Piratage carte bancaire : phishing et skimming

Piratage carte bancaire : phishing et skimming 2 techniques qui font des ravages sur le web. Le phishing aussi appelé hameçonnage consiste à tenter de récupérer frauduleusement les coordonnées bancaires d’un client. Si une banque n’arrive pas à prouver que son client a été trop négligeant ou malveillant lors d’une fraude par phishing, elle devra rembourser les sommes dérobées. Crée en 2008, le skimming consiste à recopier les pistes magnétiques de votre carte bancaire grâce à un lecteur à mémoire inséré dans un DAB.

la banque doit vous rembourser en cas de phishing

Victime d’une arnaque par hameçonnage ? Tout n’est pas perdu, car votre banque peut être tenue de vous rembourser les sommes dérobées, selon un arrêt de la Cour de cassation du 18 janvier 2017. Dans son arrêt la Cour estime surtout que c’est à la banque qu’il appartient de prouver que son client est en faute, c’est-à-dire qu’il agit frauduleusement lui-même ou qu’il a été négligent en communiquant ses identifiants bancaires. Cette preuve de la faute du client ne peut pas se déduire seulement du fait que les données bancaires personnelles ont été utilisées par un tiers, même si, selon la banque, il ne peut pas en être autrement, compte tenu des systèmes de sécurité mis en place.

Dans l’affaire étudiée par la Cour de cassation, le client faisait valoir que même en possession des données de connexion bancaires, un tiers ne devrait pas pouvoir débiter un compte. Il soulignait qu’en l’espèce, la banque avait commis une faute en répondant aux sollicitations et en envoyant sans s’en rendre compte un code secret, pour confirmation du paiement, à une adresse inhabituelle. Le code monétaire et financier impose en effet au banquier, disait ce client, de s’assurer que les dispositifs de sécurité personnalisés d’un instrument de paiement ne sont pas accessibles à d’autres personnes qu’à l’utilisateur autorisé.

Faire attention dès qu’on vous demande vos coordonnées bancaires

Devant les accusations réciproques de « faute », la justice a donc estimé que celle de la banque était plus importante que celle de son client et a décidé qu’elle assumerait les conséquences de la fraude, en remboursant donc les sommes détournées lors du hameçonnage. Et ceci même si le contrat signé par le client rendait celui-ci « entièrement responsable de l’usage et de la conservation de ses codes personnels » ainsi que « des conséquences d’une divulgation involontaire à quiconque ».

Pour rappel, le hameçonnage ou phishing est une technique de fraude qui consiste à essayer de récupérer les données personnelles d’un utilisateur afin d’usurper son identité et effectuer des paiements et/ou des prélèvements à sa place. Cela peut donc passer par un faux mail de votre banque, de l’administration fiscale ou même d’un opérateur téléphonique qui vous demandera vos coordonnées bancaires. Veillez donc à bien rester vigilant lorsqu’on vous demande de renseigner ce genre d’informations sur Internet, en vérifiant systématiquement la provenance du mail.

Piratage carte bancaire : le skimming débarque sur le web

La fraude à la carte bancaire évolue. Selon nos confrères du site Ubergizmo, des hackers ont trouvé le moyen d’adapter le skimming, cette technique qui consiste à pirater une carte bleue une fois insérée dans un DAB, pour le web. En effet, les pirates dissimulent leur logiciel dans les métadonnées des images présentes sur les sites marchands.

Le skimming est une technique bien connue dans le milieu de la fraude à la carte bancaire. Crée en 2008, le skimming consiste à recopier les pistes magnétiques de votre carte bancaire grâce à un lecteur à mémoire inséré dans un DAB. Une fois ces renseignements obtenus, les pirates s’arrangent pour obtenir votre code de CB, la plupart du temps grâce à une caméra fixée dans un faux plafonnier ou grâce à un faux clavier numérique.

Jusque là, les chercheurs en sécurité informatique de la société Malwarebytes pensaient que le skimming ne pouvait fonctionner que dans le cas d’un retrait d’argent à un distributeur. Mais il semble que des pirates aient trouvé le moyen d’adapter le procédé au monde virtuel. En effet, comme en atteste Malwarebytes, les hackers ont trouvé comment cacher leur logiciel de skimming dans les métadonnées de certaines images présentes sur des sites marchands.

Le code se cache dans les favicons

Plus précisément, les pirates dissimulent leur code malveillant dans les favicons, ces petites icônes qui symbolisent un site web et que vous pouvez retrouver dans la barre d’adresse, les signets, les onglets ou dans les favoris. Lorsque ce code est utilisé sur une e-boutique non sécurisée ou dont la sécurité a été compromise, il permet aux pirates de voler des informations sur l’utilisateur, comme son adresse postale, son identité, et ainsi que ses coordonnées bancaires.

Pour l’heure, les hackers semblent cibler principalement le plugin WooCommerce de WordPress, en raison de sa part de marché importante. Comme le rappellent les chercheurs de Malwarebytes, soyez vigilant sur les sites de e-commerce : assurez-vous que la connexion soit bien sécurisée, et que l’adresse du site soit bien en https et non http, au moment du paiement notamment.

1 Commentaire

  1. Bonjour, ceci est un commentaire.
    Pour débuter avec la modération, la modification et la suppression de commentaires, veuillez visiter l’écran des Commentaires dans le Tableau de bord.
    Les avatars des personnes qui commentent arrivent depuis Gravatar.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *