Arnaque en ligne très élaborée avec un faux-conseiller LCL !

Bonjour,

Ce type d’arnaque ou phishing est connue.

Je vous invite à contacter votre agence bancaire et à faire un signalement sur le portail dédie, internet-signalement.gouv.fr.

Voir les ressources : Investissements douteux ou très risqués : ressources pratiques

et : https://www.economie.gouv.fr/dgccrf/Pub … ameconnage

Cordialement,

Eric

Dernière modification par EricB (18/10/2021 18h44)

@JMeuret : Il est fort probable que l’attaquant dispose d’un logiciel troyen/keylogger sur l’ordinateur de la victime lui permettant de récupérer les informations du compte en banque de la victime et son mot de passe, mais il ne peut probablement pas ajouter de bénéficiaire ou faire de virement sans authentification "forte" (notez les guillemets) par SMS.

Donc en se faisant passer pour un gentil conseiller qui signale des virements suspects, il peut :
- avoir l’opportunité de faire le virement en question…
- endormir la vigilance de la victime car lorsqu’elle constatera le virement frauduleux, elle pensera que la banque s’en occupe déjà

Ce n’est pas une fraude très complexe à mettre en œuvre, y compris le spoofing du numéro de téléphone.

Généralement l’argent ainsi dérobé transite sur le compte d’autres victimes : celles qui répondent aux e-mails "Comment gagner 2000€/mois depuis chez soi sans rien faire" et qui se retrouvent à servir de mule pour l’encaissements de chèques ou virements frauduleux.

Je ne sais pas pourquoi aucune banque française ne fournit de tokens OTP comme HSBC (et la plupart des  banques asiatiques). C’est à la fois plus sûr qu’un SMS (qui peut être compromis), et le client sait qu’il ne doit en aucune circonstance fournir de codes OTP en dehors de l’utilisation du site, ce qui rend les tentatives de fraudes évidentes.

Je comprends comme doubletrouble : ce qui est probable, c’est que l’arnaqueur, au moment où il téléphone, a déjà accès à l’interface de gestion internet du compte en banque de la victime (il a obtenu les codes via phishing, keylogger ou autre). D’où le fait qu’il sait plein de choses sur elle : son nom, le nom de son conseiller bancaire, le numéro pour faire opposition, etc.

Pour ajouter un destinataire de virement puis lui faire un gros virement, l’arnaqueur a besoin de codes de confirmation d’authentification forte, que la victime doit recevoir par SMS puis lui communiquer.

D’où "il vous annonce que vous allez recevoir un numéro de confiance par SMS depuis 38984 ou 38005 et vous dit qu’il va vous rappeler et vous devrez fournir ce numéro de confiance pour qu’il puisse bloquer les comptes".

En fait, le "numéro de confiance", c’est le code qui permet de faire le virement. Quand la victime croit communiquer le code qui va permettre de "bloquer les comptes", il s’agit plutôt de "vider les comptes".

Qu’est ce qui vous fait dire que c’est une arnaque pour l’instant ?
Quand j’étais client LCL, j’ai aussi reçu ce type d’appel pour me prévenir de transactions suspectes. Et il y avait effectivement des transactions CB frauduleuses réalisés aux états unis. Je leur ai confirmé que je n’en été pas à l’origine et ils ont bloqué ma CB.
J’ai ensuite lister les transactions que je contestait et ils m’ont remboursé.
J’ai trouvé ce service plutôt efficace.

Après avoir lu ça, je suis allé lire mes vieux SMS (je suis chez Fortuneo). Je constate qu’il y a un an, ceux-ci commençaient par la mention criée en majuscules "NE DONNEZ JAMAIS CE CODE PAR TÉLÉPHONE", et qu’ils ont changé de forme cette année. Désormais le code est en tête du message lisible directement sur l’écran du téléphone sans aller plus avant ("639578 est le code Fortuneo pour valider votre achat"), puis que le SMS se poursuit ("de 21,00 EUR sur le site machitruc. Ne communiquez jamais ce code par téléphone") mais bien sûr que la fin n’est lisible qu’en allant afficher la totalité du texto.

Ce réordonnancement  me semble avoir conduit à une dégradation de la sécurité, et doublement : je suis davantage vulnérable à la manoeuvre décrite plus haut, mais aussi quelqu’un qui a volé mon téléphone peut lire le code confidentiel sans avoir à déverrouiller l’écran. Le bénéfice en regard est maigre : je n’ai pas à déverrouiller l’écran pour lire le code. Choix surprenant, tant on a l’impression que tout évolue au bénéfice de la sécurité et au détriment de la facilité d’utilisation, et choix assez discutable me semble-t-il en l’espèce.

@GillesDeNantes

Je ne sais pas si c’est le cas pour Fortunéo, mais la réorganisation du corps du SMS avec le code
en tête me fait penser au mécanisme pour fluidifier l’opération sur smartphone. Lorsque vous effectuez
l’opération sur votre mobile, votre navigateur/l’application détecte la réception du SMS et "colle" automatiquement
le code pour poursuivre le processus sans que vous ayez à ouvrir le SMS et reporter le code.

Vous n’aurez normalement plus ce "problème" à long terme car l’authentification par code OTP SMS
n’est pas suffisante pour la DSP2. Pour info avant le COVID il était prévu que ce moyen de
sécurité soit supprimé fin 2020.

Avec la DSP2 c’est l’authentification forte via l’application installée sur un smartphone de confiance
qui est priorisée. Pour les clients qui ne sont pas équipés en smartphone il existera toujours des
alternatives mixant OTP (obtenu via un boitier/token) combiné à un code fixe. Mais il sera
normalement possible de continuer avec des OTP SMS s’ils sont couplé à un code fixe (ce qui n’était pas le cas par le passé).

@zeb
D’autant plus que ce mode opératoire ne touche pas que les clients du LCL c’est dans toutes les banques.

Un maliciel installé via un lien reçu par SMS, si je comprends bien ? Ce qui veut dire qu’il faut être particulierement vigilant à ne pas cliquer sur les liens recus comme ’votre colis est arrivé, cliquez ici pour le récupérer" ?

xazh a écrit :

A priori, le seul moyen de supprimer le problème est la réinitialisation intégrale du téléphone.

Pour ma part, j’ai résolu le problème depuis longtemps, avec ce genre de téléphone.

Pas d’accès à internet pour ce tel, donc il n’est pas possible de cliquer sur un lien pourri.

Comme quoi les choses simples…

Imessage du LCL a écrit :

Madame, Monsieur,
Des fraudeurs peuvent essayer de gagner votre confiance en prétendant faire partie des équipes de LCL ou travailler pour le compte de LCL. Cette technique est de plus en plus courante. Les fraudeurs utilisent la peur et l’angoisse pour vous manipuler.

LCL ne vous demandera jamais vos codes personnels
ou les codes transmis par SMS.

Comment détecter un "faux" appel ?

Une personne ayant réussi à se procurer vos informations confidentielles se présente comme un collaborateur de LCL. Même si l’appel peut sembler provenir de LCL, le numéro de téléphone peut avoir été usurpé.
Cette personne vous contacte au prétexte d’une opération suspecte (achat, paiement par carte bancaire, virement, ajout d’un compte de bénéficiaire) et vous rassure en vous disant qu’il est encore possible d’annuler cette opération. Pour cela, elle vous demande de valider l’opération notifiée sur votre smartphone ou de lui communiquer vos codes personnels d’accès à la banque en ligne ou les codes transmis par SMS.
Elle peut aussi vous menacer si vous ne lui communiquez pas vos données bancaires.
Ne donnez pas suite, soyez vigilant car il s’agit d’une tentative d’escroquerie.

Et si l’attaquant faisait partie de la banque ?
La banque en ferait- elle la publicité ?
Il embauche parfois n’importe qui.

J’ai eu cette mésaventure avec un site de vente en ligne, après avoir débité ma carte pour mon achat, le montant a été re crédité sur mon compte.
Comme je n’utilise que des e-cartes, j’ai été contacté deux jours plus tard, par téléphone, pour me demander de payer mon achat, j’ai demandé un courrier et je l’attends toujours.

MarsAres a écrit :

Et si l’attaquant faisait partie de la banque ?

C’est statistiquement l’hypothèse la plus probable : Deloitte indique depuis plusieurs années que 60% des incidents de ce genre sont commis et/ou facilités par les collaborateurs d’une entreprise.

Avec le recours de plus en plus systématique à l’externalisation, il y a en bout de course beaucoup de monde avec une connaissance des processus de la banque et un accès aux données clients.

hrld a écrit :

Parce que le TOTP est très mal vu des banques 

La fraude n’est malheureusement pas qu’un problème technique, à résoudre avec une solution technique. Les schémas de fraude évoluent avec le temps. Pour s’en convaincre, il suffit par exemple de regarder les derniers rapports de la Banque de France : la fraude à la carte bancaire recule constamment avec le déploiement de l’authentification 3DS (merci la DSP2) et se reporte sur les virements.

Ce qui manque en France est un dispositif cohérent pour lutter contre les fraudes externes. Nos régulateurs n’essaient même pas et, sans surprise la situation se dégrade année après année

Dernière modification par nuitnoire (27/02/2024 11h57)

MarsAres, le 27/02/2024 a écrit :

Et si l’attaquant faisait partie de la banque ?
La banque en ferait- elle la publicité ?

Le Parisien (le journal, pas le gentillé) s’en chargera pour elle:

Cheveux poivre et sel et costume noir, Kamel avait tout pour être heureux. Titulaire d’une licence d’économie, ce Franco-Marocain est passé par la Caisse d’Épargne, HSBC et la Chaabi Bank avant de travailler pour la Milleis. Il émargeait confortablement à plus de 50 000 euros par an.

Marié depuis vingt et un ans avec une employée de mairie et père de deux grands enfants, Kamel est propriétaire de son logement en proche banlieue parisienne. Une situation et une vie de cadre plutôt aisée. Comment en est-il arrivé à entrer en contact avec les voleurs ? À cause de ses activités parallèles d’intermédiaire dans le milieu des affaires en Afrique et en Île-de-France.
Braquage de la Milleis à Paris : complice des malfrats, le banquier attiré par l?or se rêvait millionnaire - Le Parisien

Les clients qui se retournent légitimement contre l’établissement, qui se retourne contre son employé, la boucle est bouclée. Un peu différent du bracage de Spaggiari.