Arnaque 3DSECURE

[Vous devez être inscrit et connecté pour voir ce lien] comme je l’ai dit, un sms n’est pas chiffré et peut être re-routé. Donc si j’ai ton numéro de téléphone et ton numéro de carte bancaire, je fais les achats que je veux et je recevrai le SMS sur mon téléphone bien qu’il ai été envoyé sur ton numéro. Elle est là l’arnaque.

Alors qu’avec l’application, cela n’est pas possible.

De toute façon je te conseille de passer par l’appli car les banques ont pour consigne de supprimer ces SMS d’un ancien temps. Donc cela arrivera à court terme. Tu recevras bientôt la com de ta banque t’invitant à passer par leur application, et là pour le coup, ça ne sera pas du phishing

Mouais, la prochaine fois, je leur envoie un colissimo avec des pièces jaunes.

En tous cas merci pour le tuyau : ces escrocs ont de plus en plus d'imagination... Et même si les méthodes ont changé, le simple fait de rappeler qu'il faut se méfier est important !

En tout cas, le sujet intéresse ! On a déjà fait une page.

[Vous devez être inscrit et connecté pour voir ce lien], si un pirate peut pirater mon téléphone pour récupérer le SMS, il peut aussi pirater l'appli, non ?

Pas besoin d'avoir un numéro de téléphone précis pour cette arnaque : il suffit d'envoyer des SMS en aveugle jusqu'à tomber sur quelqu'un qui rappelle le numéro... Et là les 6 premiers chiffres de la carte renseigne l'interlocuteur suffisamment pour rendre credible son escroquerie

[Vous devez être inscrit et connecté pour voir ce lien] Non, aucun rapport. A aucun moment le pirate n’a piraté ton téléphone ou y a eu accès, dans ce que j’ai décrit plus haut.
Il reçoit juste tes SMS comme si tu avais une option multi-sim. C’est même assez simple à mettre en œuvre. C’est connu que les SMS c’est plus du tout sécurisé.
C’est pour cela que les app tierces ont le vent on poupe, comme telegram.

Aujourd’hui, pour moi qui bosse dans la sécurité informatique, c’est une hérésie de recevoir des infos confidentielles par SMS (codes, mot de passe, données personnelles…)

Faut voir les SMS comme la rubrique petite annonce dans le journal local.

Là tout de suite, la seule arnaque que je vois pour l’app ça serait une fausse application de ta banque, qui te demande d’entrer tes identifiants de connexion.

En Pro à la Banque Populaire, ils m’ont filé une sorte de petite calculette qui génère des codes pour sécuriser les paiements, je ne fais presque pas de CB en pro, je ne vais pas me balader avec la calculette… Alors à chaque fois je dois choisir « je veux choisir un autre mode d’authentification » et passer par le SMS et éventuellement connexion au compte via l’application.

Connexion, pas connection qui est de l'anglais.
J'ai correcté.

J’ai hésité au moment de l’écrire

[Vous devez être inscrit et connecté pour voir ce lien], et comment tu fais pour rerouter des SMS ?
Le transfert d'appel, je vois, mais le transfert de SMS...

Exemple (au hasard). Je veux savoir si ma femme a un amant.
Comment je fais pour recevoir ses SMS en même temps qu'elle et sans toucher à son smartphone ?

Et ne pas prendre le lien qu'on te donne, prendre toujours ton "habituel" ...

[Vous devez être inscrit et connecté pour voir ce lien] tu penses bien que je ne vois pas donner un mode opératoire détaillé ici.

Mais si ça t’intéresse, renseigne-toi sur le protocole SS7 utilisé par les SMS, vieux de 40 ans. Il est bourré de faille de sécurité, vu son âge pas étonnant.

On peut également faire du « SIM Swap », c’est de l’usurpation d’identité.

Enfin, pour ceux qui n’y connaissent rien et ne veulent pas se prendre la tête, se payer les services d’une entreprise peu scrupuleuse qui propose cela pour quelques dizaines de dollar. Bien sûr tout ça est illégal.

Ça date quand même de 2014 et ça ne semble pas très simple :

[Vous devez être inscrit et connecté pour voir ce lien]

Rien n'aurait été fait depuis pour y remédier ?

Edit : j'ai trouvé du 2017.

[Vous devez être inscrit et connecté pour voir ce lien]

Le remplacement de SS7 est envisagé dans le cadre des travaux sur les réseaux 5G. Le protocole se nomme Diameter, mais petit hic, la commission de sécurité de la FCC y a trouvé des failles de sécurité.

Bon, enfin, quand on voit que les dispositifs antivol électroniques des voitures se piratent très simplement, on va en revenir à la bonne vieille canne sur le volant et au paiement par chèque envoyé par la poste à vélo.

Il en existe des milliers des failles sur ces protocoles. Toutes ne sont pas connues du grand public ou des développeurs, c’est ce qu’on appelle des failles zero-day.

La réalité c’est qu’il n’est plus possible de colmater toutes ces failles. C’est comme s’entêter à coller des rustines sur rustines pour éviter les fuites d’air d’une chambre à air vieille de 40 ans.

La solution c’est de passer par de nouveaux protocoles plus modernes et donc plus sécurisés. De changer de chambre à air tout simplement.

Je viens de signaler l'arnaque sur le site internet-signalement.gouv.fr. (j'espère que ce n'est pas un faux site)

Un détail amusant

Quand on donne ses coordonnées (ce n'est pas obligatoire) il y a un menu déroulant pour l'âge.
- moins de 15 ans
- 15 à 17 ans
- 18 à 38 ans
- 39 ans et plus.

Voilà, à 40 ans, t'es vieux, incompétent, et tu n'intéresses plus le gouvernement.
Macron, au placard !

Perso, Crédit Agricole, et par leur application, Sécuripass...

Chiant à installer et à activer, bon après, tu peux valider l'autorisation en attente avec l'empreinte digitale, c'est pas mal...

Étonnant cette histoire d’âge. C’est limite discriminant.

Ouaip ! Fais gaffe, tu arrives à la limite !

Je croyais que tu avais 25 ans Pixel ! Bon je vais le dire à ta femme que partager ses comptes en banque c'est un risque de sécurité !
En tout cas j'ai lu ton histoire à ma femme, p'tain ils reculent devant rien les mecs !!!

Oui, c'est une information à diffuser largement.
(qu'il ne faut pas avoir un compte commun avec sa femme)

Même pas puisque la banque fournit un code d'accès différent pour chacun, il est donc possible de savoir lequel a dépensé.
D'autant plus folklorique quand l'un peut accéder avec son code à l'ensemble des comptes y compris individuels et pas l'autre.

Après, pour l'aspect sécuritaire, il y a longtemps que les pirates ont trouvé la parade et je préfère largement qu'ils s'occupent d'un détournement de SMS que de couper la main ou arracher l’œil de celui à qui ils volent le téléphone intelligent.

Je n'ai jamais fait de transaction à distance avec ma carte de crédit "physique". Depuis plus de 15 ans j'utilise une e-carte. Le service est payant, environ 10 à 15 euros par an.

Pour chaque transaction, j'ai un numéro de carte différent. Même si le numéro tombe entre de mauvaises mains, on ne pourra pas me débiter plus que le montant de la transaction correspondante. Très pratique ! Je recommande.

Et en plus pour chaque transaction il y a une confirmation via l'appli de la banque.

Oui mais cela n'empêche pas que ta carte physique puisse figurer dans les listings de millions de cartes bancaires qui fuitent de temps à autre.

J'utilise également des cartes virtuelles exclusivement (service gratuit au CM), ça ne dispense pas de l'application sur le portable...

[Vous devez être inscrit et connecté pour voir ce lien]
Certes mais si j'avais reçu le même message que tu as reçu, la corbeille l'aurait broyer dans la seconde.

[Vous devez être inscrit et connecté pour voir ce lien]
Il y a une course continuelle contre les fraudeurs. La vérif sur smartphone me paraît maintenant inévitable, même avec les cartes virtuelles.

Satané smartphone !

Encore une fois, la Poste me semble aujourd'hui le moyen de communication le plus sécurisé.