Carte bancaire: comment les escrocs opèrent par téléphone ?

[Eric12]

[msg]

Le principe du payement sécurisé par Internet :

1°) tu communiques les données de ta carte au commerçant
2°) le commerçant appelle ta banque et présente la somme qu'il veut encaisser
3°) la banque t'envoie un code par SMS sur ton mobile pour vérifier que c'est bien toi qui fait l'achat, puis attend la confirmation.
4°) tu donnes le code SMS reçu par ta banque au commerçant
5°) le commerçant donne la confirmation (code qui correspond à la somme demandée) et la transaction est validée

Le code transite : banque => client => commerçant => banque.
La boucle est bouclée.

Dans l'escroquerie:

1°) l'escroc fait des achats avec des infos ou cartes volées
2°) le commerçant appelle la banque et présente la somme qu'il veut encaisser
3°) la banque t'envoie un code par SMS sur ton mobile pour vérifier que c'est bien toi qui fait l'achat, puis attend la confirmation

4°) l'escroc t'appelle pour te soutirer le code SMS
5°) tu le lui remet pensant que c'est ton banquier
6°) l'escroc le transmet au commerçant qui peut valider l'achat auprès de ta banque

7°) Ils se font livrer à une fausse adresse, chez un complice ou retirent rapidement les articles en magasin une fois payé.

La boucle est bouclée et tu n'as plus aucun recours ! Comment l'escroc arrive à avoir le numéro de mobile correspondant aux données de la CB de la victime, reste un mystère. Le top de l'escroquerie serait que l'escroc arrive à lire les SMS à distance, là la victime n'est au courant de rien.

[Eric12]

Sauf rare cas de banque qui ne respectent pas la loi, la simple validation par SMS a usage unique n'existe plus ! (voire mon lien message précédent).

- Soit c'est code SMS a usage unique + un autre code permanent
- Soit c'est de la validation 3D-secure par appli.

C'est plutôt du deuxième cas que les escroc profite, dans le premier il faudrait qu'ils récupèrent les 2 codes, et a mon avis ils laissent tomber dans ce cas. Le principe du payement sécurisé par 3D-secure:

1°) tu communiques les données de ta carte au commerçant
2°) le commerçant appelle ta banque et présente la somme qu'il veut encaisser
3°) la banque te demande de valider le paiement sur ton application bancaire

4°) tu valides le paiement
5°) le commerçant reçoit la confirmation du paiement et la transaction est validée

Dans l'escroquerie :
1°) L’escroc t’appelle, te fais son discourt, te prévient que tu vas recevoir une demande de validation pour un "remboursement"
2°) l'escroc fait un achat avec des infos ou cartes volées
3°) le commerçant appelle la banque et présente la somme qu'il veut encaisser

4°) la banque te demande de valider le paiement sur ton application bancaire
5°) tu valides le paiement (que tu croie être un remboursement, et comme l'escroc t'a bien fait peur et mis la pression, tout en te mettant en confiance, tu fais pas attention)
6°) le commerçant reçoit la confirmation du paiement et la transaction est validée

7°) l'escroc te remercie et raccroche
8°) Ils se font livrer à une fausse adresse, chez un complice ou retirent les articles en magasin une fois payé.

[msg]

Le problème c'est que tout le monde n'a pas un Smartphone (Curtis Newton peut confirmer !? ) pour y installer des applications. Donc le 3D sécure demande d'avoir un téléphone récent et que les clients maitrisent le fonctionnement de l'application.

[Eric12]

J'ai édité pour plus de précision...

La validation par code SMS a usage unqiue est encore possible, si pas de Smartphone (peut-être pas dans toutes les banques), mais normalement associé à un autre code (permanent) pour respecter la loi.

[msg]

Donc les deux codes (celui reçu et le permanent), tu les communique à qui ? Au commerçant ou à ta banque ?

Je ne suis pas trop au courant du fonctionnement avec les deux codes, mais j'aimerais comprendre, car on ne peut pas diffuser le code permanent en clair, donc il faut une application sécurisée incompatible avec les anciens mobiles et pour ceux n'ayant qu'un petit forfait sans data comme le 2€.

[freewhynot]

Bonjour,

[CurtisNewton (Auteur du topic)]

[freewhynot]

[CurtisNewton (Auteur du topic)]

Et c'est même mieux... dés que tu es sur le site de ta banque, le SMS part, tu le tapes, et on te demande le code permanent (qu'il est possible de changer au moins dans certaines banque).

[FreeWave]

Après avoir "tué" récemment mon iPhone 4, le vieux c...on de service s'est remis un peu à la page en achetant un Samsung A53G, le premier Smartphone digne de ce nom que j'ai eu en main (l'iPhone 4 c'était encore un peu limite, il ramait).

Donc maintenant tout passe par Samsung Pay avec la bénédiction de ma banque, ma CB reste rangée chez moi. Plus de code PIN, je règle par empreinte digitale et bien entendu Samsung Pay affiche un masque de carte sans aucune référence. Via Samsung Pay ma banque m'autorise à tout payer, micro paiements comme gros paiements.

Dans le passé, à une époque où il y avait énormément de sites (essentiellement US) qui acceptaient les paiements à distance sans le fameux code CVC à 3 chiffres, le vecteur principal c'était ces horribles "rabot" qu'utilisaient les commerçants. Je sais qu'une fois suite à un réglement non sollicité j'avais compris l'origine du problème. Je me suis en effet rappelé d'une nénette à la FNAC qui avait validé un de mes règlements par ce rabot, elle avait une attitude un peu bizarre qui m'avait un peu interpellé, et je suis pratiquement certain qu'elle recopiait à la main les données carbones sur un post-it (je ne me rappelle plus au juste pourquoi le paiement n'avait pu se réaliser par un terminal).

A noter aussi que dès lors que vous avez réglé, les grandes enseignes disposent des facto de toutes les infos sur votre carte bancaire, hormis le code CVC à 3 chiffres. Si vous appelez à distance une grande enseigne (pas un commerçant) pour faire une contestation sur un ticket, ils peuvent vous rembourser en ligne direct car ils ont toutes ces infos. Sur un ticket du BHV un article avait dû être scanné deux fois par erreur... rentré chez moi, j'ai appelé, on m'a mis en relation avec le service comptabilité et l'interlocutrice avait toutes les informations faciales de ma carte bancaire, elle me les a dicté par téléphone pour que je vérifie que c'était bien ma carte bancaire, et a effectué un remboursement direct grace à la fameuse carte commerçant qui permet de recréditer un client... mais à condition de posséder les données faciales de la carte du client (dont ne disposent que les grosses enseignes).

Donc sachez que les services comptables des grandes enseignes disposent d'informations que vous ne soupçonnez pas dès lors que vous avez payé chez eux, c'est la même chose pour Amazon et tout autre GRAND sites en ligne qui disposent de services comptables dignes de ce nom, et c'est d'ailleurs heureux qu'il n'y ait pas tant de fraudes que cela. Ils disposent en gros des données faciales en relief, sauf le code CVC, tout simplement pour pouvoir être en mesure d'effectuer des remboursements instantanés.

Ca pose moins de problèmes aujourd'hui car désormais très peu de sites ou enseignes acceptent le règlement à distance sans "a mnima" le fameux code CVC (ce n'était pas du tout le cas dans les années 80-90)

Sur les paiements en ligne c'est :

- PayPal en priorité
- e-carte fourni généreusement et sans limite par ma banque (intégré à mon forfait de services en ligne)
- et CB si on ne peut pas faire autrement notamment sur les réglements par micro crédit. Dans tous les cas, hormis PayPal, je n'enregistre la CB nulle part ou c'est juste à titre temporaire, puis je l'efface

Vous avez lu l'actualité comme moi :
- BNP a récemment lancé une nouvelle CB avec lecteur d'empreintes intégrées donc plus besoin de code PIN
- Certaines banques expérimentent des CB qui demain auraient un champ CVC variable, ce serait donc probablement un TOTP, pour les paiements en lignes qui imposent la CB physique, ce pourrait être l'innovation la plus intéressante.

Autrement il y a toujours 3D secure et patatacouffin, mais le CVC variable aurait un intérêt : pas besoin de connexion Internet, le TOTP est basé sur une horloge.

[freewhynot]

[CurtisNewton (Auteur du topic)]

Pour PayPal, quand tu fais un simple achat par CB, tout se déclenche, quand tu as un compte, je ne sais pas car je n'en ai pas. Il faudrait que je demande...

Si Amazon a une dérogation, PayPal peut également l'avoir. Le plus simple, taper sa carte à chaque achat !

Pour Amazon, qu'est-ce que ça alourdirait les achats de leur côté pour gérer tout ça !

[msg]

Si je comprend bien :

1°) je donne les infos sur ma carte au commerçant
2°) le commerçant contacte ma banque
3°) ma banque m'envoie un code par SMS
4°) je me connecte sur le site de ma banque et renseigne les 2 codes SMS + Code achat par Internet OU j'utilise l'application
5°) si les codes sont bon ou validation par l'appli , la banque valide l'achat et le commerçant reçoit l'argent

Ça ressemble au 3D sécure , où la banque fait l'intermédiaire entre le client et le commerçant .

Pour l'application , j'ai quelques interrogations . Vu qu'on a plus besoin apparemment des 2 codes (par SMS , ni code achat par Internet) , il faut bien que le téléphone puisse se connecter à Internet pour échanger avec la banque (Wifi ou réseau mobile) . Ne risque t-on pas de valider un achat Internet alors qu'on n'est pas derrière le clavier du PC (cas du réseau mobile) ?

A rendre les choses plus faciles pour nous , on facilite peut-être aussi celle des escrocs .

[Renard des ondes]