La fraude au faux conseiller, nouvelle arnaque bancaire difficile à empêcher
Les escrocs réussissent à tromper le client en usurpant le numéro de téléphone de sa banque, ce que les opérateurs ne peuvent pas encore interdire.
Par Rafaële Rivais
La fraude bancaire s’adapte ! Depuis que les banques ont mis en place un système de double authentification des opérations de paiement, les escrocs se tournent vers un nouveau type d’arnaque, l’usurpation du numéro de téléphone du conseiller bancaire, ou « spoofing ». Lorsqu’ils appellent le client, pour lui faire valider des opérations frauduleuses, c’est ce numéro qui s’affiche.
Comment empêcher cela ? Cette question a été posée par le secrétaire de l’Observatoire de la sécurité des moyens de paiement (OSMP), Julien Lasalle, lors d’une conférence de presse, organisée mardi 16 mai dans les locaux de la Banque de France à Paris, et destinée à présenter treize recommandations relatives au remboursement des opérations de paiement frauduleuses.
Ces recommandations ont été adoptées par un groupe de travail paritaire, mis en place par le gouverneur de la Banque de France, au lendemain de la plainte déposée par l’UFC-Que choisir contre douze banques qui, de manière « systématique », refusent de rembourser leurs clients lorsque ceux-ci indiquent avoir été victimes de fraude.
Lire aussi : Article réservé à nos abonnés Paiements en ligne : les fraudes vont-elles vraiment baisser avec la double authentification ?
Ajouter à vos sélections
Ce groupe de travail, qui réunissait notamment des associations de consommateurs, des médiateurs bancaires et des prestataires de services de paiement, s’est réuni cinq fois entre octobre 2022 et février 2023.
Techniquement et légalement
Sa dernière recommandation concerne le spoofing. Elle dit que « les acteurs du secteur des technologies de l’information », tels les opérateurs de téléphonie, « veillent à protéger les utilisateurs contre les risques d’usurpation d’identité ». Mais elle ne dit pas que les opérateurs doivent interdire l’affichage d’un numéro autre que celui de l’appelant : en effet, « ce n’est pas encore possible », techniquement et légalement, a expliqué M. Lasalle.
Il a rappelé que la substitution d’un numéro général long à un numéro particulier est autorisée dans certains cas : « Les conseillers EDF par exemple, appellent tous avec le même numéro ». Combler cette faille « prendra du temps », a-t-il précisé. Le 28 mars 2023, la cour d’appel de Versailles a jugé que le client victime de cette faille doit être remboursé, a-t-il rappelé.
Lire aussi : Article réservé à nos abonnés Fraude au faux conseiller bancaire : la BNP condamnée à rembourser une victime de « spoofing »
Ajouter à vos sélections
Autre mesure qui risque de prendre du temps : le « contrôle de concordance » entre l’IBAN (International Bank Account Number, ou « numéro de compte bancaire international ») et le bénéficiaire d’un virement, prévu dans le cadre de la révision du règlement SEPA [« Single Euro Payments Area », l’espace unique de paiement en euros]. La recommandation 10 « encourage » donc les banques à le mettre en place, sans attendre que la réglementation européenne l’impose. Si elles ne le font pas, elles sont « invitées » à l’indiquer clairement au client. Celui-ci doit être prévenu du fait qu’un fraudeur peut avoir associé l’IBAN d’un compte dont il est titulaire à l’intitulé d’un bénéficiaire de confiance comme le Trésor public.
Normalement, dans ce cas de figure, me semble qu’ils font du “social engineering” pour te pousser à accepter la double authent sur ton tel, en te faisant passer, par leur habilité orale, une arnaque comme une mesure de protection.
Ceci dit, une fois cette double authent passée, c’est 100 % de la responsabilité du client.
Ca faisait bien chier les conseillers que j’avais vu d’une banque pop quand des clients les appellent pour demander/réclamer des remboursements quand ils se sont fait avoir. Ils le faisaient parfois, en partie seulement, en fonction de l’ancienneté/relation client. Mais dans tous les cas ça crée du mécontentement. Les banques en ligne eux s’embêtent moins.
Comment empêcher ça?
Le maillon faible est toujours l’utilisateur, peu importe les technos que tu vas mettre en face (dont le 2FA), si l’utilisateur ne les comprend pas il n’y aura rien que le social engineering ne puisse passer.
Il faut former les gens, ou alors leur retirer la possibilité de faire ces opérations en ligne…
> Mais elle ne dit pas que les opérateurs doivent interdire l’affichage d’un numéro autre que celui de l’appelant : en effet, « ce n’est pas encore possible », techniquement et légalement, a expliqué M. Lasalle.
Est-ce que quelqu’un aurait les références des détails techniques ?
4 comments
La fraude au faux conseiller, nouvelle arnaque bancaire difficile à empêcher
Les escrocs réussissent à tromper le client en usurpant le numéro de téléphone de sa banque, ce que les opérateurs ne peuvent pas encore interdire.
Par Rafaële Rivais
La fraude bancaire s’adapte ! Depuis que les banques ont mis en place un système de double authentification des opérations de paiement, les escrocs se tournent vers un nouveau type d’arnaque, l’usurpation du numéro de téléphone du conseiller bancaire, ou « spoofing ». Lorsqu’ils appellent le client, pour lui faire valider des opérations frauduleuses, c’est ce numéro qui s’affiche.
Comment empêcher cela ? Cette question a été posée par le secrétaire de l’Observatoire de la sécurité des moyens de paiement (OSMP), Julien Lasalle, lors d’une conférence de presse, organisée mardi 16 mai dans les locaux de la Banque de France à Paris, et destinée à présenter treize recommandations relatives au remboursement des opérations de paiement frauduleuses.
Ces recommandations ont été adoptées par un groupe de travail paritaire, mis en place par le gouverneur de la Banque de France, au lendemain de la plainte déposée par l’UFC-Que choisir contre douze banques qui, de manière « systématique », refusent de rembourser leurs clients lorsque ceux-ci indiquent avoir été victimes de fraude.
Lire aussi : Article réservé à nos abonnés Paiements en ligne : les fraudes vont-elles vraiment baisser avec la double authentification ?
Ajouter à vos sélections
Ce groupe de travail, qui réunissait notamment des associations de consommateurs, des médiateurs bancaires et des prestataires de services de paiement, s’est réuni cinq fois entre octobre 2022 et février 2023.
Techniquement et légalement
Sa dernière recommandation concerne le spoofing. Elle dit que « les acteurs du secteur des technologies de l’information », tels les opérateurs de téléphonie, « veillent à protéger les utilisateurs contre les risques d’usurpation d’identité ». Mais elle ne dit pas que les opérateurs doivent interdire l’affichage d’un numéro autre que celui de l’appelant : en effet, « ce n’est pas encore possible », techniquement et légalement, a expliqué M. Lasalle.
Il a rappelé que la substitution d’un numéro général long à un numéro particulier est autorisée dans certains cas : « Les conseillers EDF par exemple, appellent tous avec le même numéro ». Combler cette faille « prendra du temps », a-t-il précisé. Le 28 mars 2023, la cour d’appel de Versailles a jugé que le client victime de cette faille doit être remboursé, a-t-il rappelé.
Lire aussi : Article réservé à nos abonnés Fraude au faux conseiller bancaire : la BNP condamnée à rembourser une victime de « spoofing »
Ajouter à vos sélections
Autre mesure qui risque de prendre du temps : le « contrôle de concordance » entre l’IBAN (International Bank Account Number, ou « numéro de compte bancaire international ») et le bénéficiaire d’un virement, prévu dans le cadre de la révision du règlement SEPA [« Single Euro Payments Area », l’espace unique de paiement en euros]. La recommandation 10 « encourage » donc les banques à le mettre en place, sans attendre que la réglementation européenne l’impose. Si elles ne le font pas, elles sont « invitées » à l’indiquer clairement au client. Celui-ci doit être prévenu du fait qu’un fraudeur peut avoir associé l’IBAN d’un compte dont il est titulaire à l’intitulé d’un bénéficiaire de confiance comme le Trésor public.
Normalement, dans ce cas de figure, me semble qu’ils font du “social engineering” pour te pousser à accepter la double authent sur ton tel, en te faisant passer, par leur habilité orale, une arnaque comme une mesure de protection.
Ceci dit, une fois cette double authent passée, c’est 100 % de la responsabilité du client.
Ca faisait bien chier les conseillers que j’avais vu d’une banque pop quand des clients les appellent pour demander/réclamer des remboursements quand ils se sont fait avoir. Ils le faisaient parfois, en partie seulement, en fonction de l’ancienneté/relation client. Mais dans tous les cas ça crée du mécontentement. Les banques en ligne eux s’embêtent moins.
Comment empêcher ça?
Le maillon faible est toujours l’utilisateur, peu importe les technos que tu vas mettre en face (dont le 2FA), si l’utilisateur ne les comprend pas il n’y aura rien que le social engineering ne puisse passer.
Il faut former les gens, ou alors leur retirer la possibilité de faire ces opérations en ligne…
> Mais elle ne dit pas que les opérateurs doivent interdire l’affichage d’un numéro autre que celui de l’appelant : en effet, « ce n’est pas encore possible », techniquement et légalement, a expliqué M. Lasalle.
Est-ce que quelqu’un aurait les références des détails techniques ?