Hacking : des banques françaises prises pour cible
Le Crédit Lyonnais, le Crédit Agricole, et maintenant la BNP. Ces trois banques subissent depuis quelques temps des attaques électroniques qui ciblent leurs clients. La technique utilisée dans les trois cas est la même, le "phishing", ou "hameçonnage". Il s’agit d’envoyer un email prétendument authentique aux clients des banques. Ces derniers sont invités à se connecter sur un service via un lien inscrit dans le faux email, et ce afin de mettre à jour des coordonnées bancaires. Les différents noms et numéros de compte sont alors récupérés ainsi que les codes bancaires, par les pirates informatiques.
Professionnalisation
Les attaques deviennent de plus en plus vastes, puisque les pirates utilisent des listings de fournisseurs d’accès importants, et le contenu des mails se professionnalise (c’est tout bête, mais les premiers mails envoyés au nom du Crédit Lyonnais contenait des fautes d’orthographes, alors que les attaques les plus récentes présentent des textes tout à fait professionnels).
Toucher un maximum de personnes
Tout comme le spam, les phishing tente de toucher un maximum de personnes afin qu’une marge relativement faible tombe dans le piège. Une étude américaine révèle que 5% "seulement" des personnes visées répondent à ces emails piégés. Mais quand on sait que ces 5% pèsent 4.5 millions d’internautes, on se dit que tout bon pirate peut réaliser des profits colossaux sur des marges aussi faibles.
- Archos AV700 TV
- La PSP : La réponse de Sony à l’Origami ?
- Les meilleurs produits : mise à jour hebdo
- Intel : roi du semi-conducteur
- Test Compact Flash Memory Corp Pro
- Comparatif lecteurs MP3 : 2ème partie
- ForceWare 84.21 WHQL et v84.25 en approche
- Philips fait jouer ses droits sur le JPEG
- La suite ne se nommerait pas Halo 3
Tu abordais justement le sujet des fautes d'orthographe
Enfin il y a pire, il suffit de lire le commentaire de VRAIAGES ci-dessous
Perso, je suis à la caisse d'épargne, et je risque pas grand chose...
Meme les adhérents qui donneraient leurs pass ca leur servirait pas beaucoup ! Et pourquoi ? Parce que la possibilité de faire des virements vers des comptes extérieurs n'existent pas...
Je pense que les banques devraient beaucoup plus limiter ce genre d'options, car une erreur peut vite arriver...
Il suffit de ne pas preter attention à l'email et de le supprimer, un coup de spybot ou de adware.
+ 1 plasterz. je fais comme toi.
Ah... la menace viendrait donc des hackers et pas des banques... intéressant...
au credit mutuel ils ont mis en place un système de codes pour effectuer des opérations depuis internet.
le credit-mutuel envoye une carte avec quelques codes(disposés en lignes et colonnes).
lorsque l'on désire effectuer une opération bancaire(virement par exemple)il faut disposer de la carte et insérer le code(combinaison d'une ligne et d'une colonne)pour pouvoir valider l'opération.
A la BICS toute action de compte a compte (interne/externe) se fait pas double mot de passe !
1 pour le logon, un second pour la validation d'un tranfert.
Un chose est sûre, ce n'est pas aux banques de proposer moins de services, je moinsse > VRAIAGES
je plussoi aussi > plasterz, a l'utilisateur de faire gaffe a ce qu'il fait.
Pis bon, quand tu reçois un mail pour modifier tes paramètres bancaire de la BNP alors que tu es dans une autre banque, faut pas être trop con non plus pour te dire qu'il y a anguille sous roche.....
Après, il y a toujours les 5% de personne pour donner son numéro de compte et mot de passe à m'importe qui, voir même son code de CB par téléphone....
Un chose est sûre, ce n'est pas aux banques de proposer moins de services, je moinsse > VRAIAGES
La banque propose autant de services que les autres, voire plus...
Seulement les services, risqués en ligne, ne sont pas proposés. Je pense que y'a rien de mal a cela.
Le jour ou il y aura un vrai systéme sécurisé je pense que cette banque mettra en place des virements externes, je prefere une banque prudente en ligne, qu'une banque inconsciente mais avide de nouveaux services.
Ce dont je rêve c'est le retour à un simili système minitel qui permet donc de communiquer directement avec la banque sans aucun échange réel via le web. On insérerait sa carte sur un lecteur ce qui empêcherait pratiquement toute chance de fraude ou de manipulation. Je trouve par ailleurs dommage que les banques ne font pas de jolies banderoles explicatives sur leurs sites avec en police énorme :
"NOUS NE DEMANDONS JAMAIS PAR MAIL DES INFORMATIONS RELATIVES A VOTRE COMPTE. NOUS SOMMES VOTRE BANQUE DONC NOUS SOMMES DIEU SUR VOS DONNEES".
Perso, je suis à la caisse d'épargne, et je risque pas grand chose...
Meme les adhérents qui donneraient leurs pass ca leur servirait pas beaucoup ! Et pourquoi ? Parce que la possibilité de faire des virements vers des comptes extérieurs n'existent pas...
Je pense que les banques devraient beaucoup plus limiter ce genre d'options, car une erreur peut vite arriver...
La caisse d'epargne justement je suis en procedure avec eux pour "Alerte fraude", quelqu'un utilise mon numero de carte, aucune infos de la caisse d'epargne sur le pourquoi du comment..
Et si tu penses que la caisse epargne est sécurisée regarde bien ceci :
Tu te logge tu va dans "Gerer Les Service" "Carte Bancaire" opposition et c'est genial tu as le numero de ta carte bancaire en clair..
Bravo la CE...
Jayce
plaster dit "Il suffit de ne pas preter attention à l'email et de le supprimer, un coup de spybot ou de adware."
filouxee répond "+ 1 plasterz. je fais comme toi."
Ah c'est donc ça... waouw, vous avez trouvé une solution à notre problème à tous, parce qu'on s'est tous fait dépouiller notre compte, du coup... fallait donner l'astuce avant.
c'est écrit 5%
ca veut dire que les p'tits malins ne tombet pas dans le panneau
par contre moi aussi le CIC et j'ai un bout de carton qui "double" mon authentification
mais si les banques veulent éviter le phishing par controle du clavier ( key logging ) elles pourraient aussi se bouger le cul et faire en sorte que la frappe se fasse sur un clavier virtuel a l'écran
mais là tu vois ca leur coute de l'argent alors ...
Il suffit de ne pas preter attention à l'email et de le supprimer, un coup de spybot ou de adware.
Sachant que le principe du phishing est de t'envoyer sur un site identique à celui de ta banque pour que tu y entres tes coordonnées bancaires, je vois pas trop le rapport avec les spywares.
Apres c'est autre chose avec les keyloggers, mais là il ne s'agit plus de phishing.
Je confirme avoir recu hier + ce matin (6h du mat aujourd'hui) un faux mail de la bnp.
J'ai même pas de compte la bas
Au niveau de l'adresse, on voit qu'elle est fausse (avec outlook2003), l'adresse indiqué sur le mail est du genre http://secure.bnpparisbas ... alors qu'en réalité, on va sur http://secure.bnpparisbas....lalala.com
Bref, ca envoie sur un sous domaine qui ressemble a celui de la banque, sauf que c'est herbergé ailleurs bien entendu.
Je confirme avoir recu hier + ce matin (6h du mat aujourd'hui) un faux mail de la bnp.
J'ai même pas de compte la bas
Au niveau de l'adresse, on voit qu'elle est fausse (avec outlook2003), l'adresse indiqué sur le mail est du genre http://secure.bnpparisbas ... alors qu'en réalité, on va sur http://secure.bnpparisbas....lalala.com
Bref, ca envoie sur un sous domaine qui ressemble a celui de la banque, sauf que c'est herbergé ailleurs bien entendu.
c'est même pas du https?
je ne vois pas le rapport avec adware et spybot, ce n'est pas un spyware mais du phishing.
En fait, à la caisse d'épargne les virements sur des comptes externes sont possibles mais il faut au préalable signer un avenant à son contrat, avenant contenant explicitement la liste des comptes externes vers lesquels un virement est possible. Mais le résultat est le même, il n'est pas possible pour un hacker d'ajouter son propre compte externe.
voila le mail en question, qui arrive exactement sous cette forme (on dirait une image le mail).
ps : l'image vient d'un screen de generation-nt.
le mail n'est pas une image, et si on dirait une image c'est simplement à cause du mauvais choix du format de fichier utilisé
J'ai dit, on dirais une image
Et voila le lien en question :
http://www.secure.bnpparibas.net.b [...] .cc/r1/bn/
j'ai juste rajouté une erreur d'une lettre pour que le lien ne soit pas valide.
edit : le site ne marche plus de toute facon apparement.
et voila les "sources" du mail, avec tjs l'erreur dans l'url :
If so, why had it been so easy to slip back into her world? befogging brunt N
His father had told him to stop acting like someone had cut his goddam foot off. Who was that? Papers passed March 18th, 1979. "And bent over his pad again. That's what happened to good old Ernie. He had never been as close to her as he was then, as she carried him piggyback down the steep stairs. Forgetting to make the quarterly property-tax payment is a hell of a lot more serious than forgetting to change the calendar page, and you're upset because this is the first time you forgot something that big. detent
et pourquoi on aurai pas le droit d'aller sur ce site pour les emmerder avec des comptes bidons ?
La caisse d'epargne justement je suis en procedure avec eux pour "Alerte fraude", quelqu'un utilise mon numero de carte, aucune infos de la caisse d'epargne sur le pourquoi du comment..
Et si tu penses que la caisse epargne est sécurisée regarde bien ceci :
Tu te logge tu va dans "Gerer Les Service" "Carte Bancaire" opposition et c'est genial tu as le numero de ta carte bancaire en clair..
Bravo la CE...
Jayce
Même pas vrai !
"Le service Direct Ecureuil sur Internet est momentanément indisponible.
Veuillez réessayer ultérieurement."
+1 batchy
moi j'ai tout la journée ... sauf quand le chef passe voir ce que je fais 
La caisse d'epargne justement je suis en procedure avec eux pour "Alerte fraude", quelqu'un utilise mon numero de carte, aucune infos de la caisse d'epargne sur le pourquoi du comment..
Et si tu penses que la caisse epargne est sécurisée regarde bien ceci :
Tu te logge tu va dans "Gerer Les Service" "Carte Bancaire" opposition et c'est genial tu as le numero de ta carte bancaire en clair..
Bravo la CE...
Jayce
Je suis content que tu prennes un mauvais exemple, ca ne fait que corroborer mes dires.
T'est en procédure avec eux ? Renseigne toi sur la loi, et t'aura même pas besoin de te prendre la tête...
Un paiement par carte bleue n'est valide que dans une des 2 conditions suivantes, et aucune autre :
- Tu as émis une signature avec ton paiement (signature calligraphié j'entends)
- Tu as utilisé le code secret fourni avec ta carte.
Si ton paiement a été différent d'un des 2 conditions suivantes, le paiement est considéré comme nul, la banque est dans l'obligation de te rembourser la somme sans discuter.
Et ca veut dire quoi ? Simplement que les paiements sur internet ne sont valables tant qu'on ne fait pas opposition...
Toutes les banques sont dans le meme lot,...
Petite info a lire au coin du feu
La pratique du règlement d'achat par simple communication du numéro des cartes bancaires et de la limite de validité permet des paiements frauduleux, le fraudeur pouvant trouver le numéro sur une facturette ou un ticket abandonné de guichet automatique bancaire.
Cette pratique est sanctionnée potentiellement par le délit d'escroquerie (art 313.1 du Code pénal).
En l'absence d'un code confidentiel ou d'une signature, confomément à la directive européenne n°97/7/CE du 20 mai 1997 concernant la protection des consommateurs dans les ventes à distance, des clauses spécifiques sont prévues dans le contrat liant les entreprises de vente par correspondance et leurs banques (v. Rép. Min. Ec, 18 octobre 1993). Les sites marchands dovtent assurer l'entière responsabilité des conséquences dommageables directes ou indirectes de tout débit erroné donnant lieu à contestation et ce sans limitation de durée.
Le risque de fraude pèse donc sur les sites marchands et non sur les titulaires de cartes bancaires, à condition que ceux-ci vérifient soigneusement leur relevés de débit.
La Société Générale est aussi prise pour cible donc soyez sur vos garde...