Des clients d'ING victimes d'une arnaque exploitant Apple Pay
Une arnaque qui tire parti d'Apple Pay vise depuis plusieurs semaines des clients de la banque ING. Sur son forum, plusieurs clients se plaignent de débits frauduleux réalisés par le biais du service d'Apple, alors que certains n'ont même pas d'iPhone. Une des victimes nous a détaillé cette arnaque bien ficelée.
Tout commence de manière plutôt classique : l'escroc appelle le client d'ING en se faisant passer pour un conseiller et lui demande de mettre à jour son mot de passe et de le lui communiquer afin de bloquer de prétendus paiements louches réalisés avec son compte à l'étranger. Les victimes expliquent toutes avoir été appelées par un numéro appartenant à ING, à savoir le 01 57 22 54 01.
L'originalité est que le faux conseiller explique que la carte du client est activée sur un appareil Apple Pay inconnu, et qu'il faut enregistrer cette carte sur le système de sécurité de la banque pour annuler ce premier appareil. C'est faux (on peut enregistrer une carte Apple Pay sur plusieurs appareils), mais si l'on n'est pas connaisseur, l'argument peut sembler crédible.
Le client de la banque reçoit alors un code d'activation par SMS pour enregistrer sa carte dans Wallet, code qu'il communique au malfaiteur au bout du fil. Le piège se referme : l'escroc enregistre sur son iPhone la carte bancaire de la victime. Il peut ensuite effectuer librement des achats sans autre vérification. Plusieurs clients ING expliquent avoir été débités de sommes allant de 2 400 € à plus de 8 000 €. En discussion avec la banque pour se faire rembourser, ils craignent des démarches longues et aboutissant potentiellement à un refus.
Contactée par nos soins, la banque a confirmé la fraude :
Nous avons bien été sollicités par quelques clients qui ont été victimes de fraude. Ces fraudes commencent le plus souvent par du phishing : les fraudeurs ont récupéré des informations sur les clients sur internet ou en se faisant passer pour des tiers de confiance lors d’appels téléphoniques.
Concernant le numéro de téléphone utilisé par les escrocs qui est identique au sien, la banque explique que ceux-ci « utilisent des sites qui proposent de choisir le numéro qui s’affiche quand on appelle, afin que ce soit le numéro d’ING qui apparaisse quand ils appellent. » Elle a publié récemment un billet de blog pour souligner cette menace. Nous l'avons vu récemment, c'est quelque chose de très facile à mettre en oeuvre pour les SMS, qui viennent de plus se loger dans les conversations existantes.
La plupart des victimes critiquent les mesures de sécurité d'ING et un problème apparent est que les clients ne sont pas en mesure de pouvoir bloquer rapidement à distance les cartes ajoutées sur Apple Pay. Celles-ci restent fonctionnelles malgré le blocage de la carte physique et les demandes d'opposition. La FAQ du site l'explique clairement :
Si votre carte a été volée ou que vous pensez être victime d’une fraude, faites opposition à votre carte directement depuis votre espace client, "rubrique carte". Vous devrez également supprimer la carte d’Apple Pay, directement depuis l’application Wallet de votre appareil afin d’éviter que des transactions puissent être réalisées. Si vous ne supprimez pas votre carte du Wallet, cette dernière sera automatiquement mise à jour à l’activation de votre nouvelle carte ING.
Pour bloquer Apple Pay, il faut donc appeler le service client, qui n'est pas joignable le week-end ou les jours fériés. Les appels frauduleux ont visiblement lieu les veilles de fermeture du service client, ce qui permet aux arnaqueurs de gagner du temps. D'après les témoignages, le service opposition (qui est lui joignable 7j/7) ne dispose pas des droits pour révoquer une carte Apple Pay.
Or, dans d'autres établissements, il est possible pour un client de bloquer à distance sa carte enregistrée dans Wallet. À la Société Générale, par exemple, on peut bloquer Apple Pay sans bloquer sa carte physique, et faire opposition stoppe Apple Pay. De même à la Banque Populaire : « La mise en opposition de votre carte rendra automatiquement inopérante dans tout Wallet votre carte virtuelle correspondant à votre carte physique. Celle-ci ne peut plus être utilisée via Apple Pay ». Chez Hello bank, la mise en opposition d'une carte bancaire physique rend indisponible la carte dans Apple Pay pendant un délai maximum de 48h.
Ce qui rend aussi l'arnaque possible, c'est que la carte virtuelle est utilisable immédiatement par le fraudeur une fois qu'il l'a enregistrée dans Wallet. Cette fonctionnalité est proposée par plusieurs banques (Boursorama, N26…) car demandée par les clients. Plus besoin d'attendre la réception de sa nouvelle carte, celle-ci est disponible sur son iPhone avant d'être fabriquée. La politique de renouvellement dépend des établissements : certaines banques exigent un paiement physique avant d'autoriser l'ajout d'une carte dans Wallet, d'autres vont les renouveler de manière instantanée tant que le contrat est actif. D'après les témoignages des victimes d'ING, cette possibilité a contribué aux arnaques. Certains clients expliquent avoir été débités via Apple Pay après l'opposition de leur carte, et d'autres alors que la nouvelle était encore en cours d'expédition.
« Dans les cas présents, il faut rappeler qu’Apple Pay n’est pas lié à une carte bancaire en particulier, mais à un « token », un identifiant unique, nous indique la banque. Ce token a visiblement été installé sur le téléphone des fraudeurs avec l’aide des informations que les clients leur ont communiquées, car le processus d’activation d’une carte dans Apple Pay est soumis à une double authentification. »
Les victimes qui ont contacté ING pour obtenir un remboursement des achats frauduleux n'ont pour l'instant pas eu de réponse positive de la banque. Questionnée, ING semble se dédouaner : « Nous rappelons régulièrement les règles de sécurité à nos clients : jamais un conseiller ING ne demandera ses codes personnels à un client [des clients assurent pourtant le contraire, ndlr], ni de faire un virement pour une quelconque raison. Nous ne pouvons qu’encourager nos clients à ne jamais donner suite à un échange avec une personne qui appelle et demande des informations personnelles ou invite à effectuer ce type d’opérations. Par ailleurs, les appels avec nos conseillers sont toujours sécurisés grâce à un mécanisme d’authentification. »
En attendant de voir l'évolution des dossiers, il y a manifestement un trou dans la raquette à corriger du côté d'ING dans la gestion du blocage d'Apple Pay.
@Pml5475
Oui je m’en doute. C’est fou quand même la crédulité des gens. Enfin plus c’est gros plus ça passe…mais de là à donner le login et le mot de passe de son compte bancaire à un inconnu au téléphone!
@cybercooll
Bof, j’imagine mes parents qui n’y comprennent rien du tout à la technologie. Dans cette situation j’estime à 100% les chances qu’ils donnent le code de validation. Je suis même pas sûr que le margoulin ait besoin de leur raconter une histoire alambiquée. Bonjour, banque machin, un problème est survenu avec votre carte. Je vous envoie un code pour validé votre identité. Je suis sûr que ça serait suffisant.
@Tomtomrider
Tes parents sont dans une banque en ligne? Si ce n’est pas le cas, ils connaissent probablement leur conseiller. J’ai une banque en ligne et une banque classique. Le conseiller de la banque classique m’appelle au moins une fois par an pour discuter et je l’ai déjà vu plusieurs fois à son bureau. Il fait le forcing depuis 3 ans pour racheter mon prêt Immo, ça m’agace un peu mais il est gentil. Quand ca change le nouveau m’appelle pour se présenter. je n’ai aucun contact avec la banque en ligne et je trouverais ça louche qu’ils m’appellent. Bon je suis dans une petite ville, c’est probablement pas pareil partout.
@cybercooll
Non une banque classique. Ils n’ont plus de crédit depuis longtemps, ils ne voient jamais leur conseiller. Et puis maintenant tout passe par des « plateformes ». Bonjour, plateforme de la banque machin en charge de la sécurité des cartes bancaires, honnêtement je pense que la majorité des gens se font avoir.
@Tomtomrider
Faut changer de banque là ! Ils essaient même pas de leur vendre un service? Pea, assurance vie? Per? Un pinel? Un abo sfr? Un pins? C’est quoi cette banque? A moins qu’il n’y ait rien sur leur compte, un bon conseiller se doit d’essayer de te vendre qqch. par contre ça m’a fait rêver, ça me gonfle ces conseillers moi. Dommage que je sois lié par un crédit avec un super taux (le principal avantage d’une banque classique)
@Tomtomrider
Sinon tu pourrais me donner le tel de tes parents? Je bosse dans un institut dd sondage, je fais une étude sur l’impact du Covid 19 sur la psychologie des gens, ça prendra 2 min, et ils gagneront une PS5 et un abonnement Apple one a vie s’ils répondent à toutes mes questions. Préviens les de mon appel, ça ira plus vite 😁😁
@cybercooll
Ah oui ça semble super! Et comme en plus on se connaît depuis 2 min je pourrais vous recommander comme quelqu’un de confiance! En plus il me donneront la PS5, c’est trop cool!
Alors c’est le 0607080910. 😄
> l'escroc appelle le client d'ING en se faisant passer pour un conseiller et lui demande de mettre à jour son mot de passe et de le lui communiquer
Il y a encore des gens qui communiquent leur mot de passe à des inconnus ?
Ils donnent aussi les clefs de leur logement à n'importe qui dans la rue ?
Quand j'ai fait mon service militaire, pendant les classes un gars s'est fait voler des affaires dans son casier qu'il avait mal fermé.
Le coupable a été trouvé et puni, mais aussi la victime.
Pourquoi ? Pour incitation au vol.
@marc_os
Elles sont belles les valeurs de l’armée 🙄
@Shawny
Oui, magnifiques ! Cela sert de leçon pour tous !
La preuve, 30 ans plus tard il s’en souvient encore…
@421
La seule leçon que j’aurais retenu c’est « ne faites pas confiance à vos alliés / amis », pas sur que ce soit ce que l’armée veuille véhiculer, m’enfin bon.
@Shawny
Justement les militaires ont une Maxime pour cela et toutes personnes censées pourront l’appliquer : la confiance n’exclue pas le contrôle
@421
Ah d’accord, je comprends mieux la sanction avec cette explication ! Merci de m’avoir éclairé !
Je ne sais pas si les victimes se feront indemniser. Oui, usage frauduleux, mais pas par piratage, par phishing.
C’est comme donner sa carte à un ami, et ensuite se plaindre à la banque de ses dépenses.
Donner les infos pour une activation sur ApplePay est en somme la même chose.
Dans la description, il est dit que le client doit mettre à jour son mot de passe. N’importe quoi. Les codes d’accès a son compte ne sont jamais demandés…
Vouloir accéder à la technologie, c’est bien. Mais avec toute chose vient des responsabilités. Les gens ne veulent pas être traités comme des assistés, mais n’agissent pas différemment.
Oui, c’est nul. Mais c’est comme ça. Une bonne leçon.
Cela dit, le fait de ne pas pouvoir bloquer la carte instantanément est un problème de ING. Et si la demande a été faite, toute transaction futures doivent être remboursées.
Ce que l’article n’explique ÉVIDEMMENT PAS
est que le contenu du SMS, indique clairement que le code sert à installer la carte sur un mobile,
Je ne sais pas à quelle banque vous êtes inscrits mais pour vérifier mon identité, il y a le mail, l’adresse, la date et lieu de naissance, etc.
Quand je reçois un mail de ma banque ils mentionnent bien qu’ils ne me demanderont jamais par tel ou par mail:
-les codes d'accès de banque à distance
- les numéros de ma carte de clés personnelles
- le numéro de carte bancaire
- les codes de mes carte Safetrans ou de mes certificats
🤔
@captainmajid
"Je ne sais pas à quelle banque vous êtes inscrits mais pour vérifier mon identité, il y a le mail, l’adresse, la date et lieu de naissance, etc.
Quand je reçois un mail de ma banque ils mentionnent bien qu’ils ne me demanderont jamais par tel ou par mail:
-les codes d'accès de banque à distance
- les numéros de ma carte de clés personnelles
- le numéro de carte bancaire
- les codes de mes carte Safetrans ou de mes certificats"
Mail, adresse et date de naissance peuvent etre connus/usurpé. Avoir le telephone de la victime deverrouillé, numero de tel actif, pour un sms de validation qui expire sous 5 min, c’est autre chose.
En effet, une banque ne demande jamais les codes d’acces perso. Mais un numero de secu ou les 4 derniers chiffres, ca se demande. Tout comme les numeros de la CB, date d’exp. et crypto visuel lors d’un paiement par carte au tel.
@captainmajid
Pareil pour ma banque.
“ Le piège se referme : l'escroc enregistre sur son iPhone la carte bancaire de la victime.”
Faut quand meme connaitre les infos de la CB aussi. Le code du sms ne suffit pas, forcement.
Aussi, mes banques m’envoient un email dès qu’une carte est ajoutee a wallet (peu importe le terminal), donc ce check est instantané si on voit sa carte ajoutee ailleurs, et m’envoient un courrier automatiquement, reçu sous 48h, c’est un peu plus lent mais les banques/assurances proposent un remboursement sans discuter sous 30 voire 60 jours apres transaction.
"Par ailleurs, les appels avec nos conseillers sont toujours sécurisés grâce à un mécanisme d’authentification."
Authentification du client, pas de l'opérateur... donc inutile dans ce cas là. L'escroc peut très bien demander à des "fins de sécurité" la date de naissance et l'adresse.
C’est bien simple
Il ne faut jamais communiquer son code, les codes sms, les codes digipass, le numéro CVV, qu’importe la personne et chaque banque prévient qu’elle ne demandera jamais un code.
Je me suis arrêté à "changez votre MDP puis communiquez-le moi", JAMAIS une société dont vous êtes client ne ferait ça, un peu de bon sens!
Pour donner un code personnel au téléphone il faut vraiment même manquer de recul sur sécurité informatique… Je pensais cependant qu’il fallait montrer patte blanche pour pouvoir utiliser un alias virtuel ? Enfin c’est ce qu’on m’a appris quand je bossais dans la VOIP il y a qq années…?
Cela dit bien qu’il soit totalement illégal de donner des numéros de CB par téléphone (sauf en étant explicitement sur une ligne VOIP avec un serveur local sécurité et idem côté opérateur), mon réparateur de fenêtre m’a demandé mes numéros au téléphone (j’ai tiqué mais je l’ai fait parce que aucun autre moyen pratique sur le moment...) et pas plus tard que ce matin à l’hôtel j’entendais le réceptionniste répéter le numéro de CB d’un client au téléphone pour réserver.
Je me suis fait voler mon empreinte il y a qq année avec une borne de ticket de métro modifiée je peux dire que depuis je fais plus qu’attention car je m’en souviendrai de ces 5000 euros à l’arrivée de Bordeaux…. (J’aurais perdu 400 euros tout le même malgré le remboursement de la banque.)
@Lonsparks23
C’est effectivement assez commun dans les hôtels lors d’une réservation téléphonique 🤷🏻♂️
@Lonsparks23
Le nombre de fois où par téléphone j’ai demandé au réceptionniste de l’hôtel de ne pas répéter après moi mes chiffres de CB parce que quelqu’un à proximité pouvait les noter au passage, et lui interloqué « je n’y avais pas pensé » !
Et idem lorsque je suis à l’accueil et que quelqu’un réserve par téléphone pendant que j’attends pour récupérer ma clé ou payer.
Un jour, voyant le coup arriver j’ai sorti un papier et un stylo DEVANT LUI et j’ai scrupuleusement noté, puis je lui ai dit « je n’ai pas bien entendu pour la date d’expiration ». Il ne m’a pas répondu, je lui ai alors tendu mon papier avec tous les chiffres et la bonne date en lui expliquant sa bêtise. Il a rougi et s’est excusé, on a débattu ensuite sur la sécurité, je lui ai dit qu’il en était de même avec les noms et numéros de tél qui sont souvent répétés et épelés à voix haute, et qu’avec tous tout cela et la date de nuitée on pouvait aisément préparer en plus une effraction au domicile avec un poil d’ingénierie sociale. Il m’a promis qu’il allait faire revoir la procédure d’enregistrement et la formation. Bon point.
Sans compter le nombre de fois où j’ai expliqué que non non et non le CVV n’est pas indispensable lorsqu’on prend une réservation… Et je finissais par lâcher 000 !
Quand le client appelle la banque il est normal que la banque vérifie qui est l’appelant en demandant des informations personnelles. Y’a pas de raison d’envoyer un sms. Et quand la banque appelle le client alors il n’y a vraiment aucune raison de demander des informations personnelles ni code sms etc puisque la banque appelle le client en utilisant le num tel enregistré dans sa base de données et servant notamment de double facteur.
@benji99
“Quand le client appelle la banque il est normal que la banque vérifie qui est l’appelant en demandant des informations personnelles. Y’a pas de raison d’envoyer un sms.”
C’est une securite supplementaire que d’envoyer un sms temporaire et d’en demander le code. Verifier des infos personnelles, genre nom prenom date de naissance et addesse, c’est bien trop facile.
Ce problème ne risque pas d’arriver bientôt chez ING Belgique…
@Arpee
Je voulais la faire celle-là 🤣🤣🤣
@Arpee
Ça risque de retarder l’arrivée d’Apple Pay 😡
Mais avec un peu de chance les failles actuelles seront corrigées (coté banque en tous cas, car côté utilisateur…)
Je trouve dans l’ensemble la réaction des intervenants très « dure » et très éloignée des « vrais gens », ceux pour qui l’informatique n’est pas une évidence. Bien sûr, pour nous, c’est simple ! On est tous plus ou moins des geeks qui maîtrisons nos appareils et le monde qui va avec. Ce n’est pas le cas de beaucoup de gens dans mon entourage : mes parents, mes beaux-parents (pire) et même certains plus jeunes que moi… vous savez ? Ceux qui vous appellent quand ils ont un problème d’imprimante ou que leur box ne fonctionne plus… Ces gens-là n’ont pas nos réflexes. Donc quand en plus les extorqueurs usent de manipulation mentale (biais d’autorité, peur, urgence…)…
La faille est l’être humain pas Apple Pay !!
@Maliik
Et la banque.
Apple Pay est toutefois un préalable à cette arnaque.
Ca me rappelle cette maxime : la première cause de divorce, c’est le mariage !
« l'escroc appelle le client d'ING en se faisant passer pour un conseiller et lui demande de mettre à jour son mot de passe et de le lui communiquer afin de bloquer de prétendus paiements louches réalisés avec son compte à l'étranger. »
Un mot de passe, c’est une information strictement et exclusivement personnelle qui ne se communique pas.
Quand les « entre la chaise et le clavier » auront compris ce principe, ce sera beaucoup plus difficile pour les escrocs d’opérer. Enfin, j’espère …
Il me semble qu'en 2021 il faut être vraiment naïf pour transmettre un mot de passe ou un code confidentiel par téléphone... Surtout si on est chez une banque comme ING qui est à distance et donc à priori s'adresse plutôt à un public connecté et donc normalement averti des multiples fraudes possibles sur Internet...
Mais par contre il est vrai qu'il est totalement anormal qu'une opposition sur une carte n'entraîne pas systématiquement l'annulation des enregistrements Apple Pay ou autre service du genre...
« un conseiller et lui demande de mettre à jour son mot de passe et de le lui communiquer »
On crois rêver…
MacG, vous devriez écrire une série d’articles Premium / ou un iBook sur comment mieux sécuriser son iPhone.
Après Mieux sauvegarder, Mieux sécuriser !
@BingoBob
Je vote oui.
Avec plein d’exemples.
Puis à diffuser largement autour de soi.
Les banques devraient exiger de leurs clients qu’ils rédigent et signent une mention manuscrite (comme dans les cautionnements par exemple) disant qu’ils s’engagent à ne jamais communiquer de mot de passe par téléphone sans aucune exception et qu’en cas de non-respect de cet engagement, la banque pourra refuser de leur rembourser des achats effectués par des escrocs
C'est déjà le cas (même si ce n'est pas une mention à recopier de façon manuscrite...)
En cas de négligence ou de mauvaise protection de sa carte, de son code ou mot de passe, l'assurance ne couvre pas les paiements frauduleux.
@r e m y
Oui mais la différence serait justement de passer d’une clause contractuelle, cachée au beau milieu de conditions générales que personne ne lit, à un acte solennel, après lequel le client ne pourrait pas dire qu’il ne savait pas.
C’est vraiment irresponsable de donner un mot de passe au téléphone en 2021, il faut une prise de conscience généralisée. Sans ça, des escrocs continuent et les personnes arnaquées vont plaider l’ignorance du pauvre petit consommateur ignorant face à la grande méchante banque. Au final, qui paie ? Tout le monde. Si les banques doivent rembourser les arnaques, ces frais sont répercutés dans les tarifs (comme le coût des vols dans le prix des produits dans les magasins)
J'ai eu le mois dernier le même genre d'arnaque et encore un peu mieux ficelé .
Faut dire que les arnaqueurs avaient mes nom, prenom, adresse, telephone , email et les 4 derniers chiffres de ma CB !
Ils m'ont donc appelé sur mon portable en provenance d'un numéro de mon département en 02 96 (le dpt 22) et m'ont dit qu'il y avait en cours une transaction louche en cours. Etais-je à l'origine de ce paiement ? niet . Ils voulaient parallèlement m'envoyer un email pour que je rentre mon code de sécurité du CIC afin d'annuler la transaction ou sinon la transaction serait validée.
Ils m'ont aussi envoyé un SMS qui venait de CIC.SECURE et non pas d'un numéro de téléphone :
Transaction suspendue 599,00 EUR sur votre CB terminant par xxxx
Reference : 74585AOO....
CONSEILLERE EMMA RENAULT
J'ai répondu évidemment que je ne savais qui était au bout du fil , ça pouvait être n'importe qui et que je devais d'abord vérifier.
J'ai donc raccroché mais jusqu'au bout mon interlocutrice a joué le jeu et m'a déclaré. "oui oui vous pouvez vérifier mais de toutes façons vous allez tomber sur moi"
Bref, ils sont effectivement de plus en plus fort. Je pense qu'ils ont récupéré les infos sur un site marchand.
Et à côté de ça, mon conseiller est resté un peu bouche-bée mais n'a rien fait ! Il aurait pu par exemple me proposer de changer la CB.
Eh ? La nouvelle loi européenne oblige aux banquiers les remboursements immédiats des débits frauduleux par internet (dont Applepay non ?) et que les banquiers doivent enquêter pour retrouver les fraudeurs et les attaquer pour se dédommager.
Les banquiers sont responsables des sécurités des paiements et non ses clients !
Les paiements ApplePay ne sont pas nécessairement des paiements internet! Ceux qui installent votre carte bancaire sur leur iPhone peuvent faire des paiements en magasins.
Déjà dès la première phrase où le "conseiller" demande de changer et de communiquer le mdp il y a un problème... Pourtant les banques répètent sans arrêter que ce genre d'infos ne seront jamais demandées...
Ca file ses codes secrets bancaires au téléphone à n'importe qui le vendredi, et le samedi ça va manifester contre l'intolérable pass sanitaire qui viole la vie privée :)
Arnaque reproduite chez Boursorama.
Appel à 21h de « boursorama » qui m’a demandé de vérifier si j’avais bien ma CB, qu’ils suspectaient un paiement frauduleux, etc.
Pendant ce temps, je recevais des sms que je n’ai pas lu étant au téléphone …
Quelle fut ma surprise quand j’ai raccroché et lu mes SMS… quelqu’un avait activé ma CB sur son Apple Wallet et réalisé un paiement de 1379€… j’ai immédiatement fait opposition mais trop tard… Et bien entendu je n’ai fourni aucun code au malfaiteur, qui ne m’a rien demandé d’ailleurs.
Boursorama a pour le moment refusé de me rembourser.
Pourtant, ils sont bien fautifs : vérifier par SMS l’ajout d’une CB à Apple Wallet est très limite pour une banque … il est bien connu que ce n’est pas très sécurisé comme système …
Je vais donc porter plainte contre eux…
Pages