Ouvrir le menu principal

iGeneration

Recherche

Des clients d'ING victimes d'une arnaque exploitant Apple Pay

Félix Cattafesta

vendredi 23 juillet 2021 à 17:01 • 97

Services

Une arnaque qui tire parti d'Apple Pay vise depuis plusieurs semaines des clients de la banque ING. Sur son forum, plusieurs clients se plaignent de débits frauduleux réalisés par le biais du service d'Apple, alors que certains n'ont même pas d'iPhone. Une des victimes nous a détaillé cette arnaque bien ficelée.

Tout commence de manière plutôt classique : l'escroc appelle le client d'ING en se faisant passer pour un conseiller et lui demande de mettre à jour son mot de passe et de le lui communiquer afin de bloquer de prétendus paiements louches réalisés avec son compte à l'étranger. Les victimes expliquent toutes avoir été appelées par un numéro appartenant à ING, à savoir le 01 57 22 54 01.

L'originalité est que le faux conseiller explique que la carte du client est activée sur un appareil Apple Pay inconnu, et qu'il faut enregistrer cette carte sur le système de sécurité de la banque pour annuler ce premier appareil. C'est faux (on peut enregistrer une carte Apple Pay sur plusieurs appareils), mais si l'on n'est pas connaisseur, l'argument peut sembler crédible.

Une carte ING enregistrée dans Wallet

Le client de la banque reçoit alors un code d'activation par SMS pour enregistrer sa carte dans Wallet, code qu'il communique au malfaiteur au bout du fil. Le piège se referme : l'escroc enregistre sur son iPhone la carte bancaire de la victime. Il peut ensuite effectuer librement des achats sans autre vérification. Plusieurs clients ING expliquent avoir été débités de sommes allant de 2 400 € à plus de 8 000 €. En discussion avec la banque pour se faire rembourser, ils craignent des démarches longues et aboutissant potentiellement à un refus.

Contactée par nos soins, la banque a confirmé la fraude :

Nous avons bien été sollicités par quelques clients qui ont été victimes de fraude. Ces fraudes commencent le plus souvent par du phishing : les fraudeurs ont récupéré des informations sur les clients sur internet ou en se faisant passer pour des tiers de confiance lors d’appels téléphoniques.

Concernant le numéro de téléphone utilisé par les escrocs qui est identique au sien, la banque explique que ceux-ci « utilisent des sites qui proposent de choisir le numéro qui s’affiche quand on appelle, afin que ce soit le numéro d’ING qui apparaisse quand ils appellent. » Elle a publié récemment un billet de blog pour souligner cette menace. Nous l'avons vu récemment, c'est quelque chose de très facile à mettre en oeuvre pour les SMS, qui viennent de plus se loger dans les conversations existantes.

Pour être crédible, les fraudeurs se font passer pour ING par SMS. On peut le voir aux quelques fautes d'orthographes.

La plupart des victimes critiquent les mesures de sécurité d'ING et un problème apparent est que les clients ne sont pas en mesure de pouvoir bloquer rapidement à distance les cartes ajoutées sur Apple Pay. Celles-ci restent fonctionnelles malgré le blocage de la carte physique et les demandes d'opposition. La FAQ du site l'explique clairement :

Si votre carte a été volée ou que vous pensez être victime d’une fraude, faites opposition à votre carte directement depuis votre espace client, "rubrique carte". Vous devrez également supprimer la carte d’Apple Pay, directement depuis l’application Wallet de votre appareil afin d’éviter que des transactions puissent être réalisées. Si vous ne supprimez pas votre carte du Wallet, cette dernière sera automatiquement mise à jour à l’activation de votre nouvelle carte ING.

Pour bloquer Apple Pay, il faut donc appeler le service client, qui n'est pas joignable le week-end ou les jours fériés. Les appels frauduleux ont visiblement lieu les veilles de fermeture du service client, ce qui permet aux arnaqueurs de gagner du temps. D'après les témoignages, le service opposition (qui est lui joignable 7j/7) ne dispose pas des droits pour révoquer une carte Apple Pay.

Or, dans d'autres établissements, il est possible pour un client de bloquer à distance sa carte enregistrée dans Wallet. À la Société Générale, par exemple, on peut bloquer Apple Pay sans bloquer sa carte physique, et faire opposition stoppe Apple Pay. De même à la Banque Populaire : « La mise en opposition de votre carte rendra automatiquement inopérante dans tout Wallet votre carte virtuelle correspondant à votre carte physique. Celle-ci ne peut plus être utilisée via Apple Pay ». Chez Hello bank, la mise en opposition d'une carte bancaire physique rend indisponible la carte dans Apple Pay pendant un délai maximum de 48h.

Ce qui rend aussi l'arnaque possible, c'est que la carte virtuelle est utilisable immédiatement par le fraudeur une fois qu'il l'a enregistrée dans Wallet. Cette fonctionnalité est proposée par plusieurs banques (Boursorama, N26…) car demandée par les clients. Plus besoin d'attendre la réception de sa nouvelle carte, celle-ci est disponible sur son iPhone avant d'être fabriquée. La politique de renouvellement dépend des établissements : certaines banques exigent un paiement physique avant d'autoriser l'ajout d'une carte dans Wallet, d'autres vont les renouveler de manière instantanée tant que le contrat est actif. D'après les témoignages des victimes d'ING, cette possibilité a contribué aux arnaques. Certains clients expliquent avoir été débités via Apple Pay après l'opposition de leur carte, et d'autres alors que la nouvelle était encore en cours d'expédition.

« Dans les cas présents, il faut rappeler qu’Apple Pay n’est pas lié à une carte bancaire en particulier, mais à un « token », un identifiant unique, nous indique la banque. Ce token a visiblement été installé sur le téléphone des fraudeurs avec l’aide des informations que les clients leur ont communiquées, car le processus d’activation d’une carte dans Apple Pay est soumis à une double authentification. »

Les victimes qui ont contacté ING pour obtenir un remboursement des achats frauduleux n'ont pour l'instant pas eu de réponse positive de la banque. Questionnée, ING semble se dédouaner : « Nous rappelons régulièrement les règles de sécurité à nos clients : jamais un conseiller ING ne demandera ses codes personnels à un client [des clients assurent pourtant le contraire, ndlr], ni de faire un virement pour une quelconque raison. Nous ne pouvons qu’encourager nos clients à ne jamais donner suite à un échange avec une personne qui appelle et demande des informations personnelles ou invite à effectuer ce type d’opérations. Par ailleurs, les appels avec nos conseillers sont toujours sécurisés grâce à un mécanisme d’authentification. »

En attendant de voir l'évolution des dossiers, il y a manifestement un trou dans la raquette à corriger du côté d'ING dans la gestion du blocage d'Apple Pay.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple serait en pole position pour diffuser la F1 aux États-Unis avec une offre à 150 millions 🆕

07:56

• 16


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 20:50

• 14


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:15

• 14


Les produits Wemo de Belkin sont poussés à la retraite sauf s'ils utilisent HomeKit

11/07/2025 à 19:30

• 5


Prime Day : découvrez les joies de DockKit avec de belles promotions

11/07/2025 à 16:45

• 0


Orange fait des essais de 5G dans la bande des 6 GHz, et les résultats sont intéressants

11/07/2025 à 15:37

• 6


Prime Day : des traqueurs Localiser dès 12 €, des étuis à lunettes, des porte-passeports, des cartes pour le portefeuille, les meilleurs accessoires en promotion

11/07/2025 à 15:10

• 11


Nintendo peut bannir une Switch 2 à cause d'un jeu acheté d'occasion (mais ce n'est pas toujours définitif)

11/07/2025 à 11:31

• 51


France Identité : des correctifs disponibles pour la carte grise et les grands iPhone

11/07/2025 à 10:31

• 14


iPad, MacBook Pro/Air, iPhone 17e : tous les nouveaux produits attendus d’ici le printemps 2026

11/07/2025 à 06:46

• 21


Notre top 5 des accessoires à avoir pendant les vacances (et en promo) !

10/07/2025 à 21:40

• 23


Apple échappe à un procès pour entente illégale sur Apple Pay aux USA

10/07/2025 à 21:15

• 9


Test de la sonnette vidéo G410 d’Aqara : toujours sur piles, mais avec un meilleur angle

10/07/2025 à 20:30

• 7


Une nouvelle fuite présente la possible maquette de l’iPhone 17 Pro noir

10/07/2025 à 20:00

• 79


Samsung aurait lancé la production de l’écran du futur iPhone pliable

10/07/2025 à 14:41

• 10


Guide d'achat : les meilleurs accessoires pour filmer vos vacances avec un iPhone

10/07/2025 à 14:04

• 3