De plus en plus dans les vols de données il est fait état de la fuite de l'IBAN, présenté comme un risque. Qu'en est il vraiment ?
1) L'IBAN, QUE PEUT ON FAIRE AVEC UN IBAN VOLE ? SCENARIOS
2) GARDE-FOUS, RECOURS, CONSEILS
3) CONSEILS-PREVENTION - PORTER PLAINTE
4) DEMONSTRATION SUITE AU VOL
5) Arnaque : Vague massive de faux conseillers bancaires en lien avec la fuite de données FREE dont IBAN
_________________________________________________________________________________________________
L'IBAN C' EST QUOI ?
Pour définir ce qu'est un IBAN, il convient de comprendre ce qu'est un RIB.
Le RIB, ou Relevé d'Identité Bancaire, est un document fourni essentiellement par votre banque et contenant toutes les informations indispensables pour identifier votre compte bancaire.
Cela inclut : votre nom et prénom, votre adresse postale, le nom de votre banque, votre numéro de compte et surtout, votre IBAN.
Un IBAN c'est un numéro de compte bancaire international (International Bank Account Number) qui est utilisé pour les paiements internationaux et nationaux en Europe et dans le monde.
L'IBAN identifie à la fois un numéro de compte et l'agence auquel il est rattaché
L'IBAN simplifie ainsi les virements ou les prélèvements faits de compte à compte, tant au sein d'un même pays comme pour une opération sur un compte détenu dans une banque d'un autre pays.
Autres détails à : https://fr.wikipedia.org/wiki/Internati ... unt_Number
FONCTIONNEMENT
Le texte qui régit la chose
https://eur-lex.europa.eu/legal-content ... 1e892-22-1
En image :
QUE PEUT ON FAIRE AVEC UN IBAN VOLÉ ?
Un IBAN seul (ou un RIB) , ne suffit pas pour vous prélever de l'argent.
En fait, on ne peut QUE créditer votre compte, pas le débiter
En effet il faut un mandat de prélèvement SEPA, c'est-à-dire une autorisation signée par la personne débitée.
Pour l’avocate Hélène Lebon, il faut bien voir que ce type de données est « mieux protégé, techniquement et légalement, que beaucoup d’autres. Elles sont mieux protégées que des données de santé par exemple ».
https://www.helenelebon-avocat.fr/actua ... blications
Par essence, les banques sont habituées à veiller sur des éléments sensibles : protéger les fonds de leurs clients est le cœur de leur activité. Le problème, continue l’avocate, est « qu’on ne s’en rend pas forcément compte, mais nos données bancaires se retrouvent dans énormément d’endroits.
Dès que l’on accepte le prélèvement automatique pour des factures d’électricité ou de gaz, on leur soumet nos IBAN. On les envoie aussi à nos employeurs, à différentes entreprises et prestataires, aux impôts, à la CAF, etc… »
Or, il est impossible de s’assurer de la sécurité de tous ces interlocuteurs. Pour pallier cette fragilité, la loi se fait très protectrice de l’usager, indique Hélène Lebon.
Source : https://next.ink/1394/quels-risques-pos ... bancaires/
ALORS QUELS SONT LES RISQUES ?
Des personnes mal intentionnées en possession de votre RIB ou IBAN, AINSI que d’autres coordonnées personnelles, peuvent utiliser ces informations pour usurper votre identité et réaliser une fausse autorisation de prélèvement en imitant votre signature.
Il faut AUSSI qu'elles récupèrent votre code SMS d'authentification (procédure 2FA) que la banque envoie afin de finaliser une opération de prélèvement.
Ainsi, elles peuvent souscrire à des abonnements auprès de nombreux tiers, prestataires de services (Sociétés de crédits par ex), tels que les fournisseurs d'énergie ou les télécoms qui sont en mesure d'effectuer des prélèvements automatiques sur votre compte bancaire en utilisant votre IBAN
-----------------------------
! | Comme on le voit, cela fait quand même pas mal de conditions, mais les prélèvements bancaires via SEPA sont du domaine du possible et/ou arnaques. Il y a cependant des garde fous et recours - Voir les autres sujets plus bas |
----------------------------------
Généralement, la personne malveillante n'a pas toutes les infos vous concernant, c'est pour cela qu'elle essaiera soit d'usurper votre signature, soit de vous contacter par mail ou téléphone pour du complément d'information ou de tenter une autre procédure d'arnaque, puisque le but est de vous voler de l'argent
Là le problème c'est que l'arnaque n'est plus du ressort des banques : il est de l’ordre de la manipulation de la personne elle-même.
Néanmoins la loi, la jurisprudence protège le consommateur et même dans ces cas de figure, sous condition, l'établissement bancaire est obligé de rembourser (voir partie "Recours")
Pire encore pour leur responsabilité si vous avez fourni une liste blanche des organismes autorisés à prélever (voir la partie "Conseils")
SCENARIO :
Avec un IBAN ET les autres informations volées on peut créer un mail de phishing (hameçonnage) qui contiendra:
- Le vrai nom et prénom de la personne (normalement rassurant)
- Le bon logo et charte graphique de la banque du client
- L'adresse et le numéro de téléphone de l'agence la plus proche (pour faire encore plus vrai)
Ce mail, peut être envoyé par la personne malveillante à l'organisme avec lequel elle souhaite négocier un abonnement/Prélèvement
Mais elle peut etre AUSSI envoyée à la cible, avec des demandes de complément(s), pour récupérer des informations manquantes afin de vous soutirer de l'argent (Vol sur le compte bancaire)
Dans les techniques plus sophistiquées, surtout si vous être ciblé et considéré comme "intéressant" il y a la technique du VISHING (voir ci dessous)
Des informations peuvent AUSSI être demandée par SMS, avec toujours en ligne de fond, cette notion d'urgence pour faire paniquer la personne qui le reçoit
On parle de SMISHING, mais en fait de base c'est en lien avec de l'ingénierie sociale, surtout si le malveillant dispose d'éléments personnels vous concernant
https://www.malekal.com/attaque-ingenierie-sociale/ (Technique de base qui sert pour différents types d'arnaques)
AUTRE SCENARIO, AUTRE ARNAQUE AVEC OU SANS IBAN
Autre scénario avec ou sans IBAN, la personne malveillante peut essayer d'obtenir plus d'informations, ou procéder à un hameçonnage téléphonique par une personne qui se fera passer pour votre conseiller bancaire (Vishing)
Cas concret
https://www.leparisien.fr/economie/jai- ... 4ZAHFE.php
Que faire ? https://www.cybermalveillance.gouv.fr/t ... r-bancaire
Comme on le voit, il faut une intervention de la cible qui doit se connecter sur son espace personnel bancaire et fournira ensuite les identifiants bancaires et les codes d' application (voire dans certains cas en y ajoutant le numéro de carte bancaire et code)
Dans certaines arnaques très ciblées (personnes âgées) cela va même à l'intervention de faux policiers envoyés à domicile pour récupérer la carte bancaire qui aurait fait l'objet d'un vol, après l'appel du faux conseiller
Donc le vol, n'est pas automatique lorsque la personne malveillante ne dispose pas de tous les renseignements ou même si elle en dispose (il peut manquer une adresse mail spécifique, et/ou le numéro de téléphone pour la protection 2FA ou la signature)
Le but est de faire faire croire que des opérations frauduleuses sont justement en cours, jouer sur l’urgence de la situation et offrir aux victimes une solution rassurante.
L’étape cruciale étant de pouvoir contourner les dispositifs de sécurité, qu’ils soient par SMS ou sur l’application bancaire, pour éviter la double identification et valider leurs vols.
Néanmoins si on prend cet exemple du "fake call" pour du vishing, qui date quand même de 2022, les personnes qui téléchargent des .apk, piratent des jeux android etc peuvent se faire avoir
https://www.kaspersky.com/blog/fakecall ... jan/44072/
Il faut savoir que depuis 2022, il a été ajouté plus de 200 établissements bancaire, que le malware s'est grandement perfectionné
Cela n'a été découvert QUE parce que Kaspersky s'est intéressé à la Corée du Sud
Comme il est dit dans des analyses plus récentes,
Ex même si partiel: https://www.bleepingcomputer.com/news/s ... attackers/
il suffit d'adapter le package du kit à des langues étrangères, en clonant également les interfaces bancaires du pays
Pour l'instant cela n'existe pas en France (Du reste est ce possible ?) , mais jusqu'à quand (aidé par l'IA) ?
Juste pour signifier que les dangers sont partout
Les banques surtout depuis début septembre font tout pour prévenir les usagés de leur réseau
Exemple avec LCL, avec en plus un lien explicatif
Fraude Vishing : https://www.lcl.fr/securite/fraude-vishing
PLUS RARE
La tentative de SIM swap, (Rare parce que les opérateurs téléphoniques sont maintenant rodés à ce type d'arnaque)
Cette dernière fraude permet à l'usurpateur de récupérer le numéro et la ligne d'un client et de l'associer à un nouveau téléphone. Le pirate informatique aura donc accès à la messagerie, aux réseaux sociaux, aux applications bancaires ou encore aux plateformes de paiement des personnes arnaquées.
En France depuis 2019 les opérateurs disposent d'outil anti fraude pour y faire face (A l'époque ce n'était pas le cas de FREE, mais je ne sais ce qu'il en est actuellement)
Voir ce sujet dont avec un lien explicatif à la fin sur le Sim swap sur le site malekal
viewtopic.php?t=72036
Il faut savoir que les opérateurs Orange, Free, SFR et Bouygues Telecom se sont associés pour lutter contre la fraude en ligne, DONT les arnaques à la carte SIM.
C'est attendu pour le début 2025,
Je cite
"Orange, Free, SFR et Bouygues Telecom ont rejoint le GSMA Open Gateway, une initiative lancée par la GSMA (l’association qui représente les intérêts des opérateurs mobiles à travers le monde).
Cette initiative vise à standardiser l’accès aux services de réseaux télécoms via des API ouvertes. Elles doivent permettre à des développeurs ou des entreprises de se connecter facilement à des services fournis par les opérateurs.
Dans le cadre de cette initiative, les quatre opérateurs français ont mis au point deux outils destinés à lutter contre la fraude en ligne et le vol d’identité. Destinées à la France, ces deux interfaces de programmation d’application (APIs) doivent empêcher les cybercriminels d’orchestrer des attaques qui usurpent l’identité d’un utilisateur en exploitant des informations liées à leur numéro de téléphone ou à leur compte mobile, comme les arnaques à la carte SIM.
Elles ont été mises au point avec plusieurs institutions financières, dont BforBank et Fortuneo.
(...)
La suite sur ;:https://www.01net.com/actualites/arnaqu ... raude.html(...) Les télécoms vont aussi lancer SIM Swap, une API censée lutter contre les escroqueries à la carte SIM. La fraude consiste à déplacer votre numéro de téléphone sur une autre carte SIM, permettant ainsi au cybercriminel de recevoir et d’envoyer des SMS en se faisant passer pour vous. Elle repose sur des données personnelles compromises, détenues par les cybercriminels à la suite de fuites.(...)
Normalement avec les nouvelles mesures de protections en lien avec la téléphonie, applicables depuis le 1 octobre 2024, , il n'est plus possible d'imiter le numéro d'appel de votre agence bancaire, du moins sur votre ligne téléphonique fixe
https://www.quechoisir.org/actualite-ar ... e-n131630/
Il ne reste que pour les malveillants que les appels en 06 ou 07 (téléphonie mobile) sur votre smartphone
Seulement, aucune agence bancaire ne vous appellera avec un numéro mobile
Se méfier des appels les week-ends ou le vendredi soir, ou en dehors des heures d'ouverture de votre agence bancaire, car les malveillants savent que vous ne pourrez pas effectuer une vérification auprès de votre banque
Si on prend l'exemple du vol de données chez FREE (Où tout n'est pas clair)
Vol de données chez FREE
viewtopic.php?p=560577#p560577
Nom,
Prénom,
Numéro Téléphone,
Adresse postale complète,
Date de naissance,
et.. IBAN (dans un deuxième vol et dans un fichier à part)
En utilisant ces informations, des pirates pourraient mettre en place des attaques dites du faux conseiller.
Ils pourraient se faire passer pour des conseillers clients Free par exemple.
En effet, ces derniers pourraient prétexter un problème de prélèvement et demander un paiement immédiat par carte bancaire par téléphone ou email .
Il suffit de jouer sur l’urgence d’avoir la ligne téléphonique coupée, car par précaution ils ont suspendu les prélèvements automatiques
Ou tout simplement avertissant l'abonné par message ou appel téléphonique,
La personne mettra en avant le fait d avoir eu vos coordonnées à partir du vol d'informations, du vol de données et vous prévenir des conséquences
Le "bon samaritain" souhaitera vous... conseiller pour ne pas tomber dans les mains de malveillants, pour protéger vos données, votre compte bancaire, et en vous demandant des informations confidentielles dont celles liées... à votre compte bancaire...
Tout est possible, car les malveillants ne manquent pas d'imagination