Un phishing, un appel et vos euros s’envolent

Les escrocs ont trouvé une nouvelle parade aux sécurités mises en place par les banques. Dernière arnaque en date, faire changer votre numéro de téléphone. Le pirate peut ainsi recevoir le SMS qui validera la transaction financière qu’il fera à partir de votre compte en banque.

Tout débute par un hameçonnage. Le voleur, via un phishing, met la main sur vos identifiants de connexion (login et mot de passe). Avec ces précieux, l’escroc ne peut pas obligatoirement jouer avec vos économies. Les banques ont mis en place des doubles systèmes de sécurité qui utilisent le SMS.

Bilan, si le pirate souhaite vous voler votre argent, il a besoin de confirmer un code que la banque communique, par téléphone, au client. Le voyou a donc besoin de recevoir le précieux texto. La rédaction de zataz.com a appris que des phisheurs n’hésitaient pas à téléphoner à la banque, en se faisant passer pour le client piégé et inciter le « banquier » à changer le numéro de téléphone. Le plus inquiétant est que cela fonctionne encore ! « Ils téléphonent le samedi, souligne un conseiller financier contacté par la rédaction de zataz.com, ils sont insistants. Certains n’hésitent pas à utiliser la messagerie interne que, normalement, seul le client peut utiliser via son compte Internet« . Mais si le compte du dit client a été piraté, facile pour le voleur d’usurper la communication.

Cas dramatiques !

Les deux derniers cas en date de piratage sont dramatiques. Le premier, un homme de la Drome a découvert que ses 18.840 euros de son compte s’étaient envolés. Le filoutage a permis au pirate de taper dans le livret de sa victime et celui de sa famille ! Le SMS de la Caisse d’Epargne permettant le virement avait été envoyé sur le portable du voleur. Ce dernier avait réussi la modification.

Chez SFR, le ver était dans le fruit

Plus inquiétant encore, l’affaire que vient de résoudre, non sans mal, l’opérateur SFR. Début juin, SFR découvrait qu’un de ses employés avait piraté les cartes sim de deux retraités de Saint-Amans Soult (Tarn). Un des employés du groupe SFR avait piraté leurs téléphones, depuis le Maghreb. Bilan, plusieurs milliers d’euros envolés. D’abord sous forme d’appels téléphoniques qui auront coûtés aux aînés plus de 2.000 euros ; Ensuite, plus de … 28.000€. Le pirate a réussi, aussi, à intercepter les SMS envoyés par le groupe AXA banque. Des SMS qui validaient les virements des pensions des deux victimes du Tarn. Les cyber gendarmes sont sur l’affaire. Un autre cas aurait été détecté en France.

Que faire ?

Les banques et les opérateurs téléphoniques vont se réunir la semaine prochaine, à Paris, pour tenter de contrer le phénomène. Une communication interne aux employés des banques, un demande écrite et un appel téléphonique au client devrait déjà être un rempart efficace ! Du côté des clients, votre banque, FAI… ne vous réclameront JAMAIS vos identifiants de connexion, alors arrêtez de les donner !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. TheCyberSeb Reply

    Une petite coquille : « taper dans le livret de sa victime et celui de sa faille ».

  2. darthbob Reply

    Sait-on si la Banque de cet homme de la Drôme va le rembourser pour avoir failli au niveau du contrôle d’identité lors de la modification du numéro de téléphone ?

    Je trouverai anormal que cet homme porte le chapeau… Certes il y a eu fishing mais ce n’est qu’un élement du vol.

    • Damien Bancal Reply

      La banque rembourse, une fois la plainte déposée et les constatations effectuées. Cependant, certaines banques commencent à montrer les dents en mettant en avant que leurs clients n’ont pas suffisamment fait attention.

  3. Pingback: ZATAZ Magazine » Boutiques en ligne : meilleures amies des pirates ?

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.