Pt1 y en a assez! En 2 ans, deuxième fraude à la carte bleue... Je comprends pas ce que se passe! Le système de la CB est un vrai gruyère...
 
Je suis chez Boursorama.  
1) Première fois, je suis prévenu directement par la banque pour 300 roros pour un achat effectue en Angleterre (où je ne suis pas   ). Boursorama m'a contacte avant même que je vois ce débit sur mon compte, super!    Mais obligé de changer de carte...    
 
2) 2 ans après, il y a 1 semaine donc, constatation d'un débit de 400 euros, puis quelques jours après 100 euros.  
J'appelle le magasin (inconnu par moi) de vente par correspondance. Le type habite en France (dans l'Oise même, le magasin m'a même donné nom + adresse ), et s'est fait livré un bon petit téléphone portable, puis donc quelques jours après, s'est acheté une recharge Bouygues télécom à 100 euros...
 
Bon, voilà pour le 3615 mylife   Juste pour être illustrer qu'à priori les types sont de parfaits amateurs, pas des voleurs internationaux (le gars se fait livrer chez lui, puis achète sa recharge de prtable, tranquillou   ).
Comment ça peut arriver ce genre de truc?    Ca n'a pas l'air d'être un hackeur professionel, ou avec caméra sur le Distributeur automatique (mais je retire quasi-jamais de liquide, et toujours au même endroit.)
 
Merci!

Ta carte est volée ?
Il y a des chances que le numéro de carte soit copié ou généré...

La carte a pas été volée, elle est gardée chaudement dans mon portefeuille pendant tout ce temps.
 
Un générateur de numéro de CB? ça existe et c'est facilement disponible ça?  

ou alors un hacker a pirater ta banque ou un magasin ou tu a utiliser ta CB et qui conserverait le n° de la carte dans leurs serveur. Puis n° de cb revendu à un connard sur le net, voila  
 
Nan en fait j'en sais rien. Mais ça tien la route ce que je dis ou non ?

Oui ça tient la route.
Porte plainte en tout cas, si le mec est aussi facilement identifiable bah il va bien devoir expliquer comment il a eu ton num de carte !

Merci pour vos remarques.  
Oui, j'ai porté plainte au commissariat. Mais 2 fois en 2 ans, ça commence à saouler.  
J'espère qu'ils vont l'attraper sinon j'y vais moi-même   ...(J'ai son nom (probablement faux je dirais) + son adresse dans l'Oise). Mais pas de dommages et intérêts pour ce genre de truc.  
 
Une base de données piratées, ça me paraît possible. Le gars il a fait "Numéro de CB à vendre"sur Google?    
J'achète par moment par internet, comme tout le monde.  
Pas des achats très exotiques hormis Amazon, carrouf, Decathlon, redoute, paypal (mais ce compte paypal ná pas été piraté)...
Il faudrait vraiment que les banques trouvent un truc plus sécurisé   (genre numéro de CB utilisable une seule fois, je crois que la CEpargne le fait)

Ca n'a rien à voir avec les banques ou le système de CB... et tout à voir avec le système de transaction.
Chez le commerçant donc.
 
Oui un n° de CB ça se génère.
Alors le gros amateur qui se contente de demander sur son site "marchand" le n° de CB pour effectuer un paiement, et aucune autre mesure de sécurité (trigrame de sécurité, 3d secure, etc...), bah... c'est un peu de sa faute s'il y a de la fraude.
 
Les n° de CB "virtuels" (ce que tu appelles "utilisable une fois" ) n'auraient à priori rien changé à ton problème, si ton n° a bien été généré par hasard.
Ca n'est utile que pour éviter la capture / le vol de ton n° comme ça s'est déjà vu sur un gros site de vente de CD/DVD vierges je crois.
 
Là le mec s'est fait livrer en France, tu portes plainte, ca va être chaud pour sa gueule.
 
Et du point de vue de la fraude à la CB en France on est plutôt bien lotis : s'il n'y a pas eu imprudence de ta part la banque doit tout rembourser, frais compris (opposition, refabrication, agios éventuels, etc...).
 
Alors bon, ouais c'est chiant, c'est rageant, ça peut sacrément mettre dans la panade si ça arrive au mauvais moment, mais voilà...

c'est mal foutu leur systeme de code de sécurité
 
Ce code devrait ne pas apparaitre en clair quand on le tape pour évité de se le faire piquer par un log espion de captures d'ecran

Ouais, enfin un log espion de frappe clavier c'est quand même vachement plus courant...

ptet mais on peut les niquer avec un clavier virtuel ou un copier coller
Je comprend pas pourquoi tout apparait en clair, au moins le code de secure ca aurait rendu la capture inefficace... ca aurait été déjas ça

Tien nous au courant pour la plainte, ça encouragera les gens dans ta situation (sauf si tu l'as dans l'os  )

Il faudrait donc forcer/condamner les commerçants qui n'assurent pas leur transaction?
Je viens de constater encore 360 euros prélevés de plus    (les joies de l'affichage différé des prélèvements...) d'un magazin dénommé "Conrad Elec" (une obscure boite de VPC electronique basé dans le nord).
L'autre magasin de la fraude c'était Bouygues télécom (achat de recharge online). Ils ont pas un service très sécurisé chez Bouygues (je connais pas, jamais été client chez eux) ?

Pas de soucis  

S'ils n'ont pas sécurisé leur système, la facture est pour eux in-fine
 
Là ça me semble curieux quand même.
Bouygues, c'est gros, et à priori sécurisé.
Conrad aussi c'est assez gros (mais je ne connais pas leur système de paiement).

Je plussois pour le keyloger sur ton PC.
Les fraudes sont survenues longtemps après un achat effectué sur le net et payé avec ta carte ?

Attention à un truc aussi...
Les nouvelles règles de sécurité, c'est 3Dsecure.
Le n° de carte, la date de validité, le crytogramme de sécurité... ça ne suffit plus à assurer une transaction sûre.
 
En gros, désormais à chaque paiement, pour qu'il soit considéré comme fait de manière "aux normes" par Visa et Mastercard, votre banque doit vous authentifier avant de valider le paiement.
Alors les méthodes diffèrent selon les banques, ça va du plus simple (genre de date de naissance) au plus complexe (connexion à un espace perso puis demande de code personnel aléatoire), en passant pas l'envoi d'un SMS avec demande de confirmation, mais sans ça... la transaction n'est pas considéré "secure"

Bonjour Adrien,
 
Je travaille actuellement dans une banque, et 2 choses me choquent :
 
1) Ta banque ne t'as pas proposé une alerte compte pour les gros achats ? (chez nous on peut paramétrer par exemple pour tout achat supérieur à X € texto envoyé)
 
2) Ta carte si c'est une VISA, au vu des fraudes, ta banque aurait du te dire de ne plus payer que sur des sites ayant le 3D SECURE, avec paramétrage du 3D Secure, pour envoi SMS. (cf Leg9, la banque choisit le système d'identification avec VISA)
 
Ensuite, je te conseillerai comme dit plus haut la e-cb.
 
 

Non mais voir dire que la CB n'est pas "secure", ça m'indigne un peu.  
Certes il y a de la fraude, comme tout système, impossible que ça soit 100% secure, et c'est juste le système de paiement (puce) le plus secure actuellement !  
Pour l'usurpation des numéros de carte sur les sites de e-commerce, on se dirige vers de plus en plus de sécurité (3D Secure comme cela a été dit), après, y'aura toujours le risque de se faire casser la gueule au distributeur et se faire voler sa carte + code...Mais comme il a été dit, la banque prendra tout à sa charge.
Enfin, à noter que les normes vont vers le chiffrage des numéros de carte pour les éventuels piratage de la BDD.

Comme je le disais, ça permet d'éviter les "captures" de données cartes, soit à la volée par un keylogger, soit par intrusion dans le système du vendeur qui garderait les informations cartes.
Par contre, aucune incidence sur les fraudes dûes aux générateurs de n°.

On est bien d'accord...
...est c'est bien là le problèlme
 
Lors d'une transaction sur internet, aucun appel à la puce, pas de "signature" par saisie du code confidentiel.
On en revient (pour fair une analogie...) à l'époque des "sabots", qui ne faisaient que prendre l'empreinte des données embossées sur la carte.
Autant dire pas franchement la période qui a connu le moins de fraudes... (aaaah... l'Italie )
 
Fraude carte qui avait bien diminué avec la généralisation des terminaux de paiement électroniques, avec saisie du code et demande d'autorisation.
Or là, paradoxalement, avec l'avènement du commerce électronique moderne, on a fait un grand pas en arrière dans les procédures de sécurité.
C'est assez "neuf" du point de vue des groupes cartes bancaires, qui n'ont peut être pas su prendre la mesure des risques assez tôt.
 
Tout ça ira mieux le jour où le moindre PC/Mac aura sous le lecteur DVD un lecteur de carte à puce dans lequel il faudra insérer sa carte et saisir son code lors d'une transaction sur le web

Petit suivi pour mon histoire. Je viens d'apprendre juste ce jour par Boursorama que je suis integralement remboursé.
 
Donc, ca finit bien, mais toujours ce problème d'origine de la fraude qui est encore inconnu pour moi...
Je vais être encore plus vigilant sur les sociétés à qui j'achète en ligne. Paypal (via Amazon), ça pose pas de problème ?
 
Pour repondre à cyber_dream :

Non, mais c'est une bonne idée, je vais regarder ça.
 
3Dsecure est une bonne option, mais ça devrait être obligatoire donc pour tout débit sur nos cartes. Aucun débit ne serait autorisé si il n'etait pas passé par 3Dsecure. Or, manifestement, ma banque (et toutes les autres a priori) autorisent des débits de Bouygues, Conrad elec etc... à partir du moment où ces sites-là ont dit okay.... c'est quand même une faille!
 

Pour obtenir les données cartes nécessaires aux paiements à distance c'est très facile.
 
Le commerçant filme sur sa caméra/smart-phone les 2 faces de la carte c'est à dire le numéro de 16 chiffres, la date de fin validité et le cryptogramme de 3 chiffres situé au dos de la carte. Les employés des stations services dans leur cabine avec un grand turn over sont souvent à l'origine de ce type de fraude.
 
Ensuite, le fraudeur va sur internet pour faire les achats frauduleux (la plupart des commerçants français ne sont pas affiliés au 3D Secure). Le plus difficile reste ensuite de trouver une adresse de livraison pour se faire livrer la commande*, sauf pour les billets d'avions électroniques.
 
(*) Il existe des astuces avec des changements d'adresse à la poste. Le fraudeur renvoie temporairement vers une autre adresse (celle donnée dans sa commande est factice).

Attention,
à l'étranger certains terminaux de paiement sont trafiqués au niveau du clavier et de l'affichage.
Très facile avec des composants comme l'Arduino de détourner le clavier et l'afficheur.
Par exemple, le client paye un achat de 23Euros.
Le commerçant malhonnête tape 723Euros sur le terminal trafiqué qui n'affiche que 23, le chiffre de poids fort n'est pas affiché.
Le client en toute confiance tape son code secret croyant valider une transaction à 23Euros alors qu'en fait il est en train de valider un achat de 723Euros.
En fin de transaction, ticket indisponible et le commerçant s'excuse avec un large sourire.....
 
La partie complexe cryptage authentification n'est pas modifiée, seul l'affichage et le clavier sont bricolés.
Le truc est de faire valider une transaction par le client sur une somme supérieure à ce qui est affiché sur le terminal.
 
De retour en france, bon courage pour se faire rembourser par la banque.
Vu de la banque la transaction a eu lieu normalement.
 

Attention aux terminaux de paiement bricolés,
Par exemple, le client paye un achat de 23Euros et valide l'achat avec son code secret.
Le terminal bricolé au niveau de l'affichage affiche en fin de transaction un message d'erreur comme réseau indisponible ou autre.
Le commerçant malhonnête avec ses plus plates excuses vous demandera de régler l'achat en espèces.
 
De retour en france, bon courage pour se faire rembourser par la banque.
Vu de la banque la transaction carte bleue a eu lieu normalement.

Même les DABs dans les banques se font avoir avec des skimmers qui lisent la piste magnétique et avec l'aide d'une caméra ou d'un sur-clavier arrivent à capter le code secret.  
Les truands réalisent alors une carte bancaire à piste magnétique qui est encore acceptée dans de nombreux pays.
 
Avec la complicité d'un vendeur peu scrupuleux, il est encore plus facile de bricoler un terminal de paiement pour obtenir les infos de la carte plus le fameux code secret.
 
C'est pas la fête pour les utilisateurs de carte bleue.
Et comme le fameux code secret a été utilisé, la banque ne remboursera rien.

Les bidouilles sur les terminaux de paiement sont  
 
Soit externes:
Rajout d'un module type Arduino/Atmega ou STM32/ARM pour modifier l'affichage et capter les infos du clavier.  
C'est à la portée d'un bon bricoleur à peu de frais.  
C'était impensable il y a 30 ans mais actuellement ce type de technologie est très peu onéreuse et très largement répandue.
 
Soit internes:
Par upgrade du firmware. Cela demande plus de connaissances de la machine et n'est accessible que via le réseau des sous traitants (inde, chine, ......).
Certainement que ce type d'informations sur l'architecture interne des terminaux est accessibles à certaine organisations.
Il est loin le temps où les firmwares étaient gravés en dur dans les machines et effacés manuellement avec une lampe UV (2716 pour les anciens....).
Actuellement tout est upgradable remotely et bien entendu très peu de fabricants signent les firmwares avec une clef privée.....
Avec un firmware bricolé, tout est possible aux truands, capter le code secret avec les infos de la carte, et modifier à la volée le montant de la transaction validée par la présence de la carte bleue physique.
 
Très difficile pour un client lambda de voir si il a affaire à un terminal bricolé au niveau HW et encore plus difficile si c'est au niveau FW.

Tes infos auraient plus leurs place dans le topic les arnaques    
 
https://forum.hardware.fr/forum2.ph [...] nojs=0#bas

Les smartphones Android se connectent au démarrage aux serveurs Google (connectivitycheck.android.com, moble-gtalk.l.ggogle,....). En configurant un PC Windows ou Linux comme point d'accès wifi pour le smartphone, avec Wireshark il est aisé de voir les serveurs utilisés par le smartphone Android.
Certains smartphones se connectent également à des serveurs chinois (folder.advmob.cn de Adups, load.batmobi.net de Batmobi, etc....)
Ces sociétés américaines et chinoises peuvent capter les numéros et les codes secrets des comptes bancaires. Tout aussi facilement que les enceintes connectées peuvent être écoutées à distance.
Donc très difficile de ne pas avoir son compte bancaire piraté via un smartphone Android....

Avec wireshark on voit passer les accès standards aux serveurs google:
connectivitycheck.android.com             80
clients.l.google.com                     443
googleapis.l.google.com                  443
www.gstatic.com                          443
pagead.l.doubleclick.net                 443
mobile-gtalk.l.google.com               5228      Google GTalkService, kill and install remotely any application on the phone
par10s28-in-f110.1e100.net               443
par10s29-in-f228.1e100.net               443
www3.l.google.com                        443
Difficile de savoir ce qui est transmis vers google (coordonnées GPS, extraction d'adresses email et liste de numéros de téléphone, textes, images, captures caméra, captures microphone, captures empreintes de déverrouillage, exfiltration de passwords wifi, extraction de passwords des comptes emails et bancaires,.....). Impossible à bloquer avec un firewall non root.
 
Ce n'est peut être pas pour rien que même le patron de facebook conseille de mettre un cache sur les caméras.
Voir anomalies des écoutes/enregistrements à partir des enceintes connectées.
 
==>Smartphone Android
Après une réinit usine, sans avoir ouvert le navigateur chrome, avec zéro application installée
Accès standards aux serveurs google, plus les suivants
app.fota.digitimetech.com                   80   Shenzhen Digitime
load.batmobi.net                            80   Guangzhou Batmobi
folder.advmob.cn                            80   Shanghai Adups  https://www.theregister.co.uk/2016/ [...] _to_china/
bigdata.adsunflower.com                     80   Shanghai Adups
www.wshifen.com                             80   Beijing Baidu
xxxxxx.cloudfront.net                       80
xxxxx.hk.xxxx.clb.myqcloud.com              80
 
Démarrage du smartphone sans avoir ouvert le navigateur chrome, avec zéro application installée, au bout de quelques heures:
Accès standards aux serveurs google, plus les suivants
app.fota.digitimetech.com                   80
load.batcloud.cn                            80
analyze.flurrydata.com                   10000
statistics.flurrydata.com                10000
abc.lkjuio.com                             443
log.lkjuio.com                             443
xxx.abcdserver.com                        8666
www.eoterns.site                            80
cdn.dncyty.com                            8080
cdn.hwwlcs.com                            8080
xxxxxxx.hk.xxxxxx.clb.myqcloud.com          80
bcd.lkjuio.com                             443
faslight.lkjuio.com.whecloud.com            80
alog.umeng.com.gds.alibabadns.com           80
r12.sn-4gxx-25gee.gvt1.com                 443
 
On trouve une application téléchargée sans me demander mon avis: "band manager" version 1.8.1 avec tous les droits d'accès au téléphone, SD, téléphone, wifi.
Le smartphone est infecté dès le départ par le constructeur.
Au bout de deux mois d'utilisation en 4G, Google Android n'est pas capable de supprimer les spywares installés par le constructeur.
Une réinit constructeur ne règle pas le problème.
La sécurité Android c'est du pipeau2.0.
 
Les accès des applications installées peuvent être bloquées avec un firewall non root, seuls les accès google/android et firmware/constructeur continuent à passer. Il faudrait avoir accès à netfilter/iptables de la couche Linux.
 
Se servir d'un smartphone Android pour accéder à ses comptes bancaires c'est pas vraiment sérieux.

Sur mon smartphone Android, après avoir fait un copié collé d'un texte contenant mon adresse email, j'ai été surpris de recevoir dans ma boite aux lettres lié à cette adresse email des publicités me vantant les mérites d'une application notepad sur Android. Comme je ne fais pas confiance à Android pour lire mes mails, je ne me suis jamais connecté via chrome à cette adresse email, donc il y a eu extraction d'adresse email à partir du fichier texte.
Les coupables potentiels qui ont vu passer le contenu texte sont soit le système Android, soit le file manager, soit le browser de texte, soit le firmware driver disque ou driver écran.
Ce qui est sur c'est que le contenu texte est traité à des fins marketing sans avoir demandé mon accord.
Même si dans ce cas il n'y a pas de conséquences gênantes lié à une adresse email, il n'est vraiment pas possible d'éditer ou de stocker des informations privées sensibles sous peine de risquer de les voir aspirées par des serveurs qui pourraient en faire mauvais usage.