AQDR Laval-Laurentides Ensemble défendons nos droits !
La Presse – 21 octobre 2024. Les fraudeurs exploitent les mécanismes automatisés d’authentification à double facteur des institutions financières pour dérober les cartes de crédit et de débit de leurs victimes.
Des fraudeurs ont mis au point une technique sophistiquée pour dérober les cartes de crédit et de débit de leurs victimes en exploitant les mécanismes de sécurité des systèmes de paiement par téléphone comme Apple Pay ou Google Pay. Un employé de l’Assemblée nationale et le député Vincent Marissal en ont fait les frais ces derniers jours, a appris La Presse.
Renaud Poirier-St-Pierre, directeur de cabinet de Gabriel Nadeau-Dubois, explique avoir été dupé mardi dernier par un faux représentant de Desjardins qui a exploité cette méthode peu documentée.
« J’avais vraiment l’impression d’avoir affaire à un employé d’un centre d’appel de Lévis. Son accent, sa manière de parler, son niveau de langage, tout avait l’air vrai », raconte-t-il.
Le député de Rosemont, Vincent Marissal, dit aussi en avoir été victime dans les semaines précédentes.
« Ce n’était pas un gars qui baragouinait le français. J’ai eu honte après coup de m’être fait avoir comme ça ; j’ai étudié des projets de loi pour prévenir ce genre de fraude. »
La méthode
L’attaque est une des nombreuses variantes de la « fraude du faux représentant », qui vise typiquement des aînés, par laquelle l’arnaqueur convainc sa cible de révéler ses codes d’identification.
Mais dans cette mouture, ce sont les mécanismes automatisés d’authentification à double facteur des institutions financières qui sont exploités.
L’appel trompeur est d’abord lancé par le fraudeur, qui connaît déjà le numéro de carte de crédit ou de débit de sa cible (probablement obtenu dans une base de données de cartes compromises). Il appelle sa victime grâce à un service de téléphonie IP qui permet d’usurper l’institution financière, en faisant apparaître trompeusement le numéro de téléphone de la banque sur l’afficheur de la cible (une technique de fraude très commune appelée spoofing).
L’escroc annonce alors à sa cible qu’elle a été victime de fraude, mais en réalité, le fraudeur fait simultanément les manipulations pour activer la carte de la cible dans le portefeuille virtuel de son propre téléphone.
La manœuvre génère automatiquement l’envoi d’un code d’activation du service Google Pay ou Apple Pay par l’institution financière dans la boîte de courriel de la victime.
La victime, invitée à confirmer la réception de ce courriel, est dès lors convaincue que c’est bien l’institution financière qui vient de lui envoyer un code de sécurité pour confirmer son identité auprès du représentant.
La victime confirme le code à son interlocuteur. Sans s’en douter, elle vient d’activer sa carte de crédit ou de débit dans le téléphone du fraudeur.
Le voleur suit ensuite un scénario qui ressemble en tout point à celui des services de sécurité des banques :
« Il te donne toutes les mesures de sécurité qui doivent être prises, il te dit qu’il annule tes cartes, il t’indique quoi faire pour te protéger. Tu te sens sécurisé. »
Pour se protéger
Desjardins souligne qu’elle ne demande jamais de code de sécurité lorsque c’est elle qui fait un appel : « Lorsque l’on reçoit un appel non sollicité, il faut être extrêmement prudent et ne fournir aucune information personnelle, puisque l’appelant doit normalement les posséder », explique le porte-parole Jean-Benoît Turcotti.
« En cas de doute, il est préférable de raccrocher et de contacter soi-même son institution financière au numéro indiqué à l’endos de sa carte. »
Jean-Benoît Turcotti, porte-parole de Desjardins
« Il ne faut pas rappeler le numéro qui est donné par la personne qui communique avec nous et ne pas se fier à son afficheur », ajoute le porte-parole de Desjardins.
Peu importe la variante, ces arnaques exploitent toutes les mêmes « trois parties » qu’il faut apprendre à reconnaître, recommande le lieutenant Benoît Richard, de la Sûreté du Québec :
« Premièrement, on vous fait croire que vous, ou quelqu’un de votre entourage, êtes à risque de quelque chose. Deuxièmement, on vous fait croire qu’il faut prendre une action immédiate. Et troisièmement, que ça nécessite une action de votre part, et pas de la leur », résume-t-il.
« Ils le font en utilisant les mêmes gestes, les mêmes mots que les institutions financières. Et ils le font vraiment très bien », ajoute le policier.
Qu’est-ce qu’un mécanisme d’authentification à double facteur ?
L’identification à double facteur est un mécanisme supplémentaire de sécurité qui s’ajoute à la combinaison « identifiant et mot de passe » normalement utilisée pour accéder à un compte en ligne. Lorsque l’utilisateur s’est correctement identifié, le système envoie automatiquement un deuxième code de quatre à six chiffres par courriel ou texto – un jeton, dans le jargon – qui lui permet de confirmer son identité. La fraude décrite dans cet article permet aux voleurs d’intercepter ce jeton en simulant le script de sécurité des institutions financières.
