Fraude par virement sur Livret d'Epargne Populaire

[Tomas466]

Une première négligence où vous n'avez pas assuré la confidentialité de votre login/mot de passe LBP, puis une seconde où vous avez communiqué un code de sécurité par téléphone (notez bien : je grossis le trait pour vous aider à anticiper les réponses et préparer les arguments en retour, pas pour vous blâmer ! sachant que si une enquête de police est en cours vous avez peut-être déjà des éléments factuels à opposer à ce qui sera probablement la ligne de défense de la banque).

Et non, je ne peux malheureusement pas vous aider davantage. Une asso me semble indiquée pour vous orienter vers un avocat spécialisé en la matière, il vous faut donc regarder ce qui existe de connu et de sérieux, en n'oubliant pas que des cas de "sur-arnaque" existent et qu'il ne faut faire confiance à personne, en particulier en ligne.

 

[Dan_65]

Une première négligence où vous n'avez pas assuré la confidentialité de votre login/mot de passe LBP, puis une seconde où vous avez communiqué un code de sécurité par téléphone (notez bien : je grossis le trait pour vous aider à anticiper les réponses et préparer les arguments en retour, pas pour vous blâmer ! sachant que si une enquête de police est en cours vous avez peut-être déjà des éléments factuels à opposer à ce qui sera probablement la ligne de défense de la banque).

Et non, je ne peux malheureusement pas vous aider davantage. Une asso me semble indiquée pour vous orienter vers un avocat spécialisé en la matière, il vous faut donc regarder ce qui existe de connu et de sérieux, en n'oubliant pas que des cas de "sur-arnaque" existent et qu'il ne faut faire confiance à personne, en particulier en ligne.

Merci pour votre analyse et vos conseils !

 

[hapx]

J'ai l'impression que pour la Banque Postale, Certicode = SMS et Certicode Plus = application sur smartphone, plus du tout de SMS. Or même avec une authentification forte telle que Certicode Plus, le SMS et/ou l'e-mail de notification reste bien utile.

Par exemple, pour ma banque traditionnelle et pour mes banques en ligne, il y a toujours après les opérations sensibles (ajout de bénéficiaire ou virement) validées par authentification forte soit un SMS et/ou un e-mail de notification :

Exemple de SMS reçu après virement validé par authentification forte sur smartphone :

(nom de la banque)
Virement de xxx,yy euros vers France FR(numéro IBAN) en validation.
Si problème contactez la banque Réf XXXXXXX.

Exemple de mail reçu sur ajout de bénéficiaire validé par authentification forte sur smartphone:

Le jj/mm/2020 à 10H15, vous avez enregistré un nouveau compte bénéficiaire depuis votre espace sécurisé (nom de la banque) En ligne de notre site Internet.
IBAN ajouté : FRYYXXXXXXXXXXXXXXXXXXXZZZZ.
J’ai le plaisir de vous confirmer que votre demande a bien été enregistrée.
Pour des raisons de sécurité, merci de bien vouloir me contacter dans les meilleurs délais si vous n’êtes pas à l’origine de cette opération.
A très bientôt
Votre Conseiller

L'absence d'un autre moyen de notification des opérations sensibles (SMS et/ou e-mail) est bien le point faible de la Banque Postale qui se singularise ainsi par rapport à ses concurrentes. Ce point faible a été utilisé à profit par les pirates.

 

[hargneux]

Pour l'avocat, vous pouvez demander au conseil de l'ordre à Tarbes s'ils ont dans leur membre un spécialiste du droit bancaire et/ou des nouvelles technologies liées au domaine bancaire

 

[Dan_65]

J'ai l'impression que pour la Banque Postale, Certicode = SMS et Certicode Plus = application sur smartphone, plus du tout de SMS. Or même avec une authentification forte telle que Certicode Plus, le SMS et/ou l'e-mail de notification reste bien utile.

Par exemple, pour ma banque traditionnelle et pour mes banques en ligne, il y a toujours après les opérations sensibles (ajout de bénéficiaire ou virement) validées par authentification forte soit un SMS et/ou un e-mail de notification :

Exemple de SMS reçu après virement validé par authentification forte sur smartphone :

(nom de la banque)
Virement de xxx,yy euros vers France FR(numéro IBAN) en validation.
Si problème contactez la banque Réf XXXXXXX.

Exemple de mail reçu sur ajout de bénéficiaire validé par authentification forte sur smartphone:

Le jj/mm/2020 à 10H15, vous avez enregistré un nouveau compte bénéficiaire depuis votre espace sécurisé (nom de la banque) En ligne de notre site Internet.
IBAN ajouté : FRYYXXXXXXXXXXXXXXXXXXXZZZZ.
J’ai le plaisir de vous confirmer que votre demande a bien été enregistrée.
Pour des raisons de sécurité, merci de bien vouloir me contacter dans les meilleurs délais si vous n’êtes pas à l’origine de cette opération.
A très bientôt
Votre Conseiller

L'absence d'un autre moyen de notification des opérations sensibles (SMS et/ou e-mail) est bien le point faible de la Banque Postale qui se singularise ainsi par rapport à ses concurrentes. Ce point faible a été utilisé à profit par les pirates.

Je suis arrivé aux mêmes conclusions que vous, mais je trouve ça complètement dingue... stopper l'envoi de notifications parce qu'on a activé un autre mode d'authentification...
Il est donc préférable de ne pas activer le certicode plus... le certicode est bien plus efficace.

Après avoir été client chez eux pendant 25 ans, je vais aller voir ailleurs. Non seulement parce que leur comportement n'est pas du tout " correct " mais aussi parce que je prends conscience de leur faiblesse niveau sécurité.

Encore merci pour vos interventions.

 

[hapx]

@Dan_65

J'ai trouvé des articles qui pourraient vous intéresser :

1) Qui a vidé le compte bancaire de Christophe ?

2) Le piratage de compte

3) La Banque Postale: compte vidé, refus de remboursement


Quelques remarques et suggestions :

1- Pour faire un virement vers un compte externe, il faudrait normalement passer obligatoirement par son compte courant. D'où virement interne d'abord vers le compte courant, puis virement externe depuis ce compte. Cela ne semblerait être pas le cas pourtant d'après votre description, il n'y avait aucun mouvement frauduleux sur votre compte courant ? Donc mystère.

2- Avec l'historique des appels téléphoniques sur le smartphone, avez-vous le numéro du soi-disant conseiller vous a appelé ? En cherchant ce numéro sur Internet (Google), il pourrait déjà été signalé dans d'autres cas
(site signal-arnaques.com par exemple : site d'ailleurs recommandé pour consultation périodique pour être courant des arnaques de tout genre : phishing, arnaques Paypal, arnaques téléphoniques...).

3- Le smartphone Android tout comme l'ordinateur peut être aussi source de vulnérabilité. D'autant plus que selon le modèle et l'âge de l'appareil, les derniers correctifs de sécurité n'auraient pas été mis à jour par le constructeur (vérifier la date du niveau de correctif de sécurité d'Android dans les Paramètres : il devrait être le plus à jour possible, par exemple Mai 2020. Une date de 2017 par exemple signifie que le constructeur a abandonné le support pour ce téléphone, d'où plus grand risque). Le smartphone ne devrait pas non plus être rooté (danger) ou ayant des applications téléchargées hors du Playstore/Google Play. Il est fortement conseillé d'utiliser une application d'antivirus ou d'anti-spyware comme Malwarebytes pour scanner et vérifier toutes les applications présentes sur votre smartphone Android.

4- Dès la connexion à son compte, toujours vérifier la date et l'heure de la dernière connexion. Toute anomalie de date/heure indique un accès illégal.

5- Toujours consulter les messages dans la messagerie sécurisée de la banque.

 

[Tomas466]

Quel niveau élevé d'implication dans cette histoire @hapx, surtout pour un nouvel arrivant ^^ Il faudra que vous nous expliquiez un jour pourquoi...

 

[Dan_65]

@Dan_65

J'ai trouvé des articles qui pourraient vous intéresser :

1) Qui a vidé le compte bancaire de Christophe ?

2) Le piratage de compte

3) La Banque Postale: compte vidé, refus de remboursement


Quelques remarques et suggestions :

1- Pour faire un virement vers un compte externe, il faudrait normalement passer obligatoirement par son compte courant. D'où virement interne d'abord vers le compte courant, puis virement externe depuis ce compte. Cela ne semblerait être pas le cas pourtant d'après votre description, il n'y avait aucun mouvement frauduleux sur votre compte courant ? Donc mystère.

2- Avec l'historique des appels téléphoniques sur le smartphone, avez-vous le numéro du soi-disant conseiller vous a appelé ? En cherchant ce numéro sur Internet (Google), il pourrait déjà été signalé dans d'autres cas
(site signal-arnaques.com par exemple : site d'ailleurs recommandé pour consultation périodique pour être courant des arnaques de tout genre : phishing, arnaques Paypal, arnaques téléphoniques...).

3- Le smartphone Android tout comme l'ordinateur peut être aussi source de vulnérabilité. D'autant plus que selon le modèle et l'âge de l'appareil, les derniers correctifs de sécurité n'auraient pas été mis à jour par le constructeur (vérifier la date du niveau de correctif de sécurité d'Android dans les Paramètres : il devrait être le plus à jour possible, par exemple Mai 2020. Une date de 2017 par exemple signifie que le constructeur a abandonné le support pour ce téléphone, d'où plus grand risque). Le smartphone ne devrait pas non plus être rooté (danger) ou ayant des applications téléchargées hors du Playstore/Google Play. Il est fortement conseillé d'utiliser une application d'antivirus ou d'anti-spyware comme Malwarebytes pour scanner et vérifier toutes les applications présentes sur votre smartphone Android.

4- Dès la connexion à son compte, toujours vérifier la date et l'heure de la dernière connexion. Toute anomalie de date/heure indique un accès illégal.

5- Toujours consulter les messages dans la messagerie sécurisée de la banque.

Bonsoir,
Merci pour votre investissement et pour les liens dont vous m'avez fait bénéficier.

1. Il me semblait effectivement que seuls les virements en interne étaient possible depuis un livret d'épargne. Mais à priori, ce n'est pas le cas à LBP puisque les virements ont été réalisés de mon LEP vers un compte en Lituanie...
Aucun mouvement bizarre ou frauduleux sur mon CCP...

2. J'ai fourni aux services de Police le numéro de téléphone qui m'a appelé. Je n'ai eu aucun retour au sujet de ce numéro.

3. Mon smartphone est très récent, l'environnement installé est Android 10, un antivirus et anti-spyware est installé sur mon téléphone.Etant une source de piratage tout comme mon PC, dès que j'ai commencé à installer des moyens de paiement sur mes téléphones, j'ai en parallèle installé des outils pour surveiller et protéger mes appareils.

4. ça, par contre, rien ne me signale sur mon espace perso quand a eu lieu la dernière connexion.... en tout cas, ce n'est pas visible comme ça peut l'être sur d'autres espaces, comme les sites qui font appel à France Connect.

5. Je reçois pas de notification pour me prévenir de l'arrivée d'un message dans la messagerie sécurisée de LBP (ni mail, ni sms), du coup je ne peux consulter ces messages que lorsque je constate en avoir reçu au moment où je consulte mes comptes...

Encore merci pour vos recherches, qui comme le souligne @Tomas466 est particulièrement élevée. C'est très gentil à vous.
Je vais rentrer en contact avec 60 millions de consommateurs.

 

[hapx]

2. J'ai fourni aux services de Police le numéro de téléphone qui m'a appelé. Je n'ai eu aucun retour au sujet de ce numéro.

Ce numéro de téléphone va permettre à la Police de remonter jusqu'au pirate. Avec le résultat de l'enquête, cela vous permettra aussi de consolider encore plus votre dossier de remboursement vis à vis de la Banque Postale.

4. ça, par contre, rien ne me signale sur mon espace perso quand a eu lieu la dernière connexion.... en tout cas, ce n'est pas visible comme ça peut l'être sur d'autres espaces, comme les sites qui font appel à France Connect.

Sur l'application LBP ou sur ordinateur (site Web LBP), il y a toujours l'ìnformation de dernière connexion. En attachement une capture partielle de l'écran d'accueil de l'espace personnel où vous pouvez voir le bandeau bleu d'information sur la dernière connexion.

Encore merci pour vos recherches, qui comme le souligne @Tomas466 est particulièrement élevée. C'est très gentil à vous.

Il y quelques mois, j'ai découvert Moneyvox et son forum. J'ai toujours suivi anonymement en tant que non-inscrit les sujets qui m'intéressent. Puis j'ai découvert votre post qui m'a touché (comme sans doute d'autres membres du forum). Par empathie pour la perte de vos économies accumulées au cours des 15 années, j'ai décidé de m'inscrire pour apporter ce que je connais. Car je suis aussi comme vous très sensibilisé à la sécurité (informatique, bancaire...) et à la prévention contre les fraudes et arnaques.

Je vous souhaite de tout coeur la réussite dans vos démarches de demande de remboursement.

 

[Papy-Joe]

Bonjour. Vieux client de la banque postale, j’ai moi aussi un LEP (entre autres) et suis intéressé par ce fil, voici pourquoi : Je suis allé hier faire Controller mon avis d’imposition à la banque postale pour pouvoir garder mon LEP. Le poste était vide. Ma conseillère en vacances. La seule personne responsable apte à traiter mon cas et présente ma conduit dans son bureau. Lui ayant fourni le numéro de mon LEP, elle a opéré la validation de mon livret sur son PC. La voyant faire, je me suis demandé si les pouvoirs d’actions sur mon compte bancaire de cette personne étaient limités ? Après tout, sur son écran je suppose qu’elle pouvait TOUT voir ! LEP, Assurance vie, Compte courant CCP etc. D’où cette question qui m’est venue à l’esprit : Et si, ayant quelques mauvaises fréquentations, elle pouvait ….. Vous voyez où je veux en venir ! Bien sûr, ceci n’est qu’un mauvais phantasme mais je me demande quand même jusqu’où s’arrêtent les pouvoirs de nos conseillers financiers et employés des guichets ? Peuvent-ils TOUT faire sur nos comptes ? Je pose cette question car je sais que certaines opérations de virements ne peuvent être effectuées que par nos conseillés ! J’espère être rassuré par quelques bonnes réponses que je remercie par avance.