Une arnaque qui tire parti d'Apple Pay vise depuis plusieurs semaines des clients de la banque ING. Sur son forum, plusieurs clients se plaignent de débits frauduleux réalisés par le biais du service d'Apple, alors que certains n'ont même pas d'iPhone. Une des victimes nous a détaillé cette arnaque bien ficelée.
Tout commence de manière plutôt classique : l'escroc appelle le client d'ING en se faisant passer pour un conseiller et lui demande de mettre à jour son mot de passe et de le lui communiquer afin de bloquer de prétendus paiements louches réalisés avec son compte à l'étranger. Les victimes expliquent toutes avoir été appelées par un numéro appartenant à ING, à savoir le 01 57 22 54 01.
L'originalité est que le faux conseiller explique que la carte du client est activée sur un appareil Apple Pay inconnu, et qu'il faut enregistrer cette carte sur le système de sécurité de la banque pour annuler ce premier appareil. C'est faux (on peut enregistrer une carte Apple Pay sur plusieurs appareils), mais si l'on n'est pas connaisseur, l'argument peut sembler crédible.
Le client de la banque reçoit alors un code d'activation par SMS pour enregistrer sa carte dans Wallet, code qu'il communique au malfaiteur au bout du fil. Le piège se referme : l'escroc enregistre sur son iPhone la carte bancaire de la victime. Il peut ensuite effectuer librement des achats sans autre vérification. Plusieurs clients ING expliquent avoir été débités de sommes allant de 2 400 € à plus de 8 000 €. En discussion avec la banque pour se faire rembourser, ils craignent des démarches longues et aboutissant potentiellement à un refus.
Contactée par nos soins, la banque a confirmé la fraude :
Nous avons bien été sollicités par quelques clients qui ont été victimes de fraude. Ces fraudes commencent le plus souvent par du phishing : les fraudeurs ont récupéré des informations sur les clients sur internet ou en se faisant passer pour des tiers de confiance lors d’appels téléphoniques.
Concernant le numéro de téléphone utilisé par les escrocs qui est identique au sien, la banque explique que ceux-ci « utilisent des sites qui proposent de choisir le numéro qui s’affiche quand on appelle, afin que ce soit le numéro d’ING qui apparaisse quand ils appellent. » Elle a publié récemment un billet de blog pour souligner cette menace. Nous l'avons vu récemment, c'est quelque chose de très facile à mettre en oeuvre pour les SMS, qui viennent de plus se loger dans les conversations existantes.
La plupart des victimes critiquent les mesures de sécurité d'ING et un problème apparent est que les clients ne sont pas en mesure de pouvoir bloquer rapidement à distance les cartes ajoutées sur Apple Pay. Celles-ci restent fonctionnelles malgré le blocage de la carte physique et les demandes d'opposition. La FAQ du site l'explique clairement :
Si votre carte a été volée ou que vous pensez être victime d’une fraude, faites opposition à votre carte directement depuis votre espace client, "rubrique carte". Vous devrez également supprimer la carte d’Apple Pay, directement depuis l’application Wallet de votre appareil afin d’éviter que des transactions puissent être réalisées. Si vous ne supprimez pas votre carte du Wallet, cette dernière sera automatiquement mise à jour à l’activation de votre nouvelle carte ING.
Pour bloquer Apple Pay, il faut donc appeler le service client, qui n'est pas joignable le week-end ou les jours fériés. Les appels frauduleux ont visiblement lieu les veilles de fermeture du service client, ce qui permet aux arnaqueurs de gagner du temps. D'après les témoignages, le service opposition (qui est lui joignable 7j/7) ne dispose pas des droits pour révoquer une carte Apple Pay.
Or, dans d'autres établissements, il est possible pour un client de bloquer à distance sa carte enregistrée dans Wallet. À la Société Générale, par exemple, on peut bloquer Apple Pay sans bloquer sa carte physique, et faire opposition stoppe Apple Pay. De même à la Banque Populaire : « La mise en opposition de votre carte rendra automatiquement inopérante dans tout Wallet votre carte virtuelle correspondant à votre carte physique. Celle-ci ne peut plus être utilisée via Apple Pay ». Chez Hello bank, la mise en opposition d'une carte bancaire physique rend indisponible la carte dans Apple Pay pendant un délai maximum de 48h.
Ce qui rend aussi l'arnaque possible, c'est que la carte virtuelle est utilisable immédiatement par le fraudeur une fois qu'il l'a enregistrée dans Wallet. Cette fonctionnalité est proposée par plusieurs banques (Boursorama, N26…) car demandée par les clients. Plus besoin d'attendre la réception de sa nouvelle carte, celle-ci est disponible sur son iPhone avant d'être fabriquée. La politique de renouvellement dépend des établissements : certaines banques exigent un paiement physique avant d'autoriser l'ajout d'une carte dans Wallet, d'autres vont les renouveler de manière instantanée tant que le contrat est actif. D'après les témoignages des victimes d'ING, cette possibilité a contribué aux arnaques. Certains clients expliquent avoir été débités via Apple Pay après l'opposition de leur carte, et d'autres alors que la nouvelle était encore en cours d'expédition.
« Dans les cas présents, il faut rappeler qu’Apple Pay n’est pas lié à une carte bancaire en particulier, mais à un « token », un identifiant unique, nous indique la banque. Ce token a visiblement été installé sur le téléphone des fraudeurs avec l’aide des informations que les clients leur ont communiquées, car le processus d’activation d’une carte dans Apple Pay est soumis à une double authentification. »
Les victimes qui ont contacté ING pour obtenir un remboursement des achats frauduleux n'ont pour l'instant pas eu de réponse positive de la banque. Questionnée, ING semble se dédouaner : « Nous rappelons régulièrement les règles de sécurité à nos clients : jamais un conseiller ING ne demandera ses codes personnels à un client [des clients assurent pourtant le contraire, ndlr], ni de faire un virement pour une quelconque raison. Nous ne pouvons qu’encourager nos clients à ne jamais donner suite à un échange avec une personne qui appelle et demande des informations personnelles ou invite à effectuer ce type d’opérations. Par ailleurs, les appels avec nos conseillers sont toujours sécurisés grâce à un mécanisme d’authentification. »
En attendant de voir l'évolution des dossiers, il y a manifestement un trou dans la raquette à corriger du côté d'ING dans la gestion du blocage d'Apple Pay.