Fuite de données gratuite : voici un exemple concret d'arnaque bancaire avec votre IBAN
Les nouvelles les plus importantes de la journée

Fuite de données gratuite : voici un exemple concret d’arnaque bancaire avec votre IBAN

Fuite de données gratuite : voici un exemple concret d’arnaque bancaire avec votre IBAN

La fuite de données qui a suivi la cyberattaque contre l’opérateur Free a fait fuiter des millions d’IBAN. Des recouvrements peuvent être effectués à votre insu par des sociétés peu scrupuleuses.

Depuis qu’elle a été rendue publique, la fuite de données de l’opérateur Free a été largement relayée dans les médias. Le fournisseur d’accès Internet français a informé ses abonnés le 28 octobre qu’une liste contenant les noms, prénoms, dates et lieux de naissance, numéros de téléphone, identifiants d’abonnés et IBAN avait été volée par un cybercriminel.

La base de données a été mise en vente sur un célèbre forum de hackers. Veuillez noter que les informations d’identification (nom, adresse email) peuvent être réutilisées pour des campagnes de phishing, en usurpant l’identité d’une banque ou de Netflix.

L’IBAN est peut-être encore plus intéressant s’il est combiné à d’autres informations. Dans un précédent article, Benoit Grunemwald, expert en cybersécurité chez ESET, nous expliquait que « des sociétés peu scrupuleuses se livrent à des malversations pour souscrire à des abonnements frauduleux en utilisant cet IBAN. »

Comment s’y prendrait-elle ? Jonathan, photographe et passionné de tech, a présenté la manœuvre sur le réseau social X (anciennement Twitter) et nous l’a expliqué.

Comment une entreprise peut-elle vous retirer de l’argent avec votre IBAN ?

Si l’on devait résumer la manipulation en une phrase : une entreprise peut automatiser les prélèvements depuis votre compte, via la plateforme de paiement professionnelle Stripe (l’exemple utilisé ici), et depuis un simple IBAN.

Certaines conditions existent naturellement :

  • le client Stripe doit fournir un numéro Siret, mais cette première mesure est facilement contournée puisque n’importe qui peut créer son entreprise ou conclure un accord avec une entreprise déjà existante. Dans ce cas précis, Jonathan a utilisé celui de son entreprise.

La deuxième étape est probablement la plus simple :

  • Le client Stripe crée un lien de paiement sur Stripe, intègre le numéro IBAN et effectue le débit. C’est aussi simple que cela. L’intéressé a effectué un test avec son propre compte bancaire et a effectué des versements de 90 centimes.
Il suffit de fournir l’IBAN de la « cible » sur Stripe. // Source : Zojo

Dès que la banque est informée du mandat de prélèvement, un paiement sera effectué depuis votre compte bancaire. Concrètement, l’argent sera retiré, mais l’entreprise ne pourra y toucher que lorsque le débiteur aura accepté le mandat de prélèvement. A noter qu’il existe un délai de sept jours pour confirmer ou non l’authenticité du paiement.

Dans le cas de Jonathan, 90 centimes ont effectivement été prélevés sur son compte.

Le retrait de 90 centimes du compte bancaire. // Source : Zojo

A priori, vous êtes donc informé qu’un retrait d’argent vous est effectué. Mais encore une fois, il existe des moyens de camoufler la procédure.  » Vous pouvez donner n’importe quelle information d’identité sur Stripe. Il n’est pas possible de se faire passer directement pour une autre entreprise, mais une organisation malveillante peut très bien donner un autre nom similaire. », nous explique Jonathan.

Un cybercriminel pourrait se présenter sous le nom de la société « Freee » pour piéger les internautes imprudents.

Victimes de retraits illégaux sur un IBAN

Ce mode opératoire a déjà été utilisé, notamment dans une célèbre affaire impliquant la SFAM, aujourd’hui appelée Indexia. Cette compagnie d’assurance pratique les prélèvements à l’insu des personnes ayant récemment acheté des produits technologiques.

Une organisation malveillante cherchant à voler des fonds de la même manière pourrait facilement automatiser des milliers de paiements et miser sur les quelques victimes qui ne seraient pas vigilantes.

Selon les applications bancaires, il est possible de paramétrer et de bloquer des mandats de prélèvement. Soyez prudent et méfiant envers les notifications de retraits, c’est souvent par moments que l’on y prête le moins attention.

N’oubliez pas également que le pirate informatique a gardé secrète l’intégralité de la base de données des acheteurs malveillants. Vous ne saurez donc pas si vous êtes concerné par la fuite sur des sites comme haveibeenpwned, mais vous serez normalement averti par Free.

Pour aller plus loin

Toute l’actualité gratuitement

Quitter la version mobile