Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Arnaque téléphonique - Micode infiltre le réseau d'escrocs

✇Korben
Par : Korben ✨
22 mai 2026 à 15:19

Micode vient de lâcher une enquête de presque 50 minutes que vous devriez vraiment regarder, et je la relaie parce qu'elle est d'intérêt public.

Avec son équipe, il a infiltré pendant des mois le réseau derrière ces appels qui vous harcèlent plusieurs fois par jour, ces numéros en 0162 que l'Arcep réserve au démarchage et que les escrocs détournent allègrement. Genre les faux remboursements de 170 € soi-disant liés à l'inflation ou aux chèques énergie.

Et spoiler, ce n'est pas une petite arnaque artisanale mais une véritable industrie de l'escroquerie !

Et le piège est bien rodé. On vous promet un remboursement, on vous balade durant 30 minutes au téléphone, et on vous fait "cliquer 3 fois pour confirmer" sur un PDF. Sauf que ce que vous signez, c'est un mandat de prélèvement bien planqué et hop, vous voilà engagé à 18 € par mois durant un an pour une assistance plomberie dont vous n'avez rien à foutre.

Car donner votre IBAN ne suffit pas à vous prélever. Ce qui les autorise vraiment, c'est le mandat, donc encore une fois, on ne signe rien au téléphone. Jamais !

Et là où ça défonce, c'est la mécanique décrite par l'enquête de Micode. Des sociétés-écrans jetables (la fameuse "compagnie des assurances"), des centres d'appel au Maroc, et tout en haut une famille française, les frères Sitbon, qui auraient empoché des dizaines de millions d'euros en dix ans. Le système marche comme l'explique Micode, comme des fusibles. Une boîte crame sur internet, hop, on en remonte une neuve. L'enquête montre même des enregistrements audio recoupés au montage pour transformer une grand-mère qui refuse 10 fois en cliente parfaitement consentante. Perso, ça me débecte !

Et les intéressés contestent, parlent de "brebis galeuses" et de centres d'appel indépendants. Ils agitent aussi la menace judiciaire, genre "en cas d'insinuation diffamatoire, Anavi ne manquera pas d'agir en justice". Bref, l'arme classique des procédures-bâillon pour faire taire. Et comme la DGCCRF croule sous 300 000 signalements par an, votre prélèvement de 20 €, lui, il passe loin derrière.

Du coup, la seule vraie protection, c'est vous les amis ! Si y'a de l'argent gratuit au téléphone, vous raccrochez. Si on vous fout la pression, vous raccrochez. Puis vous pouvez aussi bloquer les démarcheurs avec une app comme Saracroche , et n'oubliez pas de surveiller vos prélèvements.

Et au moindre doute vous signalez sur SignalConso . De toute façon, vos coordonnées circulent déjà un peu partout, donc faut que vous soyez prêt à gérer ce genre de conneries. Pour ma part, je ne décroche plus mon téléphone, comme ça je suis tranquille ^^

Bref, regardez cette vidéo si c'est pas encore fait, et parlez-en autour de vous, surtout aux plus âgés. Ça évitera peut-être à quelqu'un de signer un truc qu'il n'a jamais voulu.

L'enquête de Micode (YouTube)

Bruteforce de cartes bancaires

✇Korben
Par : Korben ✨
2 mai 2026 à 10:35

Quand j'achète un truc avec ma CB, c'est vrai que j'évite maintenant de demander le ticket de carte bancaire. Ça ne me sert à rien, et puis j'en fais quoi après ? Je le jette à la poubelle ?

Heureusement qu'il n'y a pas de données confidentielles dessus et que tous les chiffres de ma CB sont masqués avec des petites étoiles sauf une partie, généralement les 4 derniers, qui sont en clair évidemment.

Bref, tout roule, nan ? Hé bien noooon, parce que Metin Ozyildirim, un chercheur en sécurité, vient d'expliquer sur son site comment ces étoiles en fait c'est pas vraiment un secret.

En fait, quand vous effectuez un achat en ligne, le marchand pose une question à votre banque pour valider la carte, du genre "hey Crédit Agricole, est-ce que ce numéro existe ?" et la banque répond connement oui ou non.

Et le souci c'est que cette question, n'importe qui peut la poser depuis n'importe où dans le monde, en testant des numéros au pif jusqu'à tomber sur le bon. C'est ce qu'on appelle du brute force, et avec une bonne machine et une connexion correcte, ça permet de tourner tranquillement à la fréquence de 6 tentatives par seconde, soit environ 130 000 essais possibles étalés sur une nuit. C'est donc très largement assez pour reconstituer les chiffres manquants quand on n'en a que 6 à deviner.

Et surtout, il arrive parfois que le marchand soit un peu trop bavard. Par exemple si vous tapez un mauvais numéro, il vous répond "Cette carte de crédit n'est pas valide". Si la date d'expiration est fausse, il vous dit gentiment "Cette carte a expiré". Et si le CVV est faux ? "Le code CVV n'est pas correct".

Comme le dit Metin dans son post, ce genre d'indice aide carrément à bruteforcer les infos de la CB. Bah oui, si le marchand vous confirme noir sur blanc que vous êtes à 3 chiffres près du jackpot, pourquoi s'arrêter hein ? C'est un peu comme dans ces films où y'a un gars qui braque un coffre-fort qui fait "clic" à chaque bon chiffre.

Et comme ça donc que Metin Ozyildirim s'est fait piller son compte bancaire il y a environ 1 an. L'attaquant a fait tourner son bruteforce comme ça durant 6 heures, en répartissant ses requêtes sur plusieurs sites e-commerce différents pour passer sous les radars.

Et une fois la carte complète reconstituée, restait plus qu'à dépenser le pognon ! Et là pareil, certains marchands acceptent encore les paiements sans demander la double authentification 3D Secure. Ces marchands là, ce sont eux qui payent en cas de fraude, car ils prennent le risque. L'attaquant a juste eu à choisir un de ces marchands "hack-friendly", et a transféré l'argent vers un porte-monnaie électronique, qu'il a ensuite converti en cash.

Et voilà comment le plafond de la carte de Metin était à zéro avant qu'il ait terminé son premier café du matin !

La bonne nouvelle, c'est que la banque l'a remboursé. Par exemple en France, vous avez 13 mois pour contester une transaction frauduleuse via votre banque. C'est un droit et pas une faveur hein ! Mais si la banque considère que vous avez été négligent (carte prêtée, code partagé, phishing évident...etc), elle peut tout à fait refuser le remboursement, donc gardez des preuves et contestez vite !

Maintenant, la mauvaise nouvelle, c'est que ce qui est arrivé à Metin est de plus en plus fréquent. Visa a même documenté que ce genre d'attaques explose, et que la majorité des sites e-commerce sont mal protégés contre ce genre de bots qui font tourner ces scripts de bruteforcing.

Bref, y'a pas grand chose à faire de notre côté pour nous protéger de ça, si ce n'est d'activer les notifs de notre banque sur chaque transaction, configurer le plafond le plus bas possible (sans que ce soit gênant), et quand votre banque vous propose une carte virtuelle à usage unique pour les achats en ligne, n'hésitez pas à l'utiliser.

Et la prochaine fois que vous laisserez traîner un reçu de CB sur la table d'un resto, dites-vous que vous offrez peut-être un accès à votre compte au prochain margoulin qui passe !

Source

❌
❌