Comment les escrocs contournent-ils la double authentification des cartes bancaires ?

Vous l’avez probablement remarqué : les banques ont durci leurs systèmes de sécurité pour les achats en ligne. Chaque transaction est désormais sécurisée par le biais d’une double authentification pour éviter les paiements frauduleux. Malgré cette mesure, de nombreux escrocs ont affiné leurs techniques et leurs manipulations psychologiques pour parvenir à leurs fins. On vous explique leurs nouvelles méthodes dans cet article 😉

La double authentification pour sécuriser les achats en ligne

Si vous réalisez régulièrement des achats sur internet, il vous est probablement arrivé d’être confronté à un système de double authentification à un moment ou à un autre. La première version du système de sécurité consistait à vous envoyer un code de confirmation par SMS (3D Sécure par exemple) :

SMS reçu lors d’un paiement en ligne

Ce système de sécurité, initialement facultatif est devenu obligatoire à partir du 15 mai 2021. Il s’est même amélioré avec le temps par l’utilisation de différentes méthodes d’identification notamment par les applications bancaires sur les smartphones :

  • Code secret propre à l’usager (en plus de celui lié à la carte bancaire)
  • Reconnaissance faciale ou d’empreinte digitale
  • Confirmation grâce à un appareil que vous possédez (boitier électronique, smartphone…)

L’objectif est simple : empêcher les achats frauduleux en ligne par des escrocs qui utiliseraient vos informations de cartes bancaires.

En effet, posséder les informations de cartes bancaires (numéro, date, code CVV) n’est désormais plus suffisant pour réaliser des transactions sur les sites marchands. L’accord explicite du propriétaire de la carte bancaire est devenu nécessaire.

La contre-attaque des escrocs : le faux support bancaire

Ce type de mesure met clairement les escrocs dans une difficulté majeure : ils possèdent de nombreuses données de carte bancaires piratées mais ne peuvent plus les utiliser tranquillement. La vie est trop injuste…

Escroc en dépression…

Même si la double authentification a calmé probablement la majorité d’entre-eux, la nature a vite repris ses droits… Une nouvelle race d’arnaque à la carte bancaire a émergé : plus forte et nettement plus audacieuse. Son principe ? On vous l’explique tout de suite !

L’usurpation de votre banque : une technique redoutable

Vu que la double authentification a mis KO les petits escrocs en herbe, il ne reste plus que « la crème de la crème » : des arnaqueurs organisés et compétents.

Pour obtenir le code de la double authentification, certains d’entres eux se font tout simplement passer pour le service antifraude de votre banque ou pour votre conseiller. Au moment de réaliser des paiements frauduleux sur internet, ils vous appellent par téléphone pour vous informer qu’un piratage a été détecté au niveau de votre carte bancaire et qu’ils vont vous aider à bloquer les transactions.

Pour cela, ils vous invitent à valider les différents paiements grâce à la double authentification. Une fois fait, vous êtes tombé dans l’arnaque et c’en est fini de votre argent !

Ce témoignage trouvé sur Signal-Arnaques résume ainsi parfaitement l’arnaque :

Bonjour,
J’ai été contacté par téléphone (0756998919) par un soi-disant conseillé bancaire qui m’a alerté sur des dépenses suspectes le matin même sur mon compte. Deux achats’ sur Rue du Commerce et CDiscount (près de 1400€).
Je n’avais effectivement passé aucune commande sur ces sites.
Afin d’annuler ma transaction, il m’a demandé de valider la commande.
Ce que j’ai bêtement fait.
Et le doute m’a pris.
[…]
Si ce témoignage peut servir.

On parle ici d’un montant de 1400 € qui fait plutôt mal, mais il y a pire… Cet autre témoignage issu de Ouest-France évoque une perte de 7133 € 😯

Quels sont les armes de ces faux supports bancaires ?

Des données de qualités

Pour que l’arnaque fonctionne bien, l’escroc a besoin de 2 choses :

  • Vous informations de carte bancaires complètes => Pour réaliser l’achat en ligne.
  • Vos données personnelles (prénom, nom, adresse postale, numéro de télé…) => Pour vous contacter et crédibiliser son appel.

Pour cette raison, il doit disposer d’un maximum d’informations sur vous. Malgré les apparences, il n’y a pas de grandes difficultés pour obtenir ce genre d’informations : le Dark Net regorge de bases de données complètes et récentes issues de piratages ou de phishing.

Du coup, pour vous prémunir au mieux de ce genre d’arnaque, partez du principe que vos données de carte bancaire peuvent être en de mauvaises mains, même si vous avez été prudents.

Le témoignage suivant montre d’ailleurs que les données en possession des escrocs permettent de mieux manipuler les victimes :

Témoignage de double authentification outrepassée

Une bonne dose de manipulation

Une fois que l’escroc possède vos données personnelles et bancaires, il ne lui reste plus qu’à passer à l’action en vous appelant lorsqu’il réalise son achat en ligne. Cet appel rappelons-le n’aura qu’un seul objectif : vous inviter à valider les transaction depuis votre smartphone.

Pour cela, il vous appelle sur votre mobile et met à l’oeuvre une arnaque d’ingénierie sociale. Cela consiste donc à déployer un arsenal de techniques de manipulations pour vous piéger :

  • L’utilisation d’un prétexte légitime en se faisant passer pour une personne de confiance (votre banque)
  • Il rappelle les informations personnelles qu’il a en sa possession et que seule votre banque est supposée connaître.
  • Il se fait passer pour un sauveur destiné à vous protéger : « Je viens vous aider à éviter une arnaque »
  • Son langage est clair, sans hésitation et en parfait français (on ne retrouve pas ici d’accent étranger c’est le cas dans d’autres arnaques).

Une fois la confiance installée, les techniques de manipulations habituelles sont employées pour vous faire plier :

  • La peur… « Si vous ne le faites pas, vous perdrez votre argent ».
  • L’urgence : « il faut agir vite, sinon nous ne pourrons plus rien faire pour vous ».
  • La réciprocité : « Je vous appelle pour vous aider, donnez moi les informations dont j’ai besoin ».

Que faire pour éviter cette arnaque ?

La meilleure chose à faire pour éviter cette arnaque, c’est de la connaître. Si vous avez lu cet article, c’est désormais chose faite. N’hésitez donc pas à le partager vers vos connaissances pour protéger un maximum de monde.

Mais, il est possible de se prémunir de plusieurs autres manières :

  • Vous pouvez désactiver les paiements en ligne via votre application bancaire (voyez avec votre banque si vous ne savez pas comment faire)
  • Ne validez jamais une opération bancaire si vous n’en êtes pas à l’origine : que votre banque vous le demande, le pape ou encore le ministre des finances, passez votre tour !
  • Méfiez-vous des numéros de téléphone suspects : numéros de mobile, numéros masqués… Augmentez encore plus votre vigilance si vous êtes face à un opérateur virtuel !
  • Au moindre doute, contactez votre banque par vos propres moyens (en recherchant vous même le numéro). En effet, des escrocs n’hésitent pas à vous inviter à la contacter en vous communiquant eux-mêmes un numéro. Dans ce cas, vous tombez sur un complice… LOL

Et si vous êtes tombé dans le piège, y-a-t-il un recours ?

Inutile de vous donner de faux espoirs, si vous êtes tombé dans cette arnaque, vous avez peu de chance de récupérer votre argent ! Il y a pourtant 2-3 trucs à faire qui peuvent vous aider…

La première chose est de porter plainte auprès des autorités en insistant sur la ruse mise en place par l’escroc. La seconde est de vous rapprocher de votre banque avec le récépissé de dépôt de plainte.

Vous pouvez alors demander à la banque de vous rembourser les fonds mais, autant ne pas se mentir, elle aura un argument de taille à vous opposer : le fait que vous ayez outrepassé vous-même les dispositifs de double authentification mis en place.

La récupération des fonds sera donc plus ou moins aléatoire et dépendra de vos relations avec votre banque et du montant des sommes perdues. Mais bon, sur un malentendu, ça peut marcher 😉


Vous avez réussi à éviter cette arnaque ou vous êtes malheureusement tombé dans un piège ? Profitez des commentaires ci-dessous pour partager votre expérience ou déposez un signalement.

36 réponses

  1. MAURY dit :

    De mon côté, l’arnaqueur, la société OAPD Organisation Administrative de la Protection des Données qui a pignon sur rue et enregistrée au greffe de Bobigny s’est fait passer par téléphone pour la CNIL en indiquant que ma société était amendable et que je devais souscrire une prise en charge pour être en règle : montant 1512 € avec facture ! Aucun moyen de retrouver la somme, pas de récupération de mes courriers AR par cette société, la banque qui dénonce la double authentification du paiement, … que faire ?

  2. FERRET dit :

    La meilleure solution est encore la E-CARTE BLEUE,

  3. Haissly Claude dit :

    Il y a quelques temps je me suis fait arnaquer par la société VIVASANTE S.A. basée en Suisse.
    On m’a prélevé 79 euros sur mon compte bancaire avec mon RIB., or je n’ai donné qu’une fois mon RIB à la Caisse Mutuelle des Etrangers (CME) que j’ai quitté au mois de septembre 2021. A noter que la banque a versé l’argent sans authentification de ma part, mais m’a remboursé.
    Donc faites attention en donnant votre RIB

    • Sprikritik dit :

      Ils sont très familiers de la chose

      Et ils inventent un nouveau produit conseils/informations tous les mois environ avec un nouveau responsable.

    • Babette Gaud dit :

      Merci pour votre signalement. Ma banque (le Crédit Agricole) m’a affirmé que l’on ne pouvait rien prelever avec seulement un RIB. Je vais leur transmettre votre expérience. Cela fait peur, si l’on pense au nombre de RIB que l’on donne à tous les commerçants !

      • Radu dit :

        Oui, vous ne risquez rien donnant un RIB. Le souci de ce cas évoqué plus haut, vient du fait que l’acheteur avait donné son accord pour etre prélevé vis son RIB !!!

  4. Alain GUERIN dit :

    Continuez dans votre croisade pour éliminer ces truands.
    Malheureusement nous ne sommes pas assez vigilants car malgré tout la confiance règne, ce qui fait le bonheur de ces voleurs;

  5. GUEUGNEAU dit :

    Ce que je déplore c’est que des organismes bancaires telle que la Société Générale pour ne citer qu’elle, ne sont pas à même d’indemniser leur fidèle cliente alors que les prélèvements de frais bancaires, frais liés à la carte, frais liés au crypto dynamique, jazz, etc. sont régulièrement débités, d’autant plus quand il s’agit de petits épargnants pour qui un prélèvement frauduleux de 1 700 € est un gouffre financier.

  6. Séverine dit :

    J’ai moi même été victime de ce genre d’appel à 3 reprises par des individus se faisant passer pour le service des fraudes de ma banque, j’ai failli tomber le piège lors du premier contact… Heureusement je n’avais pas ma carte sur moi car effectivement cette personne était doué dans la manipulation et aurai donné les informations demandées.
    Alors comme m’a dit ma banque ne jamais fournir ni code , ni informations lorsque vous êtes contacté.

  7. Nicolas dit :

    Merci pour cette information. Continuer dans ce sens afin d’en finir avec eux.

  8. FOURDRIN dit :

    Bonjour ,quand les banques feront un peu de ménage chez elles pour enfin trouver une parade fiable contre le piratage ?? Beaucoup de pays européens l’ont déjà faits !! Les banques françaises ne sont pas du tout au niveau Européen, A part infliger des taxes supplémentaires tous les mois elles feraient mieux de recruter des jeunes Acqueurs ou fraudeurs pour arrêter tout cela, comme dans le temps avec les indics de la police !!!! cordialement quand même !! je ne vais plus me servir de ma carte, j’ai trop peur.

  9. vince dit :

    Je préfère utiliser paypal à chaque fois que c’est possible car pas de N° bancaire à taper en ligne !! je trouve que c’est le moyen de payer le plus « sécurisant » , bien sur ne jamais suivre un lien pour payer si vous ne connaissez pas le vendeur car si c’est pas une tentative d’arnaque la demande paiement apparaitra sur votre compte PP .

    • Daniel dit :

      J’ai abandonné PayPal, car ils m’avait bloqué un remboursement de 3000€, sans causes légitimes, toutes mes réclamations ont été ignorées. Après 4 mois de relances un débloquage a été fait sans explications ni excuses. Dommage, car moi aussi je trouvais ce moyen sécurisant pour les achats en ligne.

  10. JLP dit :

    J’ai été contacté aussi par un un individu soit disant employé de ma banque avec son nom pour un paiement par CB d’une somme importante .. Il connaissait tous les renseignements sur moi, les No de CB , date naissance et même ce qui m’a mis sur mes gardes les N° d’accès à mon compte bancaire , N° soit disant secret que les employés ne connaissent pas… je lui ai signalé que justement je travaillais à cette banque du coup il a raccroché…

    • Patricia dit :

      J’ai failli me faire avoir en voulant vendre un vétement sur le site Facebook.
      Faire très attention. Coup de téléphone, renseignement….Ils se sont fait passé pour Paypal.

    • LAM dit :

      Bravo pour l’astuce à retenir de dire
      « …je lui ai signalé que justement je travaillais à cette banque du coup il a raccroché… »

  11. Pascal dit :

    Bonjour
    Je connais effectivement une personne qui s’est fait arnaquer de cette manière. La personne au téléphone se fait passer pour le service opposition de sa banque dont elle avait le numéro de téléphone enregistré dans son smartphone : du coup lors de l’appel, ils’est affiché « service opposition du Crédit Mutuel », elle ne s’est donc pas doutée mais c’était un usurpateur. De plus le truc pour lui faire valider l’achat était de faire croire à une mise en opposition d’un achat en cours, que ce n’était pas un achat qu’il fallait valider mais l’opposition de l’achat v aussi on lui a demandé de cliquer sur « Valider » pour valider l’opposition que le service d’opposition de sa banque était soi-disant en train de faire, mais effectivement c’était bien un achat qui demandait à se valider. Iis sont quand même fort de pouvoir utiliser un numéro de téléphone plutôt qu’un 07 bidon pour encore plus tromper la victime.

  12. YVARS dit :

    Bonjour, j’ai été victime de cette tentative d’arnaque, mais en même temps que j’étais au téléphone avec le fraudeur, qui connaissait tout de moi, je me suis connectée sur mon ordinateur et avec le code de confirmation reçu sur le mobile de mon mari, j’ai opposé provisoirement ma carte bleue et bizarrement au bout de quelques minutes, la conversation a coupé. Je suis allée porter plainte avec le numéro de son portable. Apparemment c’était une carte prépayée. Merci de toutes vos informations

  13. DAVID Thierry dit :

    J’aimerai encore répéter que tous les numéros portables commençant par 06.44. ou 07.56. sont des numéros d’un opérateur bidon oneone qui héberge tous les escrocs de la terre,noirs ,arabes et de l’est.
    Ne soyez pas con,il faut réfléchir un peu,courage,Thierry

  14. A dit :

    dire à ce personnes qui nous appellent (bien entendu ne leur donner aucun renseignements) je vais voir mon conseiller bancaire et leur signaler ce que vous venez de me dire

  15. karr dit :

    En tout cas la Banque Postale semble ne pas savoir qu’une double confirmation existe,j’ai contesté des opérations effectuées avec ma CB fin août 2021,après deux mois d’attente la BP refuse un remboursement sous prétexte que j’aurais validé les achat grâce à un code,lorsque je passe commande en ligne j’utilise mon compte Paypal.
    J’ai de nouveau contesté ces opérations auprès d’un autre organisme de la Banque Postale le 16 décembre 2021,je reçois un courrier m’informant que ma demande nécessite encore une étude,il s’agit d’un montant supérieur à 500 euros.
    J’appelle la banque,on me répond qu’après deux recours il est inutile d’insister,je demande simplement une réponse à ma seconde démarche avant d’avoir recours au médiateur,on me répond que mon dossier demeure ouvert,il peut le demeurer pendant des années.
    Voilà comment la Banque Postale gère les problèmes de ses clients!

  16. PAILLASSA dit :

    J’ai moi aussi été victime de ces fraudeurs, et je dois reconnaître qu’ils sont redoutables. Ayant eu des alertes par ma banque sur des virements (j’ai reçu des SMS censés provenir de ma banque) j’avais contacté mon agence pour signaler le pb, laquelle m’avait fait faire des manipulations pour sécuriser mon compte; Aussi lorsque le lendemain je suis contactée par soi disant le service anti fraude de ma banque je ne me suis pas trop méfiée; Et en même temps que la personne me parlait, je vérifiais sur mon ordinateur le numéro qui m’appelait. C’était bien celui de l’agence de ma ville de résidence, (mais pas de mon agence). J’ai eu des doutes mais la personne m’a assurée que les agences étaient en relation (ce que m’a démenti mon agence par la suite).
    Ma chance est que nous disposons d’un délai de rétractation sur les virements effectués, ce que j’ai fait après de nombreuses tentatives de connection, blocage de compte,….. Ils ont essayé de se reconnecter le lendemain car mon compte a de nouveau été bloqué ,
    Heureusement pour moi également, j’ai fait des copies d’écran des messsages reçus par sms avec les n uméros de tel, et surtout de l’IBAN des comptes destinataires des virements. J’ai tout communiqué à la police en déposant plainte le lendemain. Dès le lundi ma banque (prévenue par la police) me rappelait en m’indiquant que le destinataire avait été identifié et était déjà connu de leurs services pour des faits similaires de virements douteux.
    Elle m’a rappelé que jamais la banque ne demande le code secret qui nous est envoyé par sms, qu’il ne faut surtout pas désactiver le système de sécurité de la banque sur son tél.
    Bref j’avais tout faux mais, je reconnais qu’ils sont très forts, parlent un français impeccable, connaissent bien toutes les manipulations à faire, les sites des banques avec les différentes fonctions,…
    La seule chose à savoir : NE JAMAIS COMMUNIQUER A QUI QUE CE SOIT SON CODE SECRET D’IDENTIFICATION. La banque ne le demande JAMAIS par téléphone. En cas de doute ou de problème, le mieux est de se rendre en agence pour effectuer les manipulations de sécurisation

  17. supiido dit :

    Vivant au Luxembourg, nous avons le Token qui, à chaque transaction nous est proposé obligatoirement, celui-çi nous fournit un code unique et jamais de problème.

  18. D'Alessandro dit :

    Comment sécuriser des cartes bancaires qui sont également sécurisées par des informaticiens qui peuvent désactiver le système bancaire. Nos banques prennent toutes les garanties nécessaire pour leur compte mais pas suffisamment pour le client (informations et application) Leur système n’est plus infaillible et sécurisé, puisque maintenant les escros ont trouvés la combine pour récolter l’argent facilement mais au détriment des personnes les plus vulnérables

  19. Marie-France dit :

    J’ai été contacté 3 fois par ces arnaqueurs ; leur discours est bien ficelé, on pourrait y croire. Ils m’ont dit qu’il y avait des mouvements suspects sur mon compte, m’ont envoyé les preuves sur mon smartphone et m’ont dit qu’ils voulaient bloquer mon compte tout le week-end en me demandant mon numéro de carte bancaire. Je suis retraitée certes mais pas si bête pour être escroquée. Quand je leur ai dit « je vais voir avec mon conseiller bancaire », ils ont raccroché. Je ne suis pas bête au point de donner mes références bancaires. Je sais que la Banque n’appelle pas et ne demande jamais de références bancaires par téléphone. Je ne me suis pas faite avoir. J’ai signalé cette arnaque à « Signal arnaques » aussitôt. Ils ont essayé 3 fois avec moi, mais rien n’a marché.

  20. angebault dit :

    Un moyen radical est de ne jamais subir ou succomber aux appels, sms, mails, reçus : en contrepartie, écrire à, appeler soi-même sa banque (la vraie !) pour finaliser ou bien initier soi-même les opérations bancaires (quand c’est possible). Le temps supérieur à y consacrer est toujours compatible avec la véracité du facteur « temps ».

  21. GOUARIN dit :

    Sur deux de mes cartes successives et opposéées, j’avais des paiements sans contacts. Ce qui me surprenait car je n’avait utilisé que 1 fois la carte pour l’activer, puis ces cartes sont restees au placard car ce n’etaient pas des cartes principales ( j’ai 2 banques differentes en cours) Tous les 2 jours mon fraudeur achetait au tabac a cote de chez moi ses revues boissons journaux et petites alimentation a la superette juste a cote.. Ma banque mettait en doute que j’aurait donne mes informations cartes, ce qui est faux, cette carte n’avait jamais quitte le tiroir. La question qui fache, comment faire du sans contact sans avoir de carte physique, meme ma banque ne comprenait pas, comment les fraudeurs operaient.tous les achats etaient autour de 10/15€. Ma carte etait a debit différés. Si bien que en controlant les achats faits par l’escrocsont passés a 176€ a la fin du mois.j’étais pourtant mefiant pour le sans contact, et mes cartes sont dans des protections anti rfid.conclusion une fois les donnees de carte piratées, elles sont stockées dans un portable et avec une application genre paylib, font du sans contacts. EUREKA je viens de comprendre.les fraudeurs sont entres dans mon PC par un email jurant que c’est le service securipass qui m’appelait pour valider le dossier.La qualité du email etait comme un original de la banque, a en jurer d’efficacité. CORDIALEMENT Bravo a signal arnaques

  22. Senior dit :

    Merci pour cet article que je diffuse. Utiliser une e CB très utile pour achat sur le net.

  23. FECAN dit :

    Très bon article!
    Bien sûr ne jamais donner de renseignements sur RIB ou carte bancaire par tél.

  24. David LE DRU dit :

    Bonjour Anthony,

    Autre solution pour tenter de récupérer l’argent que la banque refusera de rembourser : contacter le commerçant chez qui l’achat a été fait, qui pourrait rembourser la transaction si la marchandise n’est pas sortie.

  25. pascal trémeau dit :

    Sur Facebook il y a souvent des propositions commerciales douteuses (à mon avis). Pour 1,95 euros on peut recevoir un colis (La Poste) un aspirateur (Lidl), etc. Je suis tombé dans ce piège par l’intermédiaire de Makims.com sans finalement avoir rien acheté, mais des prélèvements de 1,95 et dernièrement 69 euros qui seraient (parait il) des abonnements. Je vais régler cela avec ma banque, enfin j’espère…

  26. Andre Gravel dit :

    Il y a une chose que je trouve un peu étrange je demeure à Montréal Québec Canada et depuis des années j’ai remarqué une chose. La sécurité a effectivement augmenter dans les institutions bancaires pour les achats en ligne ou autre. Toutefois la question est la suivante pour quelle raison le système bancaire et/ou les cartes de crédit Mastercard, Visa.. et tous les autres n’utilise pas des cartes avec photos? Bien entendu pour les achats en ligne cela n’est pas vraiment utile mais pour les achats directs en magasin ça pourrait mettre KO beaucoup de fraudeurs

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

0 Partages
Tweetez
Partagez
Partagez