Débits frauduleux : l'AFUB tire la sonnette d'alarme concernant deux banques

Débits frauduleux : l’AFUB tire la sonnette d’alarme concernant deux banques

La pêche était bonne ?

Avatar de l'auteur

Sébastien Gavois

Publié dansInternet

23/05/2014
59
Débits frauduleux : l'AFUB tire la sonnette d'alarme concernant deux banques

Depuis quelques jours, l'Association Française des Usagers des Banques (AFUB) monte au créneau afin d'indiquer qu'elle a reçu pas loin de mille plaintes concernant deux sociétés : le Crédit Mutuel Nord Europe et la Banque postale. Les usagers font états de débits frauduleux qui oscillent généralement entre 1 500 et 10 000 euros.

Euros

 

Avec l'importance croissante de l'informatique et du numérique dans nos vies, la question de la sécurité prend de l'ampleur, surtout qu'elle est régulièrement mise à mal ces derniers temps. Il y a deux jours, eBay demandait ainsi à l'ensemble de ses utilisateurs de changer de mot suite à une cyberattaque, tout comme Orange qui a laissé filer des données personnelles par deux fois en quelques mois. Début avril, c'était tout simplement un raz de marée qui tombait sur internet avec la faille Heartbleed touchant OpenSSL. Comme nous l'avions alors évoqué, les banques n'étaient pas épargnées, loin de là.

Près de 1 000 plaintes remontées à l'AFUB, pour des sommes entre 1 500 et 10 000 €

Depuis quelques jours, l'AFUB monte au créneau, d'abord chez Le Parisien puis chez nos confrères de France info, afin de se faire l'écho d'un millier de clients qui font face à des fraudes dont les montants varient entre 1 500 et 10 000 euros tout de même. Deux établissements sont dans la ligne de mire de l'association : le Crédit Mutuel Nord Europe et la Banque postale. 

 

Serge Maître, président de l'AFUB, ajoute qu'il est « alarmé par le fait que les banques concernées restent passives et n'entreprennent aucune mesure de prévention et de communication. Elles ont l'adresse email de tous leurs clients qui sont des internautes qui ont accès par internet aux comptes. Là on attendrait qu'elle lance un message en disant : attention nous sommes actuellement pillées ».

La non-communication des banques... comme pour l'affaire Heartbleed

On se retrouve donc dans la même situation que pour la faille Heartbleed qui a secoué internet début avril : les banques ne communiquent pas. Pour rappel, nous avions déjà souligné le cas particulier du Crédit Mutuel qui annonçait sur Twitter qu'elle n'était « pas concernée par cette faille de sécurité », ce qui était probablement valable pour la consultation des comptes en ligne, mais pas pour ses plateformes de paiement (voir cette actualité pour tous les détails).

Crédit Mutuel Heartbleed

La question mérite d'ailleurs d'être posée : les fraudes remontées par l'AFUB sont-elles liées d'une manière ou d'une autre à Heartbleed ? Impossible à dire en l'état actuel des choses. Nous avons tenté de contacter l'association afin d'avoir de plus amples informations, sans résultat pour le moment.

Les précisions du Crédit Mutuel Nord Europe 

Mais suite à la publication de cette affaire dans Le Parisien, le Crédit Mutuel Nord Europe (CMNE) a publié un communiqué de presse, non pas pour alerter ses clients, mais pour « apporter les précisions suivantes » : 

 

« Contrairement à ce que laisse penser l’article, le système informatique du Crédit Mutuel Nord Europe n’a fait l’objet d’aucun piratage. Cette information nuit gravement au CMNE, d’autant que ses systèmes de sécurité sont régulièrement renforcés. Le nombre de transactions frauduleuses au CMNE représente 0,002 % du nombre total des transactions.

 

Le cas cité dans l’article du Parisien fait un amalgame entre l’utilisation frauduleuse de cartes bancaires et le phishing. Il convient de rappeler que le phishing n’est pas la conséquence d’un détournement à l’insu du client, mais d’une communication de sa part des informations sécurisant le dispositif de banque à distance.

 

Des mises en garde contre le phishing sont présentes et constantes dans ses différentes communications.

 

Dès qu’il a connaissance d’une opération présumée frauduleuse, le CMNE bloque les moyens de paiement et respecte systématiquement la réglementation dans la recherche de responsabilité. Il rembourse les clients quand il n’y a pas eu négligence de leur part. A l’inverse, le client est amené à supporter le sinistre dès lors que sa négligence est reconnue, comme en attestent deux décisions de justice rendues récemment dans des cas similaires. »

 

La banque indique donc que l'on est ici face à des cas issus d'une campagne de phishing, une pratique qui consiste pour des pirates à monter de faux sites internet, qui ressemblent comme deux gouttes d'eau à l'original, en demandant aux utilisateurs de se connecter ou d'indiquer des coordonnées bancaires. Le but étant d'obtenir des identifiants et des mots de passe de clients qui se sont laissé berner. Il semblerait d'ailleurs que certains cherchent en ce moment à le faire en imitant les services des impôts : 

 

 

Une pratique que l'on dénonce régulièrement et qui se nourrit allégrement des vagues de fuites de données personnelles afin de récupérer informations permettant de mettre les utilisateurs utilisateurs en confiance alors qu'ils se trouvent sur un site frauduleux.

Que faire en cas de problème ?

La question est maintenant de savoir ce qu'il faut faire en cas de problème. Serge Maître indique qu'« il faut de toute façon aller voir le responsable de la clientèle, c'est-à-dire le directeur de l'agence, et si cela ne marche pas : lettre recommandée avec accusé de réception ». Après il est également possible de passer par le médiateur de la banque et d'aller jusqu'au procès si besoin.

 

Il invoque au passage l'article L. 133-18 du code monétaire et financier qui précise qu'« en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ».

 

Quelles sont les conditions stipulées à l'article L. 133-24 ? « L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit. » Dans tous les cas, n'hésitez pas à nous faire part de vos retours si vous êtes dans une des banques pointées du doigt par l'AFUB et que vous avez eu à faire à une utilisation frauduleuse.

59
Avatar de l'auteur

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 28
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

Sommaire de l'article

Introduction

Près de 1 000 plaintes remontées à l'AFUB, pour des sommes entre 1 500 et 10 000 €

La non-communication des banques... comme pour l'affaire Heartbleed

Les précisions du Crédit Mutuel Nord Europe 

Que faire en cas de problème ?

#Flock a sa propre vision de l’inclusion

Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

28
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 17
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 15

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 13
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 34
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 52
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 10

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 38
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (59)


kade
Il y a 10 ans

Je croyais que les plus grosses fuites, par milliards, venaient de banques suisses <img data-src=" />


Jarodd Abonné
Il y a 10 ans

Ca fait un moment que je n’avais pas vu d’exemple de phising, ils se sont bien amélioré ! Quelques fautes d’orthographe mineures, le texte qui a un aspect crédible, l’adresse .gouv.fr… Je comprends qu’on puisse se faire piéger <img data-src=" />


Commentaire_supprime
Il y a 10 ans

Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.

Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.

En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !

Voilà, simple, net, efficace.


tAran
Il y a 10 ans

Est-il étonnant qu’une banque mente ? <img data-src=" />


Aegys Abonné
Il y a 10 ans






Jarodd a écrit :

Ca fait un moment que je n’avais pas vu d’exemple de phising, ils se sont bien amélioré ! Quelques fautes d’orthographe mineures, le texte qui a un aspect crédible, l’adresse .gouv.fr… Je comprends qu’on puisse se faire piéger <img data-src=" />


J’ai reçu le même mail ce matin et j’avoue avoir été aussi surpris par la “qualité” du mail. A priori, les auteurs ont suivi des cours de français jusqu’en CE2 au moins ! Il a même passé le filtre anti spam et anti phishing de Gmail.
Mais bon, sachant déjà que mes impôts doublaient cette année, le coup du remboursement tombait à l’eau <img data-src=" />



Aloyse57
Il y a 10 ans






Commentaire_supprime a écrit :

Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.



Pas au Canada en tout cas. Rien qu’aux gouvernements, quasiment tout ce fait par internet. Et ça c’est sans les différents organismes chapeautés par le gouvernement.
Pour les francophones, se baser sur les fautes d’orthographe n’est même pas un bon critère, tant les communications officielles en sont bourrées. Distinguer le vrai du faux est beaucoup plus difficile.
Cependant la règle suivante est absolument vraie :


Commentaire_supprime a écrit :

…sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.




Ami-Kuns Abonné
Il y a 10 ans






Aloyse57 a écrit :

Pas au Canada en tout cas. Rien qu’aux gouvernements, quasiment tout ce fait par internet. Et ça c’est sans les différents organismes chapeautés par le gouvernement.
Pour les francophones, se baser sur les fautes d’orthographe n’est même pas un bon critère, tant les communications officielles en sont bourrées. Distinguer le vrai du faux est beaucoup plus difficile.
Cependant la règle suivante est absolument vraie :


Donc les mails reçu en France serait un dommage collatéral d’attaque en pishing de canadien. ??



JoePike
Il y a 10 ans

la dernière tentative de hameçonnage dirigée vers le crédit mutuel était
très bien faite.. graphique impeccable ortho sans faille
je l’ai envoyée au crédit mutuel ( qui a une adresse spéciale pour cela) , ils ne m’ont même pas répondu
<img data-src=" />
je pensais que ça les interessait et qu’au moins ils m’auraient envoyé un AR … rien
peut -être que c’était un vrai courrier
<img data-src=" />


Candl3
Il y a 10 ans


Il y a deux jours, eBay demandait ainsi à l’ensemble de ses utilisateurs de changer de mot de puisse suite à une cyberattaque,


Ahhh la puisette!


AirTé
Il y a 10 ans

De toute manière, un site ne demande jamais de suivre un lien pour vérifier nos coordonnées. C’est forcément du phishing.
Tout comme je vais sur le site directement dans mon navigateur, jamais par un lien (encore moins pour un remboursement des impôts <img data-src=" />).


jmc007
Il y a 10 ans

On reconnait bien la le caractère de voleur, dépouilleur, détrousseur, branleur, feignasse des banques et de ceux qui y bosse…en félicitant le nombre x de personnes sérieuse, si il en reste encore.<img data-src=" />
Le français trime en se faisant voler par les banques et celles ci parte en vacance et se paye du 13eme au 16 mois aux 35h avec notre oseille…<img data-src=" />

<img data-src=" />


sanscrit
Il y a 10 ans

a mon boulot, j’ai un collègue qui vient du niger avec le nom qui va avec, j’ai toujours moulte alerte sur ses mail et je dois toujours aller chercher ses mails dans la boite a spam <img data-src=" />


psn00ps Abonné
Il y a 10 ans






AirTé a écrit :

De toute manière, un site ne demande jamais de suivre un lien pour vérifier nos coordonnées. C’est forcément du phishing.
Tout comme je vais sur le site directement dans mon navigateur, jamais par un lien (encore moins pour un remboursement des impôts <img data-src=" />).


Justement, la question se pose: puisque les impôts visent le zéro papier,
comment communique[ro]nt-ils ?



psn00ps Abonné
Il y a 10 ans






tAran a écrit :

Est-il étonnant qu’une banque mente ? <img data-src=" />


Attention, on va avoir les assoc antiracistes sur le dos <img data-src=" />



GentooUser
Il y a 10 ans

Débits frauduleux ? Aucun rapport avec les nouveaux mandats SEPA qui ne nécessitent pas la transmission d’office de l’autorisation de prélèvement ?


Milvus
Il y a 10 ans

On ne dirait pas que l’AFUB parle de SEPA hier.

C’est vrai qu’il est aussi utilisé pour le phising, mais plus celui destiné aux entreprises. Un escroc téléphone en se faisant passer pour un employé de la banque et propose de faire des “tests de virement” vers l’étranger. <img data-src=" />

Quoiqu’il en soit, j’ai pas l’impression que les banques ne font rien sur ces problèmes, elles seraient plutôt du genre à presque spammer leurs clients avec des avertissements.

Mais bon, tant que les escrocs seront doués et les clients un peu neuneu…


Oungawak
Il y a 10 ans






AirTé a écrit :

De toute manière, un site ne demande jamais de suivre un lien pour vérifier nos coordonnées. C’est forcément du phishing.
Tout comme je vais sur le site directement dans mon navigateur, jamais par un lien (encore moins pour un remboursement des impôts <img data-src=" />).


Un remboursement des impôts ! T’as trop de chance, moi c’était une menace de coupure d’EDF si je payais pas au plus vite un gros impayé… Fini le rêve des héritages d’émirs, la crise touche même le phishing maintenant… <img data-src=" />



kade
Il y a 10 ans






GentooUser a écrit :

Débits frauduleux ? Aucun rapport avec les nouveaux mandats SEPA qui ne nécessitent pas la transmission d’office de l’autorisation de prélèvement ?


Je vois que tu sembles être un des rares à savoir de quoi tu parles. Le SEPA est une cata…
Un truc européen je crois, non ? (je sais pas trop là).
Par contre, bonjour le danger.
Ce serait bien que PCI <img data-src=" /> NI fasse un article là dessus.



Xaelias
Il y a 10 ans






Commentaire_supprime a écrit :

Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.

Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.

En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !

Voilà, simple, net, efficace.


Ouai bah justement ce serait bien qu’un peu plus de trucs se fassent par internet… Parce que les recommandés c’est cool, mais ça coûte de l’argent, c’est lent, et c’est archaïque…



FennNaten Abonné
Il y a 10 ans

[HS] Reçu aujourd’hui, un pseudo mail de la bnp avec comme instruction: “pour éviter l’invalidité de votre compte, veuillez télécharger la pièce jointe puis l’ouvrir avec votre navigateur”
En pj un .htm dont la preview dans la boîte mail commence par une balise script…
Mais bien sûr ! xD [/HS]


psn00ps Abonné
Il y a 10 ans






FennNaten a écrit :

[HS] Reçu aujourd’hui, un pseudo mail de la bnp avec comme instruction: “pour éviter l’invalidité de votre compte, veuillez télécharger la pièce jointe puis l’ouvrir avec votre navigateur”
En pj un .htm dont la preview dans la boîte mail commence par une balise script…
Mais bien sûr ! xD [/HS]


Des fois c’est pourri, le serveur auquel ils envoient est déjà mort/patché/reporté <img data-src=" />



Rokin
Il y a 10 ans






Commentaire_supprime a écrit :

Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.

Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.

En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !

Voilà, simple, net, efficace.



Bof, je suis pas un expert dans le domaine mais par exemple le dernier phishing que j’ai eu correspondait à ma banque justement (surement fishing de masse en attente de trouver client). c’était un mail plutôt bien écrit, proche d’un officiel visuellement, indiquant des débit anormaux sur mon compte et de bien vouloir se rendre sur le site pour vérifier. (j’ai moi même eu un doute les premières secondes <img data-src=" />)

forcement pour michu, coup de paniquer, clic sur un des liens du mail qui redirige sur une copie du site de la banque, tu rentre tes identifiant et ta tout gagné si tu ne fait pas attention à l’url présent dans le mail.

un fishing qui demande de cc directement tes identifiant je pense pas que ca marcherai tant que ça c’est un peu gros quand même.

bref, tout ca pour dire que c’est un peu plus subtile en général. <img data-src=" />



anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans






Xaelias a écrit :

Ouai bah justement ce serait bien qu’un peu plus de trucs se fassent par internet… Parce que les recommandés c’est cool, mais ça coûte de l’argent, c’est lent, et c’est archaïque…


mais ça a une valeur juridique.
Quelle valeur ont les mails non signés d’une banque, tellement proches d’un spam ?

En premier lieu, il faudrait éduquer les internautes avant de les pousser vers la dématérialisation : quelle différence entre une adresse en *.gouv.fr et *.gouv.net ou whathelse ?



anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans






kade a écrit :

Je vois que tu sembles être un des rares à savoir de quoi tu parles. Le SEPA est une cata…
Un truc européen je crois, non ? (je sais pas trop là).
Par contre, bonjour le danger.
Ce serait bien que PCI <img data-src=" /> NI fasse un article là dessus.


Le SEPA c’est un truc à l’initiative des établissements bancaires ou de la commission européenne, il y eut tant de navettes qu’on ne sait plus trop, mais au final ils sont d’accord : la banque n’est plus responsable des prélèvements présentés et réglés sur ton compte, c’est le créancier ou pseudo-créancier.



anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans

en temps que client de la banque postale, j’aimerais bien accéder à leur e-carte, peut-être un jour possible sans windows ;-)


totor1977 Abonné
Il y a 10 ans






_fefe_ a écrit :

en temps que client de la banque postale, j’aimerais bien accéder à leur e-carte, peut-être un jour possible sans windows ;-)



J’utilise la mienne via le navigateur

Tu es obligé d’installé quelque chose parce que je n’ai jamais eu besoin de le faire ?



yl
Il y a 10 ans






_fefe_ a écrit :

Le SEPA c’est un truc à l’initiative des établissements bancaires ou de la commission européenne, il y eut tant de navettes qu’on ne sait plus trop, mais au final ils sont d’accord : la banque n’est plus responsable des prélèvements présentés et réglés sur ton compte, c’est le créancier ou pseudo-créancier.



Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?

Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.



pixbis
Il y a 10 ans

Alors là, pas étonné du tout, des tentatives de fishing exploitant la marque credit mutuel j’en reçois au moin 2 par semaines, et chaque fois c’est le même topo : je fais suivre le mail à [email protected] , je signale le lien frauduleux a google et quand le lien exploite un site légitime et sans rapport je préviens le webmaster du site. J ‘en reçois aussi du cic de temps en temps, le pire c’est que c’est une adresse que je ne donne pas a n’importe qui <img data-src=" />


yulpocket
Il y a 10 ans


Alors là, pas étonné du tout, des tentatives de fishing exploitant la marque credit mutuel j’en reçois au moin 2 par semaines, et chaque fois c’est le même topo : je fais suivre le mail à [email protected] , je signale le lien frauduleux a google et quand le lien exploite un site légitime et sans rapport je préviens le webmaster du site. J ‘en reçois aussi du cic de temps en temps, le pire c’est que c’est une adresse que je ne donne pas a n’importe qui


Pareil, j’en reçois tous les jours avec un lien pour télécharger une application creditmutuel.exe <img data-src=" />
Mais c’est pour ma sécurité qu’ils me disent <img data-src=" />


pixbis
Il y a 10 ans






yulpocket a écrit :

Pareil, j’en reçois tous les jours avec un lien pour télécharger une application creditmutuel.exe <img data-src=" />
Mais c’est pour ma sécurité qu’ils me disent <img data-src=" />



Haaa ! ok ! bon ben si pour ma sécurité alors … <img data-src=" />



Fantassin
Il y a 10 ans

La Poste… c’est un peu la sncf des voies numériques.


pecos
Il y a 10 ans






Commentaire_supprime a écrit :

Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.


Normalement tu aurais raison, mais en fait… NON.

J’ai reçu il y a 2 ou 3 anss une demande du crédit lyonnais (LCL) sur mon compte mail, me demandant de changer mon mot de passe de connexion au service en ligne de gestion de mes comptes.

J’ai cru un bon moment que c’était du phishing, mais après vérification en me connectant directement au site du LCL sans passer par le lien dans le mail :
Ça n’était pas du phishing.
C’était réellement une demande officielle du CL.
Et il a bien fallu que je change de mot de passe, car le CL avait décidé qu’il n’était plus valable.

Bon, je sais, c’est LCL… personne avait du leur parler du phishing à l’époque.<img data-src=" />



anonyme_2977a8ece3c2f0f7bdcbc76c4c775ea0
Il y a 10 ans

Dommage que l’article ne donne pas d’indiquations sur le nom utilisé des prélèvements, on aurait pas savoir si on est concernés ou pas.

On a beau suivre sob compte on peut tres bien passé a côté


xillibit Abonné
Il y a 10 ans

Après avoir lu l’article je ne sais pas trop quoi penser, est-ce vraiment du pishing ?


d’un millier de clients qui font face à des fraudes dont les montants varient entre 1 500 et 10 000 euros tout de même.

Depuis quand exactement ? Et pourquoi uniquement le Crédit Mutuel Nord Europe et la Banque postale ?

Y-a-t-il beaucoup plus gens qui se font avoir avec le pishing ou y-a-til une recrudescence d’envoi de mail de pishing ? Je ne pense pas.


Reghr Abonné
Il y a 10 ans






kade a écrit :

Je croyais que les plus grosses fuites, par milliards, venaient de banques suisses <img data-src=" />


Non ! elles y vont et les banques suisses ne fuitent jamais <img data-src=" />



Ler van keeg
Il y a 10 ans

Comme quoi “un PC dans chaque foyer” n’est pas la meilleure idée du monde…
Tout le monde n’est pas prêt à avoir un PC, à comprendre comment il marche, et ce qu’il faut faire avec.

Les gens cliquent n’importe où, et tout est tellement simplifié maintenant (merci chrome entre autres) qu’ils ne savent plus ce que c’est qu’une URL puisqu’ils tapent leur recherche dans la barre d’adresse puis cliquent sur le premier lien qui passe…
Alors différencier une url moisie d’une officielle…

Il devrait y avoir un stage pour avoir la possibilité d’avoir un PC, limite !
Et ceux qui ratent le stage : une tablette bien bridée et hop !


sylvere
Il y a 10 ans






yl a écrit :

Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?

Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.


il y a une solution, la loi SEPA oblige la banquier à prendre en compte une liste blanche (white-list) si on lui en fournit une:
http://www.quechoisir.org/argent-assurance/banque-credit/service-bancaire/lettre…

de même on peut également lui fournir une liste noire (black-list)



kade
Il y a 10 ans






xillibit a écrit :

Après avoir lu l’article je ne sais pas trop quoi penser, est-ce vraiment du pishing ?


J’ai pas encoure lu, j’ai pishing <img data-src=" />
<img data-src=" />



Milvus
Il y a 10 ans






sylvere a écrit :

il y a une solution, la loi SEPA oblige la banquier à prendre en compte une liste blanche (white-list) si on lui en fournit une:
http://www.quechoisir.org/argent-assurance/banque-credit/service-bancaire/lettre…

de même on peut également lui fournir une liste noire (black-list)



En complément, on peut ajouter qu’on a 8 semaines pour contester un prélèvement SEPA, quelque soit le motif. Et après ce délais, encore 13 mois pour contester un prélèvement frauduleux.

Donc certes, il faut surveiller ses relevés de compte (ce qui est une pratique indispensable de base, SEPA ou non), mais on est très loin du risque de frause massive.

De toute façon, les banques ne font presque plus de vérification a priori, que ce soit les autorisations de prélèvement classiques, les encaissement de chèque… Bien plus simple et moins cher pour elles de régulariser après.



Lion-Soul
Il y a 10 ans






Ler van keeg a écrit :

Les gens cliquent n’importe où, et tout est tellement simplifié maintenant (merci chrome entre autres) qu’ils ne savent plus ce que c’est qu’une URL puisqu’ils tapent leur recherche dans la barre d’adresse puis cliquent sur le premier lien qui passe…
Alors différencier une url moisie d’une officielle…

Il devrait y avoir un stage pour avoir la possibilité d’avoir un PC, limite !
Et ceux qui ratent le stage : une tablette bien bridée et hop !



Complétement d’accord c’est fou le nombre de gens que je retrouve apres une semaine de reinstall avec des truc genre speedupmy pc recorerypc et d’autres logiciels de mes couilles.

Sérieusement en plus au bout d’un moment ils vienne t’incriminer parce que ils croient que ta rien fait…

pour le fishing moi avec mes proches c des qu’on te demande un formulaire de retour c que c un mail phishing.




anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans






totor1977 a écrit :

J’utilise la mienne via le navigateur

Tu es obligé d’installé quelque chose parce que je n’ai jamais eu besoin de le faire ?


Depuis quand ?
Ils proposent enfin un “service nomade” sans installation.
Pendant des années, c’était impossible sans leur application en .exe.

En tout cas, merci pour l’info. <img data-src=" />



choukky Abonné
Il y a 10 ans






Jarodd a écrit :

Ca fait un moment que je n’avais pas vu d’exemple de phising, ils se sont bien amélioré ! Quelques fautes d’orthographe mineures, le texte qui a un aspect crédible, l’adresse .gouv.fr… Je comprends qu’on puisse se faire piéger <img data-src=" />


<img data-src=" />
Pourtant il suffit simplement d’appliquer une simple règle de base systématique sur tout email provenant d’un compte sensible (fai, paypal, banque, etc…) :
Ne pas cliquer sur le lien proposé, ouvrir manuellement son navigateur et taper soi-même l’adresse; ou passer, éventuellement, par son moteur de recherche habituel pour les plus fainéants. <img data-src=" />



djengo Abonné
Il y a 10 ans

Dommage qu’on ai pas encore plus d’info sur le type de débit…






yl a écrit :

Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?

Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.


Un troll ? <img data-src=" />


sylvere a écrit :

il y a une solution, la loi SEPA oblige la banquier à prendre en compte une liste blanche (white-list) si on lui en fournit une:
http://www.quechoisir.org/argent-assurance/banque-credit/service-bancaire/lettre…

de même on peut également lui fournir une liste noire (black-list)


Je rajoute que pour chaque mandat, le créancier doit fournir la référence unique du mandat (RUM). Il suffit donc de rien autoriser par défaut excepté les RUM autorisés par soit-même. (bon après selon la banque c’est plus ou moins bien fait niveau possibilités je trouve)



JoePike
Il y a 10 ans

Les prélèvements SEPA … j’utilise cela depuis 2010 en particulier avec l’étranger
je suis encore vivant <img data-src=" />
ce qui change c’est que c’est devenu obligatoire
mais le coup de je cite : ‘une bombe ce truc” c’est vraiment n’importe quoi
<img data-src=" />

PS ça ne change pas le fait que les banquiers étaient des truands avant et ils le resteront après OK ? Mais c’est pas le SEPA qui change grand chose.
<img data-src=" />



EDIT: je viens de vérifier , j’ai même fait un virement SEPA en 2009


totor1977 Abonné
Il y a 10 ans






_fefe_ a écrit :

Depuis quand ?

En tout cas, merci pour l’info. <img data-src=" />



Je pense que c’est depuis le début que ça existe parce que j’ai ma e-carte depuis quelques années et je m’en suis toujours servi en nomade (je ne voulais rien installer sur mon pc)

Il faut aller ici :
https://service.e-cartebleue.com/v4/labanquepostale/



totor1977 Abonné
Il y a 10 ans
MrJul
Il y a 10 ans

J’ai un peu du mal à voir le rapport entre les plaintes et Hearthbleed qui ne reste une grosse supposition dans l’article tout en étant tout de même mis en avant…

C’est en effet possible que cela vienne d’Heartbleed. Mais cela peut venir de n’importe où. Il y a en effet une recrudescence de fraudes en ce moment. Ma femme en a été victime la semaine dernière (retrait au Laos avec soi-disant sa carte, elle est au Crédit Mutuel). Pareil pour *trois* autres connaissances la semaine dernière. Par contre, on peut clairement reprocher à la banque de n’avoir rien fait. Un achat physique en France, et un retrait au Laos dans la foulée, ça devrait déclencher l’algo de vérification le plus basique du monde…


linkin623 Abonné
Il y a 10 ans






sscrit a écrit :

a mon boulot, j’ai un collègue qui vient du niger avec le nom qui va avec, j’ai toujours moulte alerte sur ses mail et je dois toujours aller chercher ses mails dans la boite a spam <img data-src=" />


Mais ton filtre est raciste /SAV des émissions <img data-src=" />



psn00ps Abonné
Il y a 10 ans






yl a écrit :

Une bombe ce truc: Pas de limite de montant, la banque n’étant plus détentrice du mandat on ne peut plus lui faire stopper les prélèvements en cas de problème/erreur… et sans avoir la mandat, comment vérifier quoi que ce soit?

Déjà que je n’étais pas trop enclin à donner un accès à mon compte à une société pour s’y servir, si on ne pourra même plus fermer le robinet à la source c’est inacceptable.


Tu l’as le mandat, il est signé de manière numérique. Essaie de souscrire à un MVNO pour voir.



psn00ps Abonné
Il y a 10 ans






Commentaire_supprime a écrit :

Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.

Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.

En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !

Voilà, simple, net, efficace.


100% d’accord, mais un problème se pose avec les banques tout-en-ligne :
comment communiquent-elles ?



brazomyna
Il y a 10 ans

Depuis la nuit des temps en France, une banque a l’obligation d’assurer les moyens de paiement qu’elle fournit contre toute utilsation frauduleuse (ce qui fait que quand une banque vend une e-carte bleue, ça revient à pigeonner le client en lui faisant payer un service de ‘protection de ses moyents de paiement’ en omettant bien de lui dire qu’elle a pourtant l’obligation légale de les assurer).

Reste le seul point qui pourrait être intéressant dans l’article: la réponse de la banque qui laisse entendre qu’elle aurait pu se dédouaner de cette obligation dans certains cas, après jugement. C’est ce point là qui aurait mérité un article. Typiquement si un cas de phising est considéré comme tel (ce qui me surprendrait beaucoup: de mémoire, la jurisprudence en la matière étant très largement en faveur du client, y compris des abrutis qui laissent leur code sur un post-it collé à la CB et qui se sont fait piquer le tout).

PS: Pour la petite histoire, le crédit mut’, la dernière fois qu’ils m’ont vu, c’est quand ils m’ont envoyé un courrier agressif pour me faire payer les aggios d’un découvert de 10 euros pendant deux jours sur un compte, en 5 ans chez eux. Tout ça parce que:




  • ma demande de découvert autorisé, bien que demandée et acceptée oralement, n’avait jamais été réellement faite au moment de l’ouverture dudit compte.

  • la dépense s’était croisée avec le virement qui devait justement approvisionner le compte … le virement était en retard … par leur faute.

  • j’avais dans le même temps plusieurs dizaines de ke sur d’autres comptes chez eux.

    Un service client déplorable donc, le tout malgré des frais largement supérieurs à leurs concurrents. Ils n’auront plus jamais un centime de ma part.


anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans






totor1977 a écrit :

Je pense que c’est depuis le début que ça existe parce que j’ai ma e-carte depuis quelques années et je m’en suis toujours servi en nomade (je ne voulais rien installer sur mon pc)


Depuis le début de quoi ? Si tu suis tes comptes, tu dois pouvoir dire de quand date ta 1ére utilisation du service.


Il faut aller ici :
https://service.e-cartebleue.com/v4/labanquepostale/

merci je sais lire. Et je vais garder ma carte à usage national, c’est collector.



anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans






Milvus a écrit :

En complément, on peut ajouter qu’on a 8 semaines pour contester un prélèvement SEPA, quelque soit le motif. Et après ce délais, encore 13 mois pour contester un prélèvement frauduleux.

Donc certes, il faut surveiller ses relevés de compte (ce qui est une pratique indispensable de base, SEPA ou non), mais on est très loin du risque de frause massive.

De toute façon, les banques ne font presque plus de vérification a priori, que ce soit les autorisations de prélèvement classiques, les encaissement de chèque… Bien plus simple et moins cher pour elles de régulariser après.


c’est peut-être old-school, mais j’attends de ma banque qu’elle vérifie disposer d’un ordre de paiement de ma part avant de débiter mon compte, c’est aussi pour ça que je la paye.
Beaucoup faisaient certainement TRES MAL leur travail, la loi SEPA leur permet simplement de ne plus le faire…

On peut aussi lire l’étude de l‘UFC jusqu’au bout, et surtout à partir de la page 20 :
je prédis une augmentation des prélèvements frauduleux.

Mais le plus intéressant démarre en page 34 de ce rapport : d’énormes économies d’échelles pour les banques se traduisant par des augmentations de tarifs pour le client . <img data-src=" />



anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans

exemple de futur dialogue avec mon banquier : “on a viré votre argent sur le compte d’un margoulin ? C’est pas notre faute, il nous l’avait demandé.”


totor1977 Abonné
Il y a 10 ans






_fefe_ a écrit :

Depuis le début de quoi ? Si tu suis tes comptes, tu dois pouvoir dire de quand date ta 1ére utilisation du service.



2006



anonyme_464d0c3f80816b3b25235c0b4ea3d7f5
Il y a 10 ans






totor1977 a écrit :

2006


Je suis sceptique sur la date.
J’ai regardé régulièrement, même si compte tenu de l’existence d’une appli windows, je regardais surtout l’inexistence d’appli linux.
D’ailleurs pourquoi avoir conservé l’utilisation d’un logiciel quand il n’était plus nécessaire ?
De toute façon c’est encore grillé pour moi : obligation d’une carte bleue internationale, quand je paie la mienne moins chère ailleurs et que je conserve précieusement ma carte bleue nationale chez eux, rempart infranchissable à la fraude internationale à la carte bancaire.

PS : en bon français, je râle, mais si je suis à LBP, je considère qu’ils sont parmi les moins pires



JoePike
Il y a 10 ans

si tu veux je peux te sponsoriser pour une GOLD Mastercard internationale gratuite avec tout gratuit
<img data-src=" />


caesar
Il y a 10 ans






GentooUser a écrit :

Débits frauduleux ? Aucun rapport avec les nouveaux mandats SEPA qui ne nécessitent pas la transmission d’office de l’autorisation de prélèvement ?



bah tu veux dire qu’au moins il y a un numéro d’autorisation, alors que l’ancien … c’est tout sur la confiance…

et puis ce n’est que pour la transition.. fallait bien que ça passe … 4 ans qu’ils essaient



jmc007
Il y a 10 ans

On peut toujours gueuler pour un virement frauduleu, la Banque dira SEPA vrai ou SEPA faux ou SEPA possible…<img data-src=" />

<img data-src=" />