Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Débits frauduleux : l’AFUB tire la sonnette d’alarme concernant deux banques

La pêche était bonne ?

Débits frauduleux : l'AFUB tire la sonnette d'alarme concernant deux banques

Le 23 mai 2014 à 16h10

Depuis quelques jours, l'Association Française des Usagers des Banques (AFUB) monte au créneau afin d'indiquer qu'elle a reçu pas loin de mille plaintes concernant deux sociétés : le Crédit Mutuel Nord Europe et la Banque postale. Les usagers font états de débits frauduleux qui oscillent généralement entre 1 500 et 10 000 euros.

Euros

 

Avec l'importance croissante de l'informatique et du numérique dans nos vies, la question de la sécurité prend de l'ampleur, surtout qu'elle est régulièrement mise à mal ces derniers temps. Il y a deux jours, eBay demandait ainsi à l'ensemble de ses utilisateurs de changer de mot suite à une cyberattaque, tout comme Orange qui a laissé filer des données personnelles par deux fois en quelques mois. Début avril, c'était tout simplement un raz de marée qui tombait sur internet avec la faille Heartbleed touchant OpenSSL. Comme nous l'avions alors évoqué, les banques n'étaient pas épargnées, loin de là.

Près de 1 000 plaintes remontées à l'AFUB, pour des sommes entre 1 500 et 10 000 €

Depuis quelques jours, l'AFUB monte au créneau, d'abord chez Le Parisien puis chez nos confrères de France info, afin de se faire l'écho d'un millier de clients qui font face à des fraudes dont les montants varient entre 1 500 et 10 000 euros tout de même. Deux établissements sont dans la ligne de mire de l'association : le Crédit Mutuel Nord Europe et la Banque postale. 

 

Serge Maître, président de l'AFUB, ajoute qu'il est « alarmé par le fait que les banques concernées restent passives et n'entreprennent aucune mesure de prévention et de communication. Elles ont l'adresse email de tous leurs clients qui sont des internautes qui ont accès par internet aux comptes. Là on attendrait qu'elle lance un message en disant : attention nous sommes actuellement pillées ».

La non-communication des banques... comme pour l'affaire Heartbleed

On se retrouve donc dans la même situation que pour la faille Heartbleed qui a secoué internet début avril : les banques ne communiquent pas. Pour rappel, nous avions déjà souligné le cas particulier du Crédit Mutuel qui annonçait sur Twitter qu'elle n'était « pas concernée par cette faille de sécurité », ce qui était probablement valable pour la consultation des comptes en ligne, mais pas pour ses plateformes de paiement (voir cette actualité pour tous les détails).

Crédit Mutuel Heartbleed

La question mérite d'ailleurs d'être posée : les fraudes remontées par l'AFUB sont-elles liées d'une manière ou d'une autre à Heartbleed ? Impossible à dire en l'état actuel des choses. Nous avons tenté de contacter l'association afin d'avoir de plus amples informations, sans résultat pour le moment.

Les précisions du Crédit Mutuel Nord Europe 

Mais suite à la publication de cette affaire dans Le Parisien, le Crédit Mutuel Nord Europe (CMNE) a publié un communiqué de presse, non pas pour alerter ses clients, mais pour « apporter les précisions suivantes » : 

 

« Contrairement à ce que laisse penser l’article, le système informatique du Crédit Mutuel Nord Europe n’a fait l’objet d’aucun piratage. Cette information nuit gravement au CMNE, d’autant que ses systèmes de sécurité sont régulièrement renforcés. Le nombre de transactions frauduleuses au CMNE représente 0,002 % du nombre total des transactions.

 

Le cas cité dans l’article du Parisien fait un amalgame entre l’utilisation frauduleuse de cartes bancaires et le phishing. Il convient de rappeler que le phishing n’est pas la conséquence d’un détournement à l’insu du client, mais d’une communication de sa part des informations sécurisant le dispositif de banque à distance.

 

Des mises en garde contre le phishing sont présentes et constantes dans ses différentes communications.

 

Dès qu’il a connaissance d’une opération présumée frauduleuse, le CMNE bloque les moyens de paiement et respecte systématiquement la réglementation dans la recherche de responsabilité. Il rembourse les clients quand il n’y a pas eu négligence de leur part. A l’inverse, le client est amené à supporter le sinistre dès lors que sa négligence est reconnue, comme en attestent deux décisions de justice rendues récemment dans des cas similaires. »

 

La banque indique donc que l'on est ici face à des cas issus d'une campagne de phishing, une pratique qui consiste pour des pirates à monter de faux sites internet, qui ressemblent comme deux gouttes d'eau à l'original, en demandant aux utilisateurs de se connecter ou d'indiquer des coordonnées bancaires. Le but étant d'obtenir des identifiants et des mots de passe de clients qui se sont laissé berner. Il semblerait d'ailleurs que certains cherchent en ce moment à le faire en imitant les services des impôts : 

 

 

Une pratique que l'on dénonce régulièrement et qui se nourrit allégrement des vagues de fuites de données personnelles afin de récupérer informations permettant de mettre les utilisateurs utilisateurs en confiance alors qu'ils se trouvent sur un site frauduleux.

Que faire en cas de problème ?

La question est maintenant de savoir ce qu'il faut faire en cas de problème. Serge Maître indique qu'« il faut de toute façon aller voir le responsable de la clientèle, c'est-à-dire le directeur de l'agence, et si cela ne marche pas : lettre recommandée avec accusé de réception ». Après il est également possible de passer par le médiateur de la banque et d'aller jusqu'au procès si besoin.

 

Il invoque au passage l'article L. 133 - 18 du code monétaire et financier qui précise qu'« en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133 - 24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ».

 

Quelles sont les conditions stipulées à l'article L. 133 - 24 ? « L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit. » Dans tous les cas, n'hésitez pas à nous faire part de vos retours si vous êtes dans une des banques pointées du doigt par l'AFUB et que vous avez eu à faire à une utilisation frauduleuse.

Commentaires (59)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Il y a deux jours, eBay demandait ainsi à l’ensemble de ses utilisateurs de changer de mot de puisse suite à une cyberattaque,





Ahhh la puisette!

votre avatar

De toute manière, un site ne demande jamais de suivre un lien pour vérifier nos coordonnées. C’est forcément du phishing.

Tout comme je vais sur le site directement dans mon navigateur, jamais par un lien (encore moins pour un remboursement des impôts <img data-src=" />).


votre avatar

On reconnait bien la le caractère de voleur, dépouilleur, détrousseur, branleur, feignasse des banques et de ceux qui y bosse…en félicitant le nombre x de personnes sérieuse, si il en reste encore.<img data-src=" />

Le français trime en se faisant voler par les banques et celles ci parte en vacance et se paye du 13eme au 16 mois aux 35h avec notre oseille…<img data-src=" />



<img data-src=" />

votre avatar

a mon boulot, j’ai un collègue qui vient du niger avec le nom qui va avec, j’ai toujours moulte alerte sur ses mail et je dois toujours aller chercher ses mails dans la boite a spam <img data-src=" />

votre avatar







AirTé a écrit :



De toute manière, un site ne demande jamais de suivre un lien pour vérifier nos coordonnées. C’est forcément du phishing.

Tout comme je vais sur le site directement dans mon navigateur, jamais par un lien (encore moins pour un remboursement des impôts <img data-src=" />).





Justement, la question se pose: puisque les impôts visent le zéro papier,

comment communique[ro]nt-ils ?


votre avatar







tAran a écrit :



Est-il étonnant qu’une banque mente ? <img data-src=" />





Attention, on va avoir les assoc antiracistes sur le dos <img data-src=" />


votre avatar

Débits frauduleux ? Aucun rapport avec les nouveaux mandats SEPA qui ne nécessitent pas la transmission d’office de l’autorisation de prélèvement ?

votre avatar

On ne dirait pas que l’AFUB parle de SEPA hier.



C’est vrai qu’il est aussi utilisé pour le phising, mais plus celui destiné aux entreprises. Un escroc téléphone en se faisant passer pour un employé de la banque et propose de faire des “tests de virement” vers l’étranger. <img data-src=" />



Quoiqu’il en soit, j’ai pas l’impression que les banques ne font rien sur ces problèmes, elles seraient plutôt du genre à presque spammer leurs clients avec des avertissements.



Mais bon, tant que les escrocs seront doués et les clients un peu neuneu…

votre avatar







AirTé a écrit :



De toute manière, un site ne demande jamais de suivre un lien pour vérifier nos coordonnées. C’est forcément du phishing.

Tout comme je vais sur le site directement dans mon navigateur, jamais par un lien (encore moins pour un remboursement des impôts <img data-src=" />).





Un remboursement des impôts ! T’as trop de chance, moi c’était une menace de coupure d’EDF si je payais pas au plus vite un gros impayé… Fini le rêve des héritages d’émirs, la crise touche même le phishing maintenant… <img data-src=" />


votre avatar







GentooUser a écrit :



Débits frauduleux ? Aucun rapport avec les nouveaux mandats SEPA qui ne nécessitent pas la transmission d’office de l’autorisation de prélèvement ?





Je vois que tu sembles être un des rares à savoir de quoi tu parles. Le SEPA est une cata…

Un truc européen je crois, non ? (je sais pas trop là).

Par contre, bonjour le danger.

Ce serait bien que PCI <img data-src=" /> NI fasse un article là dessus.


votre avatar







Commentaire_supprime a écrit :



Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.



Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.



En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !



Voilà, simple, net, efficace.





Ouai bah justement ce serait bien qu’un peu plus de trucs se fassent par internet… Parce que les recommandés c’est cool, mais ça coûte de l’argent, c’est lent, et c’est archaïque…


votre avatar

[HS] Reçu aujourd’hui, un pseudo mail de la bnp avec comme instruction: “pour éviter l’invalidité de votre compte, veuillez télécharger la pièce jointe puis l’ouvrir avec votre navigateur”

En pj un .htm dont la preview dans la boîte mail commence par une balise script…

Mais bien sûr ! xD [/HS]

votre avatar







FennNaten a écrit :



[HS] Reçu aujourd’hui, un pseudo mail de la bnp avec comme instruction: “pour éviter l’invalidité de votre compte, veuillez télécharger la pièce jointe puis l’ouvrir avec votre navigateur”

En pj un .htm dont la preview dans la boîte mail commence par une balise script…

Mais bien sûr ! xD [/HS]





Des fois c’est pourri, le serveur auquel ils envoient est déjà mort/patché/reporté <img data-src=" />


votre avatar







Commentaire_supprime a écrit :



Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.



Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.



En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !



Voilà, simple, net, efficace.







Bof, je suis pas un expert dans le domaine mais par exemple le dernier phishing que j’ai eu correspondait à ma banque justement (surement fishing de masse en attente de trouver client). c’était un mail plutôt bien écrit, proche d’un officiel visuellement, indiquant des débit anormaux sur mon compte et de bien vouloir se rendre sur le site pour vérifier. (j’ai moi même eu un doute les premières secondes <img data-src=" />)



forcement pour michu, coup de paniquer, clic sur un des liens du mail qui redirige sur une copie du site de la banque, tu rentre tes identifiant et ta tout gagné si tu ne fait pas attention à l’url présent dans le mail.



un fishing qui demande de cc directement tes identifiant je pense pas que ca marcherai tant que ça c’est un peu gros quand même.



bref, tout ca pour dire que c’est un peu plus subtile en général. <img data-src=" />


votre avatar







Xaelias a écrit :



Ouai bah justement ce serait bien qu’un peu plus de trucs se fassent par internet… Parce que les recommandés c’est cool, mais ça coûte de l’argent, c’est lent, et c’est archaïque…





mais ça a une valeur juridique.

Quelle valeur ont les mails non signés d’une banque, tellement proches d’un spam ?



En premier lieu, il faudrait éduquer les internautes avant de les pousser vers la dématérialisation : quelle différence entre une adresse en .gouv.fr et .gouv.net ou whathelse ?


votre avatar







kade a écrit :



Je vois que tu sembles être un des rares à savoir de quoi tu parles. Le SEPA est une cata…

Un truc européen je crois, non ? (je sais pas trop là).

Par contre, bonjour le danger.

Ce serait bien que PCI <img data-src=" /> NI fasse un article là dessus.





Le SEPA c’est un truc à l’initiative des établissements bancaires ou de la commission européenne, il y eut tant de navettes qu’on ne sait plus trop, mais au final ils sont d’accord : la banque n’est plus responsable des prélèvements présentés et réglés sur ton compte, c’est le créancier ou pseudo-créancier.


votre avatar

Je croyais que les plus grosses fuites, par milliards, venaient de banques suisses <img data-src=" />

votre avatar

Ca fait un moment que je n’avais pas vu d’exemple de phising, ils se sont bien amélioré ! Quelques fautes d’orthographe mineures, le texte qui a un aspect crédible, l’adresse .gouv.fr… Je comprends qu’on puisse se faire piéger <img data-src=" />

votre avatar

Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.



Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.



En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !



Voilà, simple, net, efficace.

votre avatar

Est-il étonnant qu’une banque mente ? <img data-src=" />

votre avatar







Jarodd a écrit :



Ca fait un moment que je n’avais pas vu d’exemple de phising, ils se sont bien amélioré ! Quelques fautes d’orthographe mineures, le texte qui a un aspect crédible, l’adresse .gouv.fr… Je comprends qu’on puisse se faire piéger <img data-src=" />





J’ai reçu le même mail ce matin et j’avoue avoir été aussi surpris par la “qualité” du mail. A priori, les auteurs ont suivi des cours de français jusqu’en CE2 au moins ! Il a même passé le filtre anti spam et anti phishing de Gmail.

Mais bon, sachant déjà que mes impôts doublaient cette année, le coup du remboursement tombait à l’eau <img data-src=" />


votre avatar







Commentaire_supprime a écrit :



Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.







Pas au Canada en tout cas. Rien qu’aux gouvernements, quasiment tout ce fait par internet. Et ça c’est sans les différents organismes chapeautés par le gouvernement.

Pour les francophones, se baser sur les fautes d’orthographe n’est même pas un bon critère, tant les communications officielles en sont bourrées. Distinguer le vrai du faux est beaucoup plus difficile.

Cependant la règle suivante est absolument vraie :





Commentaire_supprime a écrit :



…sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.





votre avatar







Aloyse57 a écrit :



Pas au Canada en tout cas. Rien qu’aux gouvernements, quasiment tout ce fait par internet. Et ça c’est sans les différents organismes chapeautés par le gouvernement.

Pour les francophones, se baser sur les fautes d’orthographe n’est même pas un bon critère, tant les communications officielles en sont bourrées. Distinguer le vrai du faux est beaucoup plus difficile.

Cependant la règle suivante est absolument vraie :





Donc les mails reçu en France serait un dommage collatéral d’attaque en pishing de canadien. ??


votre avatar

la dernière tentative de hameçonnage dirigée vers le crédit mutuel était

très bien faite.. graphique impeccable ortho sans faille

je l’ai envoyée au crédit mutuel ( qui a une adresse spéciale pour cela) , ils ne m’ont même pas répondu

<img data-src=" />

je pensais que ça les interessait et qu’au moins ils m’auraient envoyé un AR … rien

peut -être que c’était un vrai courrier

<img data-src=" />

votre avatar

en temps que client de la banque postale, j’aimerais bien accéder à leur e-carte, peut-être un jour possible sans windows ;-)

votre avatar







_fefe_ a écrit :



en temps que client de la banque postale, j’aimerais bien accéder à leur e-carte, peut-être un jour possible sans windows ;-)







J’utilise la mienne via le navigateur



Tu es obligé d’installé quelque chose parce que je n’ai jamais eu besoin de le faire ?


votre avatar







_fefe_ a écrit :



Le SEPA c’est un truc à l’initiative des établissements bancaires ou de la commission européenne, il y eut tant de navettes qu’on ne sait plus trop, mais au final ils sont d’accord : la banque n’est plus responsable des prélèvements présentés et réglés sur ton compte, c’est le créancier ou pseudo-créancier.







Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?



Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.


votre avatar

Alors là, pas étonné du tout, des tentatives de fishing exploitant la marque credit mutuel j’en reçois au moin 2 par semaines, et chaque fois c’est le même topo : je fais suivre le mail à [email protected] , je signale le lien frauduleux a google et quand le lien exploite un site légitime et sans rapport je préviens le webmaster du site. J ‘en reçois aussi du cic de temps en temps, le pire c’est que c’est une adresse que je ne donne pas a n’importe qui <img data-src=" />

votre avatar



Alors là, pas étonné du tout, des tentatives de fishing exploitant la marque credit mutuel j’en reçois au moin 2 par semaines, et chaque fois c’est le même topo : je fais suivre le mail à [email protected] , je signale le lien frauduleux a google et quand le lien exploite un site légitime et sans rapport je préviens le webmaster du site. J ‘en reçois aussi du cic de temps en temps, le pire c’est que c’est une adresse que je ne donne pas a n’importe qui





Pareil, j’en reçois tous les jours avec un lien pour télécharger une application creditmutuel.exe <img data-src=" />

Mais c’est pour ma sécurité qu’ils me disent <img data-src=" />

votre avatar







yulpocket a écrit :



Pareil, j’en reçois tous les jours avec un lien pour télécharger une application creditmutuel.exe <img data-src=" />

Mais c’est pour ma sécurité qu’ils me disent <img data-src=" />







Haaa ! ok ! bon ben si pour ma sécurité alors … <img data-src=" />


votre avatar

La Poste… c’est un peu la sncf des voies numériques.

votre avatar







Commentaire_supprime a écrit :



Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.





Normalement tu aurais raison, mais en fait… NON.



J’ai reçu il y a 2 ou 3 anss une demande du crédit lyonnais (LCL) sur mon compte mail, me demandant de changer mon mot de passe de connexion au service en ligne de gestion de mes comptes.



J’ai cru un bon moment que c’était du phishing, mais après vérification en me connectant directement au site du LCL sans passer par le lien dans le mail :

Ça n’était pas du phishing.

C’était réellement une demande officielle du CL.

Et il a bien fallu que je change de mot de passe, car le CL avait décidé qu’il n’était plus valable.



Bon, je sais, c’est LCL… personne avait du leur parler du phishing à l’époque.<img data-src=" />


votre avatar

Dommage que l’article ne donne pas d’indiquations sur le nom utilisé des prélèvements, on aurait pas savoir si on est concernés ou pas.



On a beau suivre sob compte on peut tres bien passé a côté

votre avatar

Après avoir lu l’article je ne sais pas trop quoi penser, est-ce vraiment du pishing ?





d’un millier de clients qui font face à des fraudes dont les montants varient entre 1 500 et 10 000 euros tout de même.



Depuis quand exactement ? Et pourquoi uniquement le Crédit Mutuel Nord Europe et la Banque postale ?



Y-a-t-il beaucoup plus gens qui se font avoir avec le pishing ou y-a-til une recrudescence d’envoi de mail de pishing ? Je ne pense pas.

votre avatar







kade a écrit :



Je croyais que les plus grosses fuites, par milliards, venaient de banques suisses <img data-src=" />





Non ! elles y vont et les banques suisses ne fuitent jamais <img data-src=" />


votre avatar

Comme quoi “un PC dans chaque foyer” n’est pas la meilleure idée du monde…

Tout le monde n’est pas prêt à avoir un PC, à comprendre comment il marche, et ce qu’il faut faire avec.



Les gens cliquent n’importe où, et tout est tellement simplifié maintenant (merci chrome entre autres) qu’ils ne savent plus ce que c’est qu’une URL puisqu’ils tapent leur recherche dans la barre d’adresse puis cliquent sur le premier lien qui passe…

Alors différencier une url moisie d’une officielle…



Il devrait y avoir un stage pour avoir la possibilité d’avoir un PC, limite !

Et ceux qui ratent le stage : une tablette bien bridée et hop !

votre avatar







yl a écrit :



Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?



Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.





il y a une solution, la loi SEPA oblige la banquier à prendre en compte une liste blanche (white-list) si on lui en fournit une:

http://www.quechoisir.org/argent-assurance/banque-credit/service-bancaire/lettre…



de même on peut également lui fournir une liste noire (black-list)


votre avatar







xillibit a écrit :



Après avoir lu l’article je ne sais pas trop quoi penser, est-ce vraiment du pishing ?





J’ai pas encoure lu, j’ai pishing <img data-src=" />

<img data-src=" />


votre avatar







sylvere a écrit :



il y a une solution, la loi SEPA oblige la banquier à prendre en compte une liste blanche (white-list) si on lui en fournit une:

http://www.quechoisir.org/argent-assurance/banque-credit/service-bancaire/lettre…



de même on peut également lui fournir une liste noire (black-list)







En complément, on peut ajouter qu’on a 8 semaines pour contester un prélèvement SEPA, quelque soit le motif. Et après ce délais, encore 13 mois pour contester un prélèvement frauduleux.



Donc certes, il faut surveiller ses relevés de compte (ce qui est une pratique indispensable de base, SEPA ou non), mais on est très loin du risque de frause massive.



De toute façon, les banques ne font presque plus de vérification a priori, que ce soit les autorisations de prélèvement classiques, les encaissement de chèque… Bien plus simple et moins cher pour elles de régulariser après.


votre avatar







Ler van keeg a écrit :



Les gens cliquent n’importe où, et tout est tellement simplifié maintenant (merci chrome entre autres) qu’ils ne savent plus ce que c’est qu’une URL puisqu’ils tapent leur recherche dans la barre d’adresse puis cliquent sur le premier lien qui passe…

Alors différencier une url moisie d’une officielle…



Il devrait y avoir un stage pour avoir la possibilité d’avoir un PC, limite !

Et ceux qui ratent le stage : une tablette bien bridée et hop !







Complétement d’accord c’est fou le nombre de gens que je retrouve apres une semaine de reinstall avec des truc genre speedupmy pc recorerypc et d’autres logiciels de mes couilles.



Sérieusement en plus au bout d’un moment ils vienne t’incriminer parce que ils croient que ta rien fait…



pour le fishing moi avec mes proches c des qu’on te demande un formulaire de retour c que c un mail phishing.





votre avatar







totor1977 a écrit :



J’utilise la mienne via le navigateur



Tu es obligé d’installé quelque chose parce que je n’ai jamais eu besoin de le faire ?





Depuis quand ?

Ils proposent enfin un “service nomade” sans installation.

Pendant des années, c’était impossible sans leur application en .exe.



En tout cas, merci pour l’info. <img data-src=" />


votre avatar







Jarodd a écrit :



Ca fait un moment que je n’avais pas vu d’exemple de phising, ils se sont bien amélioré ! Quelques fautes d’orthographe mineures, le texte qui a un aspect crédible, l’adresse .gouv.fr… Je comprends qu’on puisse se faire piéger <img data-src=" />





<img data-src=" />

Pourtant il suffit simplement d’appliquer une simple règle de base systématique sur tout email provenant d’un compte sensible (fai, paypal, banque, etc…) :

Ne pas cliquer sur le lien proposé, ouvrir manuellement son navigateur et taper soi-même l’adresse; ou passer, éventuellement, par son moteur de recherche habituel pour les plus fainéants. <img data-src=" />


votre avatar

Dommage qu’on ai pas encore plus d’info sur le type de débit…









yl a écrit :



Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?



Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.





Un troll ? <img data-src=" />





sylvere a écrit :



il y a une solution, la loi SEPA oblige la banquier à prendre en compte une liste blanche (white-list) si on lui en fournit une:

http://www.quechoisir.org/argent-assurance/banque-credit/service-bancaire/lettre…



de même on peut également lui fournir une liste noire (black-list)





Je rajoute que pour chaque mandat, le créancier doit fournir la référence unique du mandat (RUM). Il suffit donc de rien autoriser par défaut excepté les RUM autorisés par soit-même. (bon après selon la banque c’est plus ou moins bien fait niveau possibilités je trouve)


votre avatar

Les prélèvements SEPA … j’utilise cela depuis 2010 en particulier avec l’étranger

je suis encore vivant <img data-src=" />

ce qui change c’est que c’est devenu obligatoire

mais le coup de je cite : ‘une bombe ce truc” c’est vraiment n’importe quoi

<img data-src=" />



PS ça ne change pas le fait que les banquiers étaient des truands avant et ils le resteront après OK ? Mais c’est pas le SEPA qui change grand chose.

<img data-src=" />







EDIT: je viens de vérifier , j’ai même fait un virement SEPA en 2009

votre avatar







_fefe_ a écrit :



Depuis quand ?



En tout cas, merci pour l’info. <img data-src=" />







Je pense que c’est depuis le début que ça existe parce que j’ai ma e-carte depuis quelques années et je m’en suis toujours servi en nomade (je ne voulais rien installer sur mon pc)



Il faut aller ici :

https://service.e-cartebleue.com/v4/labanquepostale/


votre avatar
votre avatar

J’ai un peu du mal à voir le rapport entre les plaintes et Hearthbleed qui ne reste une grosse supposition dans l’article tout en étant tout de même mis en avant…



C’est en effet possible que cela vienne d’Heartbleed. Mais cela peut venir de n’importe où. Il y a en effet une recrudescence de fraudes en ce moment. Ma femme en a été victime la semaine dernière (retrait au Laos avec soi-disant sa carte, elle est au Crédit Mutuel). Pareil pour trois autres connaissances la semaine dernière. Par contre, on peut clairement reprocher à la banque de n’avoir rien fait. Un achat physique en France, et un retrait au Laos dans la foulée, ça devrait déclencher l’algo de vérification le plus basique du monde…

votre avatar







sscrit a écrit :



a mon boulot, j’ai un collègue qui vient du niger avec le nom qui va avec, j’ai toujours moulte alerte sur ses mail et je dois toujours aller chercher ses mails dans la boite a spam <img data-src=" />





Mais ton filtre est raciste /SAV des émissions <img data-src=" />


votre avatar







yl a écrit :



Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?



Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.





Tu l’as le mandat, il est signé de manière numérique. Essaie de souscrire à un MVNO pour voir.


votre avatar







Commentaire_supprime a écrit :



Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.



Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.



En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !



Voilà, simple, net, efficace.





100% d’accord, mais un problème se pose avec les banques tout-en-ligne :

comment communiquent-elles ?


votre avatar

Depuis la nuit des temps en France, une banque a l’obligation d’assurer les moyens de paiement qu’elle fournit contre toute utilsation frauduleuse (ce qui fait que quand une banque vend une e-carte bleue, ça revient à pigeonner le client en lui faisant payer un service de ‘protection de ses moyents de paiement’ en omettant bien de lui dire qu’elle a pourtant l’obligation légale de les assurer).



Reste le seul point qui pourrait être intéressant dans l’article: la réponse de la banque qui laisse entendre qu’elle aurait pu se dédouaner de cette obligation dans certains cas, après jugement. C’est ce point là qui aurait mérité un article. Typiquement si un cas de phising est considéré comme tel (ce qui me surprendrait beaucoup: de mémoire, la jurisprudence en la matière étant très largement en faveur du client, y compris des abrutis qui laissent leur code sur un post-it collé à la CB et qui se sont fait piquer le tout).



PS: Pour la petite histoire, le crédit mut’, la dernière fois qu’ils m’ont vu, c’est quand ils m’ont envoyé un courrier agressif pour me faire payer les aggios d’un découvert de 10 euros pendant deux jours sur un compte, en 5 ans chez eux. Tout ça parce que:




  • ma demande de découvert autorisé, bien que demandée et acceptée oralement, n’avait jamais été réellement faite au moment de l’ouverture dudit compte.

  • la dépense s’était croisée avec le virement qui devait justement approvisionner le compte … le virement était en retard … par leur faute.

  • j’avais dans le même temps plusieurs dizaines de ke sur d’autres comptes chez eux.



    Un service client déplorable donc, le tout malgré des frais largement supérieurs à leurs concurrents. Ils n’auront plus jamais un centime de ma part.

votre avatar







totor1977 a écrit :



Je pense que c’est depuis le début que ça existe parce que j’ai ma e-carte depuis quelques années et je m’en suis toujours servi en nomade (je ne voulais rien installer sur mon pc)





Depuis le début de quoi ? Si tu suis tes comptes, tu dois pouvoir dire de quand date ta 1ére utilisation du service.





Il faut aller ici :

https://service.e-cartebleue.com/v4/labanquepostale/



merci je sais lire. Et je vais garder ma carte à usage national, c’est collector.


votre avatar







Milvus a écrit :



En complément, on peut ajouter qu’on a 8 semaines pour contester un prélèvement SEPA, quelque soit le motif. Et après ce délais, encore 13 mois pour contester un prélèvement frauduleux.



Donc certes, il faut surveiller ses relevés de compte (ce qui est une pratique indispensable de base, SEPA ou non), mais on est très loin du risque de frause massive.



De toute façon, les banques ne font presque plus de vérification a priori, que ce soit les autorisations de prélèvement classiques, les encaissement de chèque… Bien plus simple et moins cher pour elles de régulariser après.





c’est peut-être old-school, mais j’attends de ma banque qu’elle vérifie disposer d’un ordre de paiement de ma part avant de débiter mon compte, c’est aussi pour ça que je la paye.

Beaucoup faisaient certainement TRES MAL leur travail, la loi SEPA leur permet simplement de ne plus le faire…



On peut aussi lire l’étude de l‘UFC jusqu’au bout, et surtout à partir de la page 20 :

je prédis une augmentation des prélèvements frauduleux.



Mais le plus intéressant démarre en page 34 de ce rapport : d’énormes économies d’échelles pour les banques se traduisant par des augmentations de tarifs pour le client . <img data-src=" />


votre avatar

exemple de futur dialogue avec mon banquier : “on a viré votre argent sur le compte d’un margoulin ? C’est pas notre faute, il nous l’avait demandé.”

votre avatar







_fefe_ a écrit :



Depuis le début de quoi ? Si tu suis tes comptes, tu dois pouvoir dire de quand date ta 1ére utilisation du service.







2006


votre avatar







totor1977 a écrit :



2006





Je suis sceptique sur la date.

J’ai regardé régulièrement, même si compte tenu de l’existence d’une appli windows, je regardais surtout l’inexistence d’appli linux.

D’ailleurs pourquoi avoir conservé l’utilisation d’un logiciel quand il n’était plus nécessaire ?

De toute façon c’est encore grillé pour moi : obligation d’une carte bleue internationale, quand je paie la mienne moins chère ailleurs et que je conserve précieusement ma carte bleue nationale chez eux, rempart infranchissable à la fraude internationale à la carte bancaire.



PS : en bon français, je râle, mais si je suis à LBP, je considère qu’ils sont parmi les moins pires


votre avatar

si tu veux je peux te sponsoriser pour une GOLD Mastercard internationale gratuite avec tout gratuit

<img data-src=" />

votre avatar







GentooUser a écrit :



Débits frauduleux ? Aucun rapport avec les nouveaux mandats SEPA qui ne nécessitent pas la transmission d’office de l’autorisation de prélèvement ?







bah tu veux dire qu’au moins il y a un numéro d’autorisation, alors que l’ancien … c’est tout sur la confiance…



et puis ce n’est que pour la transition.. fallait bien que ça passe … 4 ans qu’ils essaient


votre avatar

On peut toujours gueuler pour un virement frauduleu, la Banque dira SEPA vrai ou SEPA faux ou SEPA possible…<img data-src=" />



<img data-src=" />

Débits frauduleux : l’AFUB tire la sonnette d’alarme concernant deux banques

  • Près de 1 000 plaintes remontées à l'AFUB, pour des sommes entre 1 500 et 10 000 €

  • La non-communication des banques... comme pour l'affaire Heartbleed

  • Les précisions du Crédit Mutuel Nord Europe 

  • Que faire en cas de problème ?

Fermer