Fraude sur Visa via Apple Pay

[Bleys]

Bonjour

J'ai été victime d'une fraude à la Visa via des achats Apple Pay (physiquement, dans des magasins sur la region Parisienne (j'habite dans la région Toulousaine).

J'ai eu 4 achats ce week end (1 petit de 2,50€ le samedi surement pour voir si ca fonctionne, puis 3 le dimanche (2.1€, 869€ et 1419€)). Pour ensuite recevoir un SMS le dimanche après midi de ma banque afin de vérifier si j'étais bien à l'origine d'un des achats.

Bref c'est fait, je vais être remboursé par ma banque.


Le but de mon message est de savoir si c'est déjà arrivé a certains d'entre vous (fraude via Apple Pay) car j'avoue ne pas comprendre comment ils ont fait.

- j'ai ma CB avec moi, jamais perdu
- l'ajout d'une carte bancaire sur Apple Pay nécessite plusieurs validations de ma part (une notification sur l'app de ma banque (Credit Agricole) qui permet ensuite l'envoi d'un SMS sur mon iPhone avec un code pour valider l'ajout de la CB sur l'écosystème Apple Pay
- Je n'ai aucun appareils inconnu dans la liste de mes appareils lié à mon compte Apple
- les differents emails et numéro de telephone qui permettent de valider des modifications sur mon compte Apple sont les miens. Rien d'inconnu
- l'identification à double facteurs est bien activé (depuis le début que ca existe sous Apple
- je n'enregistre jamais mon numéro de CB sur un site internet pour un achat (sauf Amazon) car il est enregistré sur iCloud (c'est censé être sécure... )


Je ne comprend pas comment ils ont fait, je cherche donc des infos, ou bien des personnes qui ont eu le meme problème et qui savent ce qu'il s'est passé afin d'éviter que cela se reproduisent. Voir des liens sur des articles qui parlent de ce problème (Fraude via Apple Pay)

Merci

[g4hd]

Un phishing réussi ?

Il affiche des détails typiques du système Apple Pay et en fait ce n'est qu'un masque qui lui donne une apparence de notoriété.

Souvent on a plutôt affaire à des escrocs qui pompent quelques euros chaque quinzaine ou chaque mois… le temps de s'en rendre compte et de réagir, ils ont engrangé !

[Anibé]

J'ai été victime d'une fraude à la Visa via des achats Apple Pay (physiquement, dans des magasins sur la region Parisienne (j'habite dans la région Toulousaine).
J'ai eu 4 achats ce week end (1 petit de 2,50€ le samedi surement pour voir si ca fonctionne, puis 3 le dimanche (2.1€, 869€ et 1419€)). Pour ensuite recevoir un SMS le dimanche après midi de ma banque afin de vérifier si j'étais bien à l'origine d'un des achats.
Bref c'est fait, je vais être remboursé par ma banque.

Bon, pour les petites sommes, pas de problème, ça passe sans la double identification.
En revanche, les deux autres sommes, c'est plus surprenant, puisqu'il faut le code qui est envoyé sur TON téléphone. Et le paiement ne peut pas avoir lieu avant que tu saisisses le code. Ce sont donc uniquement les deux petites sommes qui ont pu passer, pas les deux grosses.
Tu peux confirmer ?
Si c'est le cas, pas trop de soucis. Enfin, disons que les risques sont limités.
Si les paiements sont passés (avant que tu sois remboursé, ce qui déjà n'est pas normal, puisque le paiement ne peut être enregistré que quand tu mets le code), c'est qu'il y a eu un bug : le hacker a pu changer le numéro de téléphone lié à ton compte, et c'est donc ton mot de passe qui a été hacké.
Toute première chose à faire : changer tes identifiants et mdp sur ton compte bancaire, mais je suppose que c'est déjà fait.
Renseigne-toi auprès de ta banque pour savoir quels ont été les données utilisées. Ils doivent pouvoir te fournir ces informations, sinon c'est qu'ils ne sont pas fiables…
Au passage, il y se pose depuis quelques temps des questions sur la possibilité de pirater les données des cartes bancaires "sans contact". On ne sait toujours pas ce qui est possible et ce qui ne l'est pas.

- l'identification à double facteurs est bien activé (depuis le début que ca existe sous Apple

Ça, c'est ch***t mais ça marche, je confirme, personnellement.

- je n'enregistre jamais mon numéro de CB sur un site internet pour un achat (sauf Amazon) car il est enregistré sur iCloud (c'est censé être sécure... )

Moi je n'enregistre surtout strictement rien sur iCloud ni sur un quelconque autre "cloud", d'ailleurs : trop de fluctuations dans la sécurité (dans tous les sens), et les systèmes montés par des gens qui ne maitrisent pas forcément le sujet… Ce n'est pas une opinion, c'est de l'expérience…
Et mes données bancaires ne sont jamais enregistrées non plus sur les sites de fournisseurs (quels qu'ils soient) pour les mêmes raisons.
Stratégie : Ne jamais mettre ses données bancaires sur son smartphone. Ne jamais rester "connecté" en permanence quand on fait ses courses… Je sais ça peut sembler parano, mais en plus ça permet d'avoir la paix.
M'enfin, ça, c'est une opinion.
Bonne route à toi.

[Jedge]

un bon vieux lecteur de carte à un distributeur/pompe à essence aura le même résultat et sans besoin de 2FA

[Vincent]

Votre carte est dans un étui anti-RFID ?

[Bleys]

Bon, pour les petites sommes, pas de problème, ça passe sans la double identification.
En revanche, les deux autres sommes, c'est plus surprenant, puisqu'il faut le code qui est envoyé sur TON téléphone. Et le paiement ne peut pas avoir lieu avant que tu saisisses le code. Ce sont donc uniquement les deux petites sommes qui ont pu passer, pas les deux grosses.
Tu peux confirmer ?
Si c'est le cas, pas trop de soucis. Enfin, disons que les risques sont limités.
Si les paiements sont passés (avant que tu sois remboursé, ce qui déjà n'est pas normal, puisque le paiement ne peut être enregistré que quand tu mets le code), c'est qu'il y a eu un bug : le hacker a pu changer le numéro de téléphone lié à ton compte, et c'est donc ton mot de passe qui a été hacké.
Toute première chose à faire : changer tes identifiants et mdp sur ton compte bancaire, mais je suppose que c'est déjà fait.
Renseigne-toi auprès de ta banque pour savoir quels ont été les données utilisées. Ils doivent pouvoir te fournir ces informations, sinon c'est qu'ils ne sont pas fiables…
Au passage, il y se pose depuis quelques temps des questions sur la possibilité de pirater les données des cartes bancaires "sans contact". On ne sait toujours pas ce qui est possible et ce qui ne l'est pas.

alors, dixit le service SOS Carte du Crédit Agricole, ce sont des payements Apple Pay (via un iPhone) qui ont été fait. Donc la personne était physiquement a la Gare de l'Est et a la FNAC Champs Elysée pour faire les achats.
Je n'ai eu aucun message, aucun sms ou demande de code pour l'ajout d'une carte bancaire sur un compte Apple Pay.

Il n'y a pas de demande de code ou de SMS pour valider un gros achat via un payement Apple Pay sur un iPhone. Tu actives la carte, FACE ID, Touych ID ou bien le code du téléphone sont demandé et c'est tout. Le plafond de payement est lié a celui de ta carte. Si ton plafond est de 6000€ sur une semaine, tu peux faire un achat de 6000€ (ou plusieurs achats) sur une semaine avec uniquement des payement Apple Pay


Pour le reste je suis a peu prêt pareil. Aucune donnée bancaires sur internet (sauf amazon, j'avoue... je me dis que si lui se fait pirater autant arrêter les achats internet) et je laisse effectivement les cartes préenregistrés sur iCloud. Le coté pratique...

un bon vieux lecteur de carte à un distributeur/pompe à essence aura le même résultat et sans besoin de 2FA

Je vais généralement (dans 99% des cas) à la meme pompe pas loin de chez moi et je paye toujours à la caisse en Apple Pay via iPhone. Mais c'est une possibilité

Votre carte est dans un étui anti-RFID ?

Oui, depuis je sais plus combien d'année. Et je sors rarement ma carte car j'utilise la plupart du temps Apple Pay via iPhone


Suite de l'aventure :
J'ai donc déclaré a ma banque les fraudes (4 achats pour un montant de plus de 2200€) Le dossier est en cours d'analyse pour voir si je serais remboursé. Car il y a Apple Pay... Mais je les attends a ce niveau la car pour refuser un remboursement c'est complique et ils doivent prouver que j'ai fauté (envoi d'un code SMS a une autre personne, erreur de ma part etc etc ). s'ils commencent a essayer de se défausser car Apple Pay est impliqué, je vais leur rappeler que c'est eux qui propose cette solution de payement, sure et rapide (dixit leur pub)

J'ai aussi eu Apple au telephone.
Le tech pense que ma carte s'est retrouvé dans un piratage de site, que les voleurs ont eu (ou acheté je sais pas) mon numero de carte complet
Ils l'ont ajouté a un iPhone sous un autre compte Apple (et donc Apple Pay) et qu'ils ont réussi à l'ajouter. Ce que je ne comprend pas c'est que moi, lors de l'ajout de ma carte sur un appareil Apple (iPhone, MacBook etc etc), je dois
- valider l'operation sur l'application de ma banque
- recevoir un SMS avec un code
- utiliser le code pour valider l'installation de la carte sur l'appareil Apple

Je n'ai jamais eu de demande a ce niveau et la personne du CA qui a géré ma demande de fraude a bien vu le dernier ajout de la carte (en 2023) et rien d'autre ensuite
Je ne m'explique pas comment ils ont peu ajouter ma carte sur un autre iPhone

apple ayant été tres évasif dans ces réponses a ce niveau la......

Voia voila

Je suis toujours preneur d'info si jamais quelqu'un en connait plus sur le sujet pour m'éviter ce genre de soucis a nouveau

Merci en tout cas pour vos réponses