Arnaque 3DSECURE

J'ai failli être victime d'une arnaque à la carte bancaire très astucieuse et que je n'avais pas encore rencontrée.

Hier, je reçois le SMS suivant :

3DSECURE
Pour confirmez votre paiement de 671 EUR, veuillez saisir le code suivant: 220618. Si vous n etes pas à l origine de cette transaction, contactez le 0977199807.

C'est le SMS classique que l'on reçoit quand on fait un paiement sur internet.
Sauf que... je n'ai pas fait d'achat de ce montant sur internet.
Je me dis donc que quelqu'un a profité d'une des fuites dont on parle périodiquement et pirate mon numéro de carte.

J'appelle aussitôt le 0977199807 et je tombe sur un Monsieur très "comme il faut", s'exprimant bien, voix posée, pas d'accent étranger.
J'explique la situation et il me demande tout d'abord si j'ai perdu ma carte.
Je réponds que non.
Il me demande alors les six premiers chiffres de ma carte.
Je les lui donne et il me dit :
- En effet, je vois une demande de débit de 671 € en provenance d'un cabinet de voyance à Londres ! Et je vois aussi un débit immédiat de 28 €.
Il me demande si je suis allé à Londres ou en Grande Bretagne récemment.
Je réponds non. On plaisante un peu sur cette histoire de cabinet de voyance.
Bref, je me sens assez en confiance.

Le gars me dit alors qu'il va faire le nécessaire pour bloquer ma carte et il me demande le numéro complet, les 16 chiffres cette fois.
Là, un clignotant s'allume dans mon cerveau (si, si) et je lui dis :
- Euh, excusez-moi mais je ne vais pas vous donner mon numéro de carte bancaire. Je ne suis pas du tout certain que vous soyez réellement 3DSECURE.
Là il me fait l'article sur 3SDSECURE, société internationale de sécurité bancaire très sérieuse et me propose de me renseigner sur internet.
Je lui dis que je connais 3DSECURE, que je n'ai pas besoin d'aller sur internet pour savoir qui c'est, mais que rien ne m'assure que le SMS provient bien d'eux, surtout avec un numéro 09 à rappeler.
Le type insiste : "Regardez bien l'en-tête du SMS ! C'est bien 3DSECURE" !"
Je lui dis alors que je peux aussi bien appeler ma banque pour demander de faire opposition.
Il acquiesce mais continue à dire qu'il est mandaté par ma banque pour faire cette opération.
J'ajoute que s'il a pu voir les débits de 671 et 28 € sur ma carte, c'est qu'il a tout ce qu'il faut pour l'identifier et il n'a pas besoin des numéros.

Là, un blanc...
Allo ? ... Allo ? ... Allo ?
Il a raccroché !

Plus tard j'ai appelé ma banque qui m'a dit qu'il n'y avait aucune transaction de 671 ou 28 € en cours.
Il n'était pas au courant de ce genre d'arnaque.

À bon entendeur...

Ça devient de plus en plus dur de les démasquer..c'est dingue

Hello,
Les SMS 3DSECURE que je reçois proviennent uniquement de ma banque et indiquent le montant ainsi que le site internet de l'achat. En aucun cas, il n'y a un numéro à rappeler.
Si je ne suis pas à l'origine de la demande de paiement, je ne fais rien et il ne se passe rien, la banque refuse le paiement.
Néanmoins, c'est une arnaque bien montée ...
A.

Pour la banque postale,  il m'indique un numéro en 09 (si je n'ai pas réalisé cet achat) et le site d'achat n'est pas toujours indiqué.

Crédit Agricole pour moi

Et ton numéro de carte, c'est quoi ?

A noter que le message a changé au mois de juillet. Le nom du site ne semble plus apparaître !

1234 5678 9012 3456 - 999 - code 0007 -

C’est une arnaque et tu aurais dû t’en apercevoir dès le début : ça n’existe plus les SMS pour valider un paiement, depuis le 15 mai 2021.

La nouvelle législation européenne DSP2, exige une authentification forte pour tout achat sur internet. C’est à dire que tu dois lancer ton application bancaire et valider la transaction depuis cette application.
C’est justement pour éviter ce genre de fraude au SMS.

Et si on n'utilise pas l'application bancaire ? On ne peut pas t'obliger (même si c'est dans l'air du temps) à l'installer.

Je l'ai utilisé mais je me suis rendu compte que c'était complexe, que cela ne fonctionnait pas toujours et que cela a des interférences avec l'application BANKIN. Mon banquier m'a remis sur le système SMS.
PS : valable que pour ma banque.

Je te conseille vivement de passer par l’application pour une authentification forte. Le SMS c’est plus du tout sécurisé. Un exemple :
Si une personne malveillante a ton numéro de téléphone, il peut re-router les SMS que tu reçois. C’est à dire récupérer le fameux code SMS 3Dsecure directement sur son téléphone à lui.

De plus, ta banque se met « hors la loi »vis à vis de l’autorité bancaire européenne en te proposant le SMS. En cas de fraude, elle ne sera pas forcément couverte par son assurance et donc par extension toi non plus.

Un jour ou l'autre, cette personne saura aussi passer par l'application. Question de temps.

Avec ma banque, c'est toujours les SMS.
D'ailleurs, je ne vois pas ce que vous appelez "passer par l'application".
J'ai une application pour consulter mes comptes et je peux faire des virements mais ce n'est pas le sujet.
Là on parle d'achats sur internet.
On renseigne son numéro de carte, date de validité et code au dos de la carte.
Ça se passe sur une page sécurisée de la banque du vendeur.

Ta banque est donc en retard. C’est quelle banque ?

Tu dois maintenant passer par une authentification forte. Par exemple à la banque postale, cela s’appelle Certicode Plus. A la BNP, cela s’appelle clé digitale…

En gros quand tu fais un achat sur internet, tu rentres tes informations bancaire, puis tu atterris sur une page qui, au lieu de te demander d’entrer un code à 6 chiffres reçu par SMS (3D secure), va te demander de valider la transaction depuis ton application.
Tu reçois donc une alerte sur ton smartphone te demandant d’approuver la transaction. Pour cela, tu devras t’authentifier sur ton application bancaire via de la biométrie (emprunte digitale, reconnaissance faciale) ou un code pin auparavant. C’est cela la double authentification. Un certificat de sécurité est généré, il y a du chiffrement fort de bout en bout, cela fait appel à de la biométrie… bref on est à des années lumière du SMS niveau sécurité. Pour l’instant c’est inviolable.

Ça fait 3 ans qu’on en parle de la la DSP2

En ce qui me concerne, je dois valider tout paiement par internet via mon téléphone mobile : pas en réponse à un SMS mais a l'aide d'un code soumis à cette "fameuse" application (crédit mutuel)

Pour le CA, même principe que [Vous devez être inscrit et connecté pour voir ce lien] et c'est l'option SECURIPASS, devenu obligatoire si tu utilises l'application.

Je suis à LBP et je n'ai pas l'application. C'est ma femme qui l'a et d'après ce que j'ai compris, on ne peut pas mettre 2 numéros de téléphone !
Je continue à recevoir les sms.
D'ailleurs, depuis quelque temps, nous n'avons que des merdes avec LBP...

[Vous devez être inscrit et connecté pour voir ce lien] : Oui mais en fait, quand je fais une transaction, je reçois le SMS dans les secondes qui suivent.
Donc je ne vois pas comment je pourrais être arnaqué à ce niveau.

Sauf si je fais un achat sur un site douteux qui ne m'envoie pas la marchandise.
Ça m'est arrivé une fois mais ce n'est pas le sujet.
Et la sécurisation "forte" dont tu parles n'y aurait rien changé.

Nous avons, ma compagne et moi, chacun l'application sur nos téléphones respectifs, et pouvons donc valider nos propres opérations indépendamment...

Faut pas avoir le même compte bancaire que votre conjoint(e) !
Purée, et ça parle de sécurité. Vous me faites bien rire !

3 comptes : 1 compte joint (CM) + 1 chacun (sur des banques internet). Le compte joint est alimente par des virements mensuels... Chacun chez soi !

[Vous devez être inscrit et connecté pour voir ce lien] comme je l’ai dit, un sms n’est pas chiffré et peut être re-routé. Donc si j’ai ton numéro de téléphone et ton numéro de carte bancaire, je fais les achats que je veux et je recevrai le SMS sur mon téléphone bien qu’il ai été envoyé sur ton numéro. Elle est là l’arnaque.

Alors qu’avec l’application, cela n’est pas possible.

De toute façon je te conseille de passer par l’appli car les banques ont pour consigne de supprimer ces SMS d’un ancien temps. Donc cela arrivera à court terme. Tu recevras bientôt la com de ta banque t’invitant à passer par leur application, et là pour le coup, ça ne sera pas du phishing