Des clients d'ING victimes d'une arnaque exploitant Apple Pay
Une arnaque qui tire parti d'Apple Pay vise depuis plusieurs semaines des clients de la banque ING. Sur son forum, plusieurs clients se plaignent de débits frauduleux réalisés par le biais du service d'Apple, alors que certains n'ont même pas d'iPhone. Une des victimes nous a détaillé cette arnaque bien ficelée.
Tout commence de manière plutôt classique : l'escroc appelle le client d'ING en se faisant passer pour un conseiller et lui demande de mettre à jour son mot de passe et de le lui communiquer afin de bloquer de prétendus paiements louches réalisés avec son compte à l'étranger. Les victimes expliquent toutes avoir été appelées par un numéro appartenant à ING, à savoir le 01 57 22 54 01.
L'originalité est que le faux conseiller explique que la carte du client est activée sur un appareil Apple Pay inconnu, et qu'il faut enregistrer cette carte sur le système de sécurité de la banque pour annuler ce premier appareil. C'est faux (on peut enregistrer une carte Apple Pay sur plusieurs appareils), mais si l'on n'est pas connaisseur, l'argument peut sembler crédible.
Le client de la banque reçoit alors un code d'activation par SMS pour enregistrer sa carte dans Wallet, code qu'il communique au malfaiteur au bout du fil. Le piège se referme : l'escroc enregistre sur son iPhone la carte bancaire de la victime. Il peut ensuite effectuer librement des achats sans autre vérification. Plusieurs clients ING expliquent avoir été débités de sommes allant de 2 400 € à plus de 8 000 €. En discussion avec la banque pour se faire rembourser, ils craignent des démarches longues et aboutissant potentiellement à un refus.
Contactée par nos soins, la banque a confirmé la fraude :
Nous avons bien été sollicités par quelques clients qui ont été victimes de fraude. Ces fraudes commencent le plus souvent par du phishing : les fraudeurs ont récupéré des informations sur les clients sur internet ou en se faisant passer pour des tiers de confiance lors d’appels téléphoniques.
Concernant le numéro de téléphone utilisé par les escrocs qui est identique au sien, la banque explique que ceux-ci « utilisent des sites qui proposent de choisir le numéro qui s’affiche quand on appelle, afin que ce soit le numéro d’ING qui apparaisse quand ils appellent. » Elle a publié récemment un billet de blog pour souligner cette menace. Nous l'avons vu récemment, c'est quelque chose de très facile à mettre en oeuvre pour les SMS, qui viennent de plus se loger dans les conversations existantes.
La plupart des victimes critiquent les mesures de sécurité d'ING et un problème apparent est que les clients ne sont pas en mesure de pouvoir bloquer rapidement à distance les cartes ajoutées sur Apple Pay. Celles-ci restent fonctionnelles malgré le blocage de la carte physique et les demandes d'opposition. La FAQ du site l'explique clairement :
Si votre carte a été volée ou que vous pensez être victime d’une fraude, faites opposition à votre carte directement depuis votre espace client, "rubrique carte". Vous devrez également supprimer la carte d’Apple Pay, directement depuis l’application Wallet de votre appareil afin d’éviter que des transactions puissent être réalisées. Si vous ne supprimez pas votre carte du Wallet, cette dernière sera automatiquement mise à jour à l’activation de votre nouvelle carte ING.
Pour bloquer Apple Pay, il faut donc appeler le service client, qui n'est pas joignable le week-end ou les jours fériés. Les appels frauduleux ont visiblement lieu les veilles de fermeture du service client, ce qui permet aux arnaqueurs de gagner du temps. D'après les témoignages, le service opposition (qui est lui joignable 7j/7) ne dispose pas des droits pour révoquer une carte Apple Pay.
Or, dans d'autres établissements, il est possible pour un client de bloquer à distance sa carte enregistrée dans Wallet. À la Société Générale, par exemple, on peut bloquer Apple Pay sans bloquer sa carte physique, et faire opposition stoppe Apple Pay. De même à la Banque Populaire : « La mise en opposition de votre carte rendra automatiquement inopérante dans tout Wallet votre carte virtuelle correspondant à votre carte physique. Celle-ci ne peut plus être utilisée via Apple Pay ». Chez Hello bank, la mise en opposition d'une carte bancaire physique rend indisponible la carte dans Apple Pay pendant un délai maximum de 48h.
Ce qui rend aussi l'arnaque possible, c'est que la carte virtuelle est utilisable immédiatement par le fraudeur une fois qu'il l'a enregistrée dans Wallet. Cette fonctionnalité est proposée par plusieurs banques (Boursorama, N26…) car demandée par les clients. Plus besoin d'attendre la réception de sa nouvelle carte, celle-ci est disponible sur son iPhone avant d'être fabriquée. La politique de renouvellement dépend des établissements : certaines banques exigent un paiement physique avant d'autoriser l'ajout d'une carte dans Wallet, d'autres vont les renouveler de manière instantanée tant que le contrat est actif. D'après les témoignages des victimes d'ING, cette possibilité a contribué aux arnaques. Certains clients expliquent avoir été débités via Apple Pay après l'opposition de leur carte, et d'autres alors que la nouvelle était encore en cours d'expédition.
« Dans les cas présents, il faut rappeler qu’Apple Pay n’est pas lié à une carte bancaire en particulier, mais à un « token », un identifiant unique, nous indique la banque. Ce token a visiblement été installé sur le téléphone des fraudeurs avec l’aide des informations que les clients leur ont communiquées, car le processus d’activation d’une carte dans Apple Pay est soumis à une double authentification. »
Les victimes qui ont contacté ING pour obtenir un remboursement des achats frauduleux n'ont pour l'instant pas eu de réponse positive de la banque. Questionnée, ING semble se dédouaner : « Nous rappelons régulièrement les règles de sécurité à nos clients : jamais un conseiller ING ne demandera ses codes personnels à un client [des clients assurent pourtant le contraire, ndlr], ni de faire un virement pour une quelconque raison. Nous ne pouvons qu’encourager nos clients à ne jamais donner suite à un échange avec une personne qui appelle et demande des informations personnelles ou invite à effectuer ce type d’opérations. Par ailleurs, les appels avec nos conseillers sont toujours sécurisés grâce à un mécanisme d’authentification. »
En attendant de voir l'évolution des dossiers, il y a manifestement un trou dans la raquette à corriger du côté d'ING dans la gestion du blocage d'Apple Pay.
La faille c’est plutôt l’intelligence des gens de communiquer toutes ces infos par téléphone ?
@aleskandre
Exactement. Comme en informatique, le problème est souvent entre la chaise et le clavier.😁
@aleskandre
+1
@aleskandre
Ça peut arriver à tout le monde. Mes parents s’étaient fait arnaquer par un type se faisant passer pour PayPal au téléphone. Mais dans leur cas, ils ont été remboursés par la banque.
@John McClane
Pas à tout le monde, une partie des communications venant des banques est sur le phishing et sur le fait que la dite banque ne demandera jamais d’informations telles qu’un mot de passe par téléphone. Après l’arnaque est bien ficelée, ils utilisent le numéro d’ING (quand bien même faudrait le connaître par cœur pour savoir que c’est eux).
@aleskandre
Il suffit de l’avoir enregistré dans ses contact, comme moi pour ma banque. Quand le numéro appelle, c’est « Nom de la banque » qui apparaît.
@Derw
Ça serait plus pratique de mettre le nom plutôt que « Nom de la banque » 🤣🤣🤣🤣🤣
@Ormagan
🤦♂️
@aleskandre
J’ai cru que c’était une arnaque plus subtile basée sur une faille.
Aujourd’hui, les gens trouvent normal de donner te telles informations… c’est inexplicable mais ils le font naturellement
Merci pour l’info. L’arnaque a l’air d’être subtile car le numéro de téléphone semble réel. Ça change des emails et autres SMS visant les mêmes objectifs
@CB1NOF
C'est d'ailleurs un élément qui pourrait facilement porter préjudice à ING, parce que là, y'a eu piratage chez eux !
@Link1993
Pas forcément. Il est assez simple en réalité d’afficher ce que tu veux sur le terminal en face lors de l’appel. C’est comme ça que tu reçois par exemple des messages de « Google » et non d’un certain numéro. Imagine maintenant qu’au lieu de choisir Google, tu décides d’afficher un numéro. Et le tour est joué. ING n’y peut trop rien dans ce cas.
Relis l'article, il est très facile de faire afficher n'importe quel numéro en tant qu'appelant.
Ce n'est en RIEN lié à la banque, c'est lié aux opérateurs télécom qui sont incapables techniquement de sécuriser le numéro de l'appelant (c'est un problème de télécom international).
Dans le même ordre d'idée, attention à ne pas vous faire subtiliser vos affaires contenant carte bancaire et iPhone car il suffit de quelques dizaines de secondes pour installer votre carte bancaire dans le wallet d'un autre iPhone, le code de validation arrivant par sms sur votre iPhone étant lisible directement sur l'écran sans avoir à déverrouiller l'iPhone.
Ensuite vous risquez de constater des paiements ApplePay sans comprendre ce qui se passe
@SyMich
Ce point rappelle l’importance de désactiver l’aperçu des notifications sans authentifications (Touch ID ET Face ID)
Par défaut l'aperçu des sms s'affiche sur l'écran verrouillé
@SyMich
Pas du tout.
Mais si...
@SyMich
Non😉 Et j’ai encore vu avec l’iPhone d’un ami fraîchement acheté 😉
Arrêtez de dire n’importe quoi 😉
@SyMich
Ça dépend. Moi avec FaceID, tant que la reconnaissance n’est pas active et validé, les notifications ne dévoilent pas ce qu’elles contiennent. C’est un réglages à choisir dans les options FaceID. Donc même iPhone volé et verrouillé, le malfaiteur ne peut lire le contenu des notifications….
Une écrasante majorité d'utilisateurs d'iPhone laisse l'affichage des notifications et des sms sur écran verrouillé... c'est tellement pratique.
Par contre, il faudrait que les codes de validation envoyés par sms ne soient pas visibles dans les premières lignes du sms s'affichant ainsi (c.est une règle de sécurité que l'on s'impose chez nous quand on fait des développements impliquant des sms de validation)
@SyMich
« Par contre, il faudrait que les codes de validation envoyés par sms ne soient pas visibles dans les premières lignes du sms s'affichant ainsi. »
Ça ne résoudrait que partiellement le problème puisque si l’on refuse cette sécurité (qui ne dévoile le contenu que après validation biométrique), un appui long sur la notification on la voit en entier…
@Florian Nicolin
"C’est un réglages à choisir dans les options FaceID. "
C’est dans Notifications en fait.
@Florian Nicolin
Oui c’est un réglage méconnu mais indispensable qui devrait être activé par défaut !
@R-APPLE-R
Il est activé par défaut il me semble 😉
@Krysten2001
Non je ne crois pas mais je me trompe peut-être 🤔
@SyMich
Point important désactiver Wallet du centre de contrôle d’iOS.
Pas nécessairement. Dans le cas de cette subtilisation de carte ApplePay, ce dont a besoin le voleur c'est la carte physique et le code de validation reçu par sms sur l'iPhone du propriétaire de la carte bancaire.
Oui j’avais compris mais je disais ça par principe. Ça permet d’éviter les déconvenues ;)
@fredsoo
Quelles déconvenues ?
@fredsoo
Il manquera ton code, ton empreinte ou ton visage pour valider un éventuel paiement tu es au courant ?
@SyMich
Pas forcément. Des banques veulent que l’app de la banque soit installer.
Encore trop rare. Pour valider l'activation d'une carte ApplePay, ca passe dans la très grande majorité des cas par un code reçu par sms.
@SyMich
Oui mais quand on veut enregistrer la carte dans Apple Pay, la majorité demande à le faire dans l’application de la banque la première fois et quand on change d’appareil,… on n’a besoin que du code et d’un code par SMS.
Vous ne me semblez pas très au fait des procédures de sécurité des banques...
@SyMich
Sûrement déjà plus que vous 😉
Petit rigolo 🤦♂️
Vous n'étiez pas né que je développais déjà pour les plus grands groupes bancaires mondiaux...
Et c'est l'une de mes équipes qui a accompagné la 1re banque française à prendre en charge ApplePay pour adapter leurs systèmes.
Mais bon, quand je lis vos autres interventions sur ce site, je ne suis pas surprise.
@SyMich
Je l’ai vu sur plusieurs blagues que je possède 😉
Première fois -> Depuis l’application de la banque.
Deuxième fois quand on a un nouvel appareil iOS ou qu’on veut faire une restauration -> IOS demande de mettre son code CVV et de mettre le code par SMS reçu 😉
C'est psychologique, les gens pensent que cest bien ING donc ils ne sont plus méfiants ... En plus tu leur parles de carte piratée, ça les paniquent.
"Le client de la banque reçoit alors un code d'activation par SMS pour enregistrer sa carte dans Wallet" JAMAIS, jamais, jamais, on ne communique, JAMAIS un code d'authentification en deux étapes, JAMAIS.
@lmouillart
Pourtant c'est ce que demandent de faire de plus en plus de services clients légitimes. Pour s'assurer de la bonne identité de l'interlocuteur.
Du coup tu captes pas si c'est un arnaqueur.
@fousfous
Oui, mais il y a un mais !
Il n’y a jamais un code à dévoiler quand on reçoit un appel.
C’est toujours lorsque l’on appelle et que l’on souhaite accéder à son compte qu’une vérification est faite.
Ceci est une grande différence.
Mais dans le contexte du JAMAIS, c’est vrai qu’il y a l’exception ci-dessus.
@lmouillart
""Le client de la banque reçoit alors un code d'activation par SMS pour enregistrer sa carte dans Wallet" JAMAIS, jamais, jamais, on ne communique, JAMAIS un code d'authentification en deux étapes, JAMAIS."
Ca se fait pourtant lorsque tu as un conseiller au telephone qui veut verifier ton identite, il te demandera les 4 derniers chiffres de ta cb, et te demandera de valider avec un code a 4 ou 6 chiffres recu par texto. Seon les banques, tu passes sur un robot, quand c’est bien automatisé, mais parfois, c’est tres manuel.
@Paquito06
Oui, mais seulement quand c'est toi qui es à l'origine de l'appel et de la demande.
@Paul Position
"Oui, mais seulement quand c'est toi qui es à l'origine de l'appel et de la demande."
Exact, mais du coup ca se fait. Le probleme c’est qu’un client ne peut pas verifier l’identite lors d’un appel du correspondant (chose qu’on fait en entreprise avant de partager des infos en demandant le code du jour par exemple), or le correspondant peut toujours verifier celle du client.
Oui enfin si on ne peut pas bloquer la carte auprès de la banque c'est clairement la banque qui est fautive et qui doit rembourser.
Soyez vigilants, ING n’est pas la seule banque visée…
@Pml5475
J’ai un peu envie de dire qu’il faut le vouloir pour se faire avoir quand même…
@cybercooll
Je peux vous assurer que sur la masse de tentative, il y a suffisamment de gens qui filent leur données sans se poser de questions pour que la manœuvre soit intéressante pour les fraudeurs…
Pages