Carte bancaire : voici la nouvelle fraude qui menace votre compte

Par Vincent MIGNOT
Publié le jeudi 3 février 2022 à 18h08
7 commentaires

homme inquiet au téléphone — © InsideCreativeHouse - stock.adobe.com

La généralisation de l'authentification forte a permis de faire baisser la fraude aux paiements en ligne par carte bancaire. Vigilance toutefois : les fraudeurs ont déjà trouvé des parades. Voici comment les contrer.

C'est une bonne nouvelle. Selon la Banque de France, les paiements à distance (principalement sur internet) par carte bancaire n'ont jamais été aussi sûrs depuis qu'elle surveille la fraude aux moyens de paiement, c'est-à-dire depuis 2013. Au 1er trimestre 2021, le taux de fraude de ces achats effectués à distance est tombé à 0,149%, contre 0,174% en 2020. Soit un euro détourné pour 671 euros dépensés.

Cette embellie s'explique. Elle est liée à la généralisation, depuis fin 2021, de l'authentification forte de ces paiements, à l'aide de l'application bancaire de sa banque ou d'un code à usage unique envoyé par SMS couplé à un code fixe. « Le bilan est très satisfaisant », se félicite Julien Lassalle, chef du service de la surveillance des moyens de paiement scripturaux à la Banque de France, à l'occasion d'un point sur les dernières tendances en matière de fraude. « L'authentification forte a permis de compliquer la vie des fraudeurs ». Elle n'a pas pour autant réglé le problème. Ce qui signifie qu'il faut rester vigilant.

Manipulation et mise sous pression

Les cybercriminels, en effet, ont des ressources. Si l'authentification a permis de contrarier certaines fraudes, la Banque de France alerte sur l'émergence de nouvelles techniques fondées sur la manipulation et la mise sous pression de la victime. Elles ciblent en priorité des personnes âgées ou peu à l'aise avec le numérique, mais également « des jeunes cadres qui travaillent dans des entreprises du CAC 40 et qui se font avoir parce que la qualité de la manipulation exercée par le fraudeur est parfois remarquable », explique Julien Lassalle. En voici le mode opératoire.

1er temps : le fraudeur collecte des données sur sa cible, par le biais d'attaques informatiques (faux courriels, logiciels espions) ou de recherches sur les réseaux sociaux. Objectif : se rendre le plus crédible possible au moment de contacter sa victime.

2e temps : le fraudeur appelle directement sa cible au téléphone, en se faisant passer pour un conseiller bancaire. Pour crédibiliser le coup de fil, il utilise une technique dite de spoofing, qui permet d'usurper un numéro de téléphone. Il met la victime sous pression, en prétextant la détection d'une brèche de sécurité ou une tentative de fraude qui demandent une réaction immédiate.

3e temps : le fraudeur demande à sa cible de valider des opérations grâce à ses moyens d'authentification forte. Il prétexte un test de sécurité ou une annulation d'opération. Cela lui permet en fait d'authentifier un achat sur internet, l'ajout d'un bénéficiaire de virement, la modification d'un plafond de découvert autorisé ou encore l'enrôlement de la carte de la cible dans un dispositif de paiement mobile. Dans tous les cas, le résultat est le même : l'accès au compte bancaire n'est plus sécurisé et le fraudeur peut se servir. Pire, dans ce cas de figure, la banque risque de refuser d'indemniser la victime, prétextant qu'elle a fait preuve de négligence.

Deux grands principes à respecter

Pour éviter de vous retrouver dans cette situation, il faut donc redoubler de vigilance et appliquer systématiquement deux grands principes :

ne jamais valider une opération dont vous n'êtes pas à l'initiative : votre banque ne vous demandera jamais de le faire, que ce soit à des fins de test ou en réponse à une fraude ;
ne jamais communiquer des codes de sécurité à un tiers : ces informations sont aussi sensibles que le code de votre carte.

Si vous êtes confrontés au type de coup de fil décrit ci-dessus et que vous êtes incapable de déterminer si le risque est réel, raccrochez sur le champ et contactez votre banque par les canaux que vous utilisez habituellement : l'agence, le téléphone en utilisant le numéro fourni par votre banque et déjà utilisé par le passé, l'application mobile ou le site web, en passant par un favori ou un moteur de recherche. Et bien sûr, ne cliquez jamais sur un lien envoyé par courriel ou SMS.

Comment obtenir une carte bancaire gratuite ?

Vincent MIGNOT

Après une maîtrise d’Histoire puis une maîtrise en Sciences de l’information et de la communication, Vincent MIGNOT devient journaliste en... Lire la suite

Suivre Vincent

Partager cet article

Voir plus d'actualités sur la carte bancaire

Actualités carte bancaire

BNP Paribas : un changement de taille sur les cartes bancaires Visa

Voici 7 petits secrets à connaître sur la puce de votre carte bancaire

Carte bancaire à puce : comment cette invention française a conquis le monde

Vague de piratages de comptes bancaires chez LCL

LCL : ce qui change dès maintenant sur les cartes Visa Premier

Carte bancaire : voici l'innovation qui va vous simplifier la vie pour les achats en ligne

Nickel : deux nouveautés très attendues par les clients viennent d'arriver

Commentaires

Publié le 4 février 2022 à 08h15 - #1Jean13

Homme
13
67 ans

Vécu tout récemment :
Sur mon espace-client d'un opérateur de téléphonie mobile en France, je règle par CB une partie du prix d'un nouveau téléphone.
Authentification forte, tout est ok.
Cette carte n'avait jamais été utilisée auparavant, sauf un paiement il y a 18 mois dans un commerce en ville pour l'activer.
4 jours après, je reçois un sms de ma banque me demandant d'authentifier mon achat de 697,89 € sur le site Air Caraïbes, an saisissant le code de 8 chiffres qui m'est proposé !
Bien évidemment, j'efface le sms, n'ayant rien commandé ou réglé avec cette CB !
Seconde réception quelques minutes après, puis encore 1 fois 3 jours après !
J'ai signalé le problème à mon opérateur téléphonique lui disant que mon numéro de CB avait été piraté : réponse = voyez avec votre banque !
Bah, non, vu que je n'ai pas validé le débit, ma banque ne verra rien !
J'insiste en lui précisant bien que cette CB n'avait jamais été utilisée ailleurs, et que quelqu'un siphonne les numéros de CB de leurs clients, rien n'y fait, mon interlocutrice ne veut rien savoir et pas de réponse à ma demande d'un lien ou d'une adresse mail de chez eux afin de signaler ce problème gravissime...
Soyez donc très vigilant !!!

Publié le 4 février 2022 à 15h14 - #4PUBLIUSCUM

Homme
NICE

Publié le 4 février 2022 à 15h05 - #3PUBLIUSCUM
HommeNICE71 ans
Bonjour Jean 13,
Merci pour votre témoignage édifiant qui peut évoquer un passage de l'article indiquant "qu'il faut adopter pour principe de ne jamais VALIDER une opération dont nous ne sommes pas à l'ORIGINE",et de couper systématiquement toute communication téléphonique non programmée sauf à vérifier, le cas échéant, l'adresse et l'authenticité du numéro de la Société appelante en prenant soin d'appeler SOI MÊME le dit numéro.( N.B. : Attention au harcèlement téléphonique intolérable, que nous subissons tous au quotidien, et qui a pour effet d'agir sur notre vigilance, en dépit du service "BLOCTEL"dans l'ensemble inefficient !)
Il apparaît une fois de plus que vos interlocuteurs de l'opérateur, (ou autres), n'ont voulu en aucun cas assumer leurs responsabilités en initiant une enquête sur cette fuite de données, dont vous auriez pu subir par conséquent l'entière responsabilité.
Cette façon d'agir inacceptable est en passe de devenir habituelle avec la généralisation des applications de l'intelligence artificielle, qui permet à bien des sociétés de se défausser de leurs responsabilités, au préjudice de leurs clients.
Dans votre cas je pense qu'il est impératif de demander à votre Banque d'ouvrir un NOUVEAU compte bancaire, et de clôturer en tout cas définitivement votre compte actuel présentant des risques POTENTIELS, puisque susceptible d'être constamment piraté.
Il est inadmissible en effet que l'on vous oppose une fin de non recevoir après votre signalement demandant à l'évidence et d'office une enquête approfondie !!!
Gardons à l'esprit que l'on ne doit jamais transiger ou être passif avec les problèmes de sécurité toujours plus nombreux.

Publié le 4 février 2022 à 23h49 - #5viktor

PARIS

@PUBLIUSCUM n'importe quoi...
1/Les commerçants ont trop à perdre sur une faille/fuite dans leur système de paiement. Ce n'est pas parce que l'interlocuteur du service client se contente de renvoyer vers la banque.
Hé oui, il faut insister, il faut se montrer ferme quitte à hausser le ton et exiger une escalade du problème au manager sous peine de communiquer la faille à la presse : le service client ne peut pas vous raccrocher au nez, c'est juste à vous de dire que vous attendez une réponse satisfaisante à votre problème.
2/Clôturer son compte parce que le numéro de la CB aurait été compromis ? Il n'est même pas besoin de changer de CB. Le seul risque serait d'avoir à contester des opérations non authentifiées pour obtenir, à coup sûr, le remboursement (et donc le remplacement gratos de la CB). Toutes les banques françaises sont très carrées sur la sécurité, elles ne vont juste pas s'en vanter (c'est interdit, ce serait à double-tranchant et c'est de toute façon une obligation réglementaire).
@jean13 La banque (avec le réseau CB ou Visa ou Mastercard utilisé) voit la tentative de paiement puisqu'elle génère la demande de confirmation avec l'authentification forte. C'est donc bien la solution la plus pertinente (et rapide) que de contacter sa banque pour leur signaler un numéro compromis, le commerçant suspect de laxisme et obtenir une nouvelle carte rapidement (quand les clients ne sont pas au courant que leur numéro a potentiellement fuité les banques ne stressent pas leurs clients et se contentent de surveiller de plus près leur transactions sans changer la CB en urgence).

Publié le 5 février 2022 à 08h17 - #6Jean13

Homme
13
67 ans

Bonjour PUBLIUSCUM et Viktor.
Merci pour vos commentaires.
J'ai rendez-vous le 9 avec la banque et je vais leur exposer le souci !
Effectivement, la banque devrait avoir la traçabilité de ce paiement (qui n'a pas abouti puisque bien sur je n'avais pas rentré le code 8 chiffres reçu par sms).
Oui, remplacement de la CB, mais pas de clôture du compte puis nouveau compte avec un autre numéro, c'est la CB qui a été piratée, pas le compte auquel elle est associée.
Je reviendrai ici indiquer ce qui sera ressorti du RdV,
Cordialement

Publié le 5 février 2022 à 09h48 - #7JessicaB acc JessAVelo

Finistère Nord
56 ans

@Jean13 ça aurait été bien que vous nous donniez le nom de cet opérateur indélicat au point qu'il ne cherche même pas à régler le problème.

Publié le 8 février 2022 à 08h31 - #9Jean13

Homme
13
67 ans

Je pensais pourtant avoir tout compris...

Publié le 9 février 2022 à 13h24 - #10PUBLIUSCUM

Homme
NICE

@VIKTOR Le 09 Fév 2022
"Le seul risque serait d'avoir à contester des opérations non authentifiées pour obtenir, à coup sûr, le remboursement (et donc le remplacement gratos de la CB)."???
Il est nettement préférable d'éviter de devoir contester des opérations non authentifiées représentant une perte de temps et d'énergie inutiles : c'est la moindre des choses.......convenons-en !

Effectivement si le problème ne concerne que la CB ,sont remplacement est en effet très simple et "gratos"(façon de parler lorsque l'on sait le montant à régler pour les packages de frais pour détention de cartes bancaires !!!)
Le piratage potentiel de quelque compte bancaire que ce soit est toujours possible,tant les hackers disposent de plus en plus de moyens et de connaissances informatiques pour accéder aux comptes des clients.
Il convient donc d'adopter une attitude rigoureuse dans tous les cas lors de l'utilisation de sa CB, (qui ne doit jamais être perdue de vue lors des paiements),et de masquer systématiquement le cryptogramme,( qui ne doit JAMAIS être communiqué à la légère à quiconque), avec une pastille adhésive.
Par ailleurs il est devenu banal d'effectuer des achats sans divulguer son cryptogramme.
Les paiements sécurisés avec double authentification ont en effet permis de réduire les malversations de manière drastique,mais le vol des données reste cependant très préoccupant car les méthodes employées par les hackers sont toujours plus sophistiquées et impliquent donc la plus grande prudence.