l'avait été... au choix...
CurtisNewton, Posté le: Dim 15 Mai 2022, 8:22 Sujet du message: 123
1231346111885
Bonjour,
Comme je disais, que de questions sans réponses !
Et, on peut aussi rajouter, d'après un de ces messages, qui a accès aux boites mail de son fils, de celle en ".fr" et de celle en ".com" ?
Et tout ça, ça dirige quand même vers le fait qu'il faut avoir deux choses pour parvenir à prendre le contrôle, sans compter le temps et l’incertitude d'avoir des sommes importantes à voler... On peut automatiser, mais alors c'est vraiment le truc à grande échelle et on aurait plus de témoignages sur le Net de tels faits logiquement...
Et, comme je le dis à chaque fois, faire le minimum en ligne est vraiment le mieux !
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
Il faudrait quand même savoir d'où ça a pu partir ce problème.
).
Pour le RIB ou le numéro de CB (abrégé pour les deux), je croyais que c'était ça qui avait été mis en place en dernier sur les bornes...