}
Trouver une réponse concernant : Argent


De quelles informations les escrocs ont-ils besoin pour retirer de l'argent d'un compte ?


Question

Il y a une histoire actuellement sur le site Web d'actualités de la BBC . Les points pertinents sont :

  1. Les escrocs ont appelé Alex prétendant être BT (fournisseur de télécommunications).
  2. Alex a fourni aux escrocs des informations / de l'aide
  3. Les escrocs ont fait paiements qui ont vidé un compte de 180 000 £ en 24 heures
  4. Paiements étiquetés, par ex. "Paiement de facture via un paiement plus rapide à Radu Reference Web Inv 793, Mandate No 127 2 500,00 £ 34 617,11 £"
  5. La banque a initialement rejeté la responsabilité, invoquant une négligence grave
  6. Le service de médiation financière a été jugé en faveur de Alex

De quelles informations / aide un escroc aurait-il besoin pour effectuer ces paiements ?

Je pense que si la réponse est "tout ce que vous utilisez habituellement pour accéder à votre compte et effectuer des paiements", alors l'allégation par la banque de négligence grave d'Alex est justifiable. Si la réponse est autre chose, j'aimerais vraiment savoir.

2019/05/12
1
25
5/12/2019 4:20:48 PM

Réponse acceptée

D'après le lien dans la réponse de Vicky, les fraudeurs avaient besoin d'accéder à l'ordinateur de la victime (ou pour que les victimes transfèrent l'argent, ou un accès général au compte de la victime) et pour que la victime lise les mots de passe à usage unique qu'ils étaient Demander. Il s'agissait d'une arnaque sociale, pas d'une arnaque technique.

D'un autre côté, il semble qu'ils ciblaient la banque Santander pour une raison, et cette raison semble être une prévention de la fraude de mauvaise qualité.

  • On s'attend à ce que la banque surveille les transactions inhabituelles, et celles-ci auraient dû être des transactions inhabituelles. Dans de nombreux cas, celles-ci n'étaient pas marquées comme telles.
  • Même lorsqu'elles étaient marquées comme des transactions inhabituelles, Santander n'a pas fait preuve de diligence pour contacter le client et n'a pas laissé passer la transaction.
  • < li>Santander demandait au client des mots de passe à usage unique sans inclure également le contexte. Cela a permis aux escrocs de prétendre que le transfert avait un but différent.
  • Certaines des victimes insistent sur le fait qu'elles n'ont jamais reçu les messages de mot de passe à usage unique, mais le transfert a quand même été effectué. Cela pourrait indiquer que les escrocs ont pu modifier le numéro de téléphone associé au compte sans créer d'alerte. (Pour être clair, les victimes pourraient plutôt mentir ; c'est un crime quelque peu embarrassant, et il est naturel de décliner toute responsabilité. Pourtant, c'est un détail suspect.)

En fin de compte, la banque dispose du temps et des connaissances nécessaires pour se tenir au courant des dernières arnaques ; leurs clients ne le font pas.

2019/05/12
25
5/12/2019 8:20:03 PM

Eh bien, ils n'ont pas (vraisemblablement délibérément) publié les détails des méthodes utilisées par les escrocs, donc aucun de nous ne peut le dire. L'histoire de la BBC est très légère sur les détails, mais elle dit qu'elle a été victime d'une "escroquerie sophistiquée" et qu'elle a été "trompée pour qu'elle transmette des détails de sécurité sensibles".

Tout ce qui compte vraiment, c'est que le médiateur financier, qui avait des détails sur ce qui s'est passé, a pris le parti d'Alex et que la banque doit donc rembourser Alex pour les pertes.

[ Edit : avec quelques recherches supplémentaires sur Google, il y a beaucoup plus de détails ici : https://www.thisismoney.co.uk/money/beatthescammers/article-4358442/Santander-fraud-victims-tell-anguish.html y compris que le Financial Ombudsman Service a trouvé faiblesses importantes dans les systèmes de sécurité de Santander et a également constaté qu'ils n'avaient pas pris de mesures pour empêcher ou même contrôler le schéma très inhabituel de retraits, ce qu'une personne raisonnable pourrait considérer qu'ils devraient.] Cette question équivaut vraiment à "ce journal dit que cette personne X a été arrêté pour le meurtre de la personne Y, mais la personne X a été acquittée au procès. De quoi auriez-vous besoin pour assassiner une personne parce que si c'est vraiment aussi simple que de les frapper avec un marteau, alors je ne vois pas pourquoi la personne X aurait été acquittée". Au fond : sans tous les détails, on ne peut pas juger.

2019/05/12

Dans un commentaire, vous avez clarifié votre question comme suit :

Quel est l'ensemble d'informations qui doit être sécurisé pour empêcher les escrocs d'effacer votre compte bancaire ?

< p>La bonne nouvelle est que les banques ont fait évoluer la sécurité et la protection contre la fraude à mesure qu'elles ont ajouté des services. Étant donné que votre question semble porter sur les escroqueries qui reposent sur l'accès via les services bancaires en ligne, les caractéristiques typiques sont :

Authentification à deux facteurs, juste pour se connecter, avec un certain degré "d'intelligence" : vous n'aurez peut-être besoin que de votre nom d'utilisateur et de votre mot de passe pour vous connecter, mais le système bancaire en ligne vous demandera un deuxième facteur avant de vous connecter, si votre tentative d'accès échoue à certains tests . Souvent, la banque utilise un système de notation qui évalue une série de facteurs et décide quoi faire. En plus d'exiger un deuxième facteur, les systèmes bancaires verrouillent parfois l'accès en ligne de quelqu'un s'il y a suffisamment de comportement suspect :

  • Echec des tentatives de nom d'utilisateur/mot de passe
  • Se connecter à partir d'un appareil que vous que vous n'avez jamais utilisé auparavant
  • Se connecter à partir d'un navigateur que vous n'avez jamais utilisé auparavant
  • Se connecter à partir d'un navigateur sur un téléphone mobile, lorsque l'historique de connexion de votre téléphone mobile provient généralement du propre application de la banque
  • Se connecter à partir d'un code postal, d'un état ou d'un pays auquel vous ne vous êtes jamais connecté auparavant
  • Se connecter à une heure de la journée différente de la normale (c'est-à-dire tous votre historique est pendant les heures de clarté et tout à coup il y a une tentative à 2 heures du matin dans votre fuseau horaire).
  • Vous avez réinstallé l'application de banque en ligne depuis votre dernière connexion
  • Vous avez récemment installé l'application de banque en ligne sur un autre appareil et tenté de vous connecter, mais vous avez été arrêté parce que le mot de passe était mauvais

Un autre type de validation multi-facteurs, lorsqu'une activité suspecte se produit, une fois que vous êtes réellement connecté. La plupart des systèmes bancaires seront également défiez activement un client qui essaie de faire des transactions inhabituelles. Par exemple, le client peut être invité à saisir un code PIN envoyé sur son téléphone par SMS s'il ajoute un nouveau compte de paiement de facture, s'il effectue un paiement de facture ou un virement externe dépassant un certain seuil, ou même s'il 'transfèrent plus de 1 000 $ entre leurs propres comptes.

Notification passive d'activité suspecte : de nombreux systèmes bancaires avertiront passivement les clients lorsque certaines transactions se produisent, même si tous les défis ci-dessus sont passés et la transaction terminée - ceci est conçu pour au moins informer le client si quelqu'un s'est " introduit " par effraction dans son compte ou s'il a été compromis d'une autre manière. Souvent, ces notifications sont conçues pour utiliser des canaux différents des défis multifactoriels. Ainsi, par exemple, si un transfert important nécessite l'envoi d'un code PIN sur un téléphone portable, la notification sera effectuée par e-mail ou par un appel automatisé à un autre numéro enregistré. pour le client.

Il existe également des cas où les banques mettent en œuvre des notifications passives par courrier réel - par exemple, si vous modifiez votre mot de passe bancaire en ligne, vous recevez une lettre par courrier vous informant que vous l'avez fait. Ceci est conçu comme une notification de dernier recours pour aider les personnes dont l'intégralité de l'identité numérique a été compromise sans le savoir (c'est-à-dire si quelqu'un sait comment accéder à votre téléphone et a accès à votre application bancaire en ligne et à vos SMS).

Pour répondre à un autre point que vous avez soulevé dans les commentaires,

Si la réponse est "votre nom d'utilisateur et votre mot de passe", alors je suis en sécurité, mais cela ne semble pas être un con sophistiqué

Dans un sens, vous avez en quelque sorte raison - un escroc peut théoriquement être en mesure d'accéder uniquement avec votre nom d'utilisateur et votre mot de passe mais il y a un zone grise en ce qui concerne s'ils pourront réellement se connecter, ou ce qu'ils pourront faire une fois qu'ils se seront connectés. La partie "sophistiquée" entre en jeu dans le sens de tromper la marque en contournant ou en ignorant tous les contrôles ci-dessus - l'escroc devra parler à la marque en leur donnant les codes PIN qui sont envoyés à leur téléphone, ou même en appelant la banque un d déverrouiller leur compte si leur accès à la banque en ligne est bloqué en raison de tentatives de connexion infructueuses.

C'est la raison pour laquelle la plupart des banques mettent en œuvre une prévention active de la fraude par le personnel de la banque : probablement la Le moyen le plus courant d'arrêter une attaque d'ingénierie sociale est que le personnel de la banque surveille activement les activités suspectes, puis prenne des mesures pour protéger le client. En plus de surveiller les membres qui atteignent ou échouent les déclencheurs ci-dessus, il peut y avoir d'autres choses que la banque surveille activement - souvent basées sur des déclencheurs comportementaux (quelqu'un fait quelque chose qu'ils ne font pas normalement), des déclencheurs de qualité (quelqu'un a des images de chèque qui sont sur le point d'échouer la vérification), ou des boîtes horaires (quelqu'un crée un nouveau compte bancaire en ligne et essaie immédiatement de retirer tout son argent par virement). Parfois, le personnel prendra des mesures correctives en suspendant le compte ou des transactions spécifiques, en fermant l'accès aux services bancaires en ligne, en appelant le membre ou en utilisant d'autres méthodes pour prévenir la fraude.

Les banques essaieront délibérément de cacher les détails de leurs propres outils de prévention de la fraude auprès du public, pour empêcher les escrocs de se concentrer sur leurs faiblesses. Si une banque dispose d'un ensemble suffisant d'outils qui ne sont pas bien compris par le public, alors pour réussir, un escroc devra vraiment garantir la pleine confiance de sa marque, au lieu d'essayer simplement de soutirer des informations spécifiques de eux. Une fois qu'une marque a été trompée, aucun des facteurs ci-dessus n'empêchera la perte.

Pour boucler la boucle jusqu'à votre question initiale,

De quelles informations / aide un escroc aurait-il besoin pour effectuer ces paiements ?

La réponse est que cela dépend de la banque, mais généralement, ils auraient besoin de votre nom d'utilisateur et de votre mot de passe, ainsi que d'un accès complet à des informations destinées à être confidentielles entre vous et la banque (c'est-à-dire les codes PIN envoyés à votre téléphone par SMS, appels téléphoniques, e-mails, etc.) afin de déjouer les contrôles anti-fraude typiques. En d'autres termes, si la banque fait du bon travail en matière de prévention de la fraude, il n'y a pas de liste prédéfinie de choses dont l'escroc a besoin - l'escroc doit vous tromper pour l'aider à échapper à toutes les mesures déclenchées par ses activités.

2019/05/14

Comment puis-je envoyer de l'argent de compte à compte à l'aide d'un guichet automatique, en Inde ?

Dans le cas où l'autre guichet automatique est compatible avec les visas, de nombreuses banques autorisent le transfert vers une carte visa via leur guichet automatique. Plus de détails sur vos banques sont nécessaires pour une réponse très précise. Je suppose que les deux banques sont Indian Bank, ...

Demandé par Natwar Lath

Transférer de l'argent d'un compte bancaire canadien à un compte bancaire américain tout en vivant aux États-Unis

Ma recommandation est de rechercher une banque qui gère les virements électroniques de manière plus sensée. De nombreux virements électroniques sont configurés de manière à ce que vous n'ayez pas besoin de vous rendre physiquement dans une agence. Le système de virement bancaire que j'utilise me per...

Demandé par gef05

Pourquoi un courtier en valeurs mobilières en ligne a-t-il besoin de connaître des informations sur mon lieu de travail ?

Je suis en train de créer un compte sur OptionsHouse et il souhaite connaître le nom de l'entreprise pour laquelle je travaille, ainsi que l'adresse. Pourquoi ont-ils besoin de le savoir ? informations ?

Demandé par Ryan

Puis-je transférer de l'argent d'un compte NRE vers un compte courant américain ?

Je souhaite transférer de l'argent d'un compte courant américain vers mon compte NRE indien pour bénéficier d'un bon taux d'intérêt. Mais lorsque j'ai besoin de cet argent aux États-Unis, puis-je transférer de l'argent de mon compte NRE vers mon compte courant américain ?

Demandé par Pratik

Comment retirer de l'argent avec uniquement des informations sur le compte (numéro de compte/numéro d'acheminement/etc.)

Vous pouvez techniquement initier une transaction ACH (débit ou crédit) avec uniquement le numéro de routage et le numéro de compte. En tant que consommateur, la plupart des banques ne vous permettront pas de le faire sans une sorte de vérification d'autorité. Mais si vous avez un accès direct à ACH...

Demandé par littleadv

Que devons-nous prendre en compte lorsque nous retirons une grosse somme d'argent d'un compte bancaire ?

Vous dites "Toute information sera appréciée", alors voici quelques informations générales sur ma réponse (vous pouvez passer à ma réponse) : Lorsque je travaillais pour des banques, j'étais tenu de signaler toute activité suspecte aux personnes au-dessus de moi en remplissant un formulaire avec le ...

Demandé par YaReally

Arnaque ou réel : Une femme de Facebook a apparemment besoin de mon compte bancaire pour envoyer de l'argent

Eh bien, toutes les réponses précédentes ont déjà mentionné l'arnaque à venir et la situation dangereuse pour votre situation financière. J'ai lu attentivement toutes les réponses et je voulais ajouter quelques lignes supplémentaires à ce sujet. Cort Ammon) en montre déjà les détails. Tout type de t...

Demandé par A. Bauani

J'ai été victime d'une arnaque, mais j'ai les coordonnées bancaires de l'arnaqueur

Je ne sais pas quelles sont les autorités compétentes, mais vous pouvez commencer par la police, qui pourra vous orienter vers les autorités compétentes auxquelles vous adresser. Quant à savoir si vous devriez le faire ou non - Oui, vous devriez absolument. Vous avez perdu une tonne d'argent, et mê...

Demandé par Zibbobz

Comment les escrocs retirent-ils de l'argent, alors que vous ne pouvez pas ?

Parfois, l'escroc n'a même pas besoin d'annuler intentionnellement le paiement initial. Ils peuvent vous envoyer un chèque, que vous déposez sur votre compte. Votre banque accepte le chèque et il peut même être crédité sur votre compte parce que la banque suppose qu'il est légitime (et cela apparaît...

Demandé par Nosjack

retiré 2800 £, mais seulement 2000 £ apparaissent comme retirés sur les services bancaires en ligne; quelles sont mes obligations ?

Voulez-vous un avis juridique ou un avis moral ? Moralement Vous devez les informer dès que possible, sinon un mauvais employé est va avoir une très, très mauvaise journée/semaine/mois/année. Légalement Vous n'avez rien à faire jusqu'à ce qu'ils vous interrogent sur la transaction. Cependant, une fo...

Demandé par MonkeyZeus