L’un des moyens les plus courants utilisés par les cybercriminels pour retirer de l’argent de l’accès à des comptes bancaires consiste à vider les fonds de la victime via Zelle, un service de paiement « peer-to-peer » (P2P) utilisé par de nombreuses institutions financières qui permet aux clients d’envoyer rapidement de l’argent à leurs amis et à leur famille. Naturellement, un grand nombre de stratagèmes de phishing qui précèdent ces prises de contrôle de comptes bancaires commencent par un message texte usurpé de la banque de la cible avertissant d’un transfert suspect de Zelle. Ce qui suit est une plongée en profondeur dans le fonctionnement typique de cette escroquerie Zelle de plus en plus intelligente et ce que les victimes peuvent faire à ce sujet.
L’histoire de la semaine dernière a averti que les escrocs diffusaient des SMS sur les virements bancaires suspects comme prétexte pour appeler et arnaquer immédiatement toute personne qui répondait par SMS. Voici à quoi ressemble l’un de ces messages frauduleux :
Toute personne qui répond « oui », « non » ou pas du tout recevra très peu de temps après un appel téléphonique d’un escroc se faisant passer pour le service des fraudes de l’institution financière. Le numéro de l’appelant sera usurpé de sorte qu’il semble provenir de la banque de la victime.
Pour « vérifier l’identité » du client, le fraudeur demande son nom d’utilisateur de banque en ligne, puis demande au client de relire un code d’accès envoyé par SMS ou par e-mail. En réalité, le fraudeur initie une transaction — comme la fonction « mot de passe oublié » sur le site de l’institution financière — qui génère le mot de passe d’authentification remis au membre.
Ken Otsuka est consultant senior en risques chez Groupe Mutuel CUNA, une compagnie d’assurance qui fournit des services financiers aux coopératives de crédit. Otsuka a déclaré qu’un fraudeur par téléphone dira généralement quelque chose comme: «Avant d’entrer dans les détails, je dois vérifier que je parle à la bonne personne. Quel est ton nom d’utilisateur? »
« En arrière-plan, ils utilisent le nom d’utilisateur avec la fonction de mot de passe oublié, et cela va générer l’un de ces codes d’authentification à deux facteurs », a déclaré Otsuka. « Ensuite, le fraudeur dira : ‘Je vais vous envoyer le mot de passe et vous allez me le relire par téléphone.' »
Le fraudeur utilise ensuite le code pour terminer le processus de réinitialisation du mot de passe, puis modifie le mot de passe de la banque en ligne de la victime. Le fraudeur utilise ensuite Zelle pour transférer les fonds de la victime à d’autres.
Un aspect important de cette arnaque est que les fraudeurs n’ont même jamais besoin de connaître ou d’hameçonner le mot de passe de la victime. En partageant son nom d’utilisateur et en relisant le code à usage unique qui lui a été envoyé par e-mail, la victime permet au fraudeur de réinitialiser son mot de passe bancaire en ligne.
Otsuka a déclaré que dans de trop nombreux cas de prise de contrôle de compte, la victime n’avait même jamais entendu parler de Zelle et n’avait pas réalisé qu’elle pouvait transférer de l’argent de cette façon.
« Le fait est que de nombreuses coopératives de crédit l’offrent par défaut dans le cadre des services bancaires en ligne », a déclaré Otsuka. « Les membres n’ont pas à demander à utiliser Zelle. C’est juste là, et avec beaucoup de membres ciblés dans ces escroqueries, bien qu’ils se soient légitimement inscrits à la banque en ligne, ils n’avaient jamais utilisé Zelle auparavant. [Curious if your financial institution uses Zelle? Check out their partner list here].
Otsuka a déclaré que les coopératives de crédit offrant d’autres produits bancaires peer-to-peer ont également été ciblées, mais que les fraudeurs préfèrent cibler Zelle en raison de la rapidité des paiements.
« Les pertes liées à la fraude peuvent augmenter rapidement en raison du grand nombre de membres qui peuvent être ciblés en une seule journée au cours de plusieurs jours consécutifs », a déclaré Otsuka.
Pour lutter contre cette arnaque, Zelle a introduit l’authentification hors bande avec les détails de la transaction. Cela implique l’envoi au membre d’un texte contenant les détails d’un transfert Zelle – bénéficiaire et montant en dollars – initié par le membre. Le membre doit autoriser le transfert en répondant au texte.
Malheureusement, a déclaré Otsuka, les escrocs déjouent également ce contrôle de sécurité en couches.
« Les fraudeurs suivent la même tactique, sauf qu’ils peuvent garder les membres au téléphone après avoir obtenu leur nom d’utilisateur et leur code d’authentification en 2 étapes pour se connecter aux comptes », a-t-il déclaré. « Le fraudeur dit au membre qu’il recevra un texte contenant les détails d’un transfert Zelle et que le membre doit autoriser la transaction sous prétexte qu’il s’agit d’annuler la ou les transactions frauduleuses par carte de débit. »
Dans ce scénario, le fraudeur entre en fait un transfert Zelle qui déclenche le texte suivant au membre, que le membre est invité à autoriser : Par exemple :
« Envoyer un paiement Zelle de 200 $ à Boris Badenov ? Répondez OUI pour envoyer, NON pour annuler. Société de crédit ABC. STOP pour mettre fin à tous les messages.
« Mon équipe a consulté plusieurs coopératives de crédit qui ont déployé Zelle ou prévoient d’introduire Zelle », a déclaré Otsuka. « Nous avons découvert que plusieurs coopératives de crédit avaient été victimes de l’escroquerie le mois même où elles l’avaient déployée. »
Le résultat de tout cela est que de nombreuses institutions financières prétendront qu’elles ne sont pas tenues de rembourser le client pour les pertes financières liées à ces stratagèmes de phishing vocal. Bob Sullivanun journaliste chevronné qui écrit sur la fraude et les problèmes de consommation, affirme que dans de nombreux cas, les banques donnent aux clients des opinions incorrectes et intéressées après les vols.
« Les consommateurs – dont beaucoup n’ont jamais réalisé qu’ils avaient un compte Zelle – appellent ensuite leurs banques, s’attendant à ce qu’ils soient couverts par des protections de type carte de crédit, pour faire face à la déception et, dans certains cas, à la ruine financière », a déclaré Sullivan. a écrit dans un article récent de Substack. « Les consommateurs qui subissent des transactions non autorisées ont droit à la protection de la réglementation E, et les banques sont tenues de rembourser l’argent volé. Ce n’est pas une opinion controversée, et c’était récemment affirmé par le CFPB ici. Si vous lisez cette histoire et que vous vous battez avec votre banque, commencez par fournir ce lien à l’institution financière.
« Si un criminel initie un transfert Zelle – même si le criminel manipule une victime pour qu’elle partage ses identifiants de connexion – cette fraude est couverte par le règlement E, et les banques doivent restituer les fonds volés », a déclaré Sullivan. « Si un consommateur initie le transfert sous de faux prétextes, le dossier de réparation est plus faible. »
Sullivan note que le Bureau de protection financière des consommateurs (CFPB) a récemment annoncé qu’il était conduite d’une sonde dans des entreprises exploitant des systèmes de paiement aux États-Unis, avec un accent particulier sur les plateformes qui offrent des paiements rapides de personne à personne.
« Les consommateurs s’attendent à certaines assurances lorsqu’ils traitent avec des entreprises qui transfèrent leur argent », a déclaré le CFPB dans son avis du 21 octobre. «Ils s’attendent à être protégés contre la fraude et les paiements effectués par erreur, à ce que leurs données et leur vie privée soient protégées et non partagées sans leur consentement, à disposer d’un service client réactif et à être traités sur un pied d’égalité en vertu de la loi applicable. Les ordonnances cherchent à comprendre la robustesse avec laquelle les plateformes de paiement accordent la priorité à la protection des consommateurs en vertu de la loi.
Toute personne souhaitant informer le CFPB d’une escroquerie frauduleuse qui a abusé d’une plate-forme de paiement P2P telle que Zelle, Cashapp ou Venmo, par exemple, doit envoyer un e-mail décrivant l’incident à [email protected]. Assurez-vous d’inclure le numéro de dossier CFPB-2021-0017 dans la ligne d’objet du message.
En attendant, souvenez-vous du mantra : raccrochez, recherchez et rappelez. Si vous recevez un appel d’une personne avertissant d’une fraude, raccrochez. Si vous pensez que l’appel est légitime, recherchez le numéro de l’organisation censée vous appeler et rappelez-la.