在免費網路攻擊和敏感資料(包括客戶 IBAN)被盜之後,您的銀行帳戶可能會在您不知情的情況下被清空。在 01net.com,我們想知道是否可以在未經帳戶所有者同意的情況下使用他人的 IBAN 進行付款。我們的調查結果可能會讓你感到驚訝,甚至嚇到你。
「IBAN 事件」中有一些新內容:足以在 11 月 21 日星期四更新,我們的調查最初於 11 月 18 日發布。
這是一種痛苦1,900 萬免費客戶受到資料外洩影響,其中一些人見過他們的 IBAN 最終消失殆盡:查看從他們從未驗證過的銀行帳戶中提取的金額。
«理論上來說,僅憑IBAN是不可能進行購買的»,我們採訪的信貸和消費者法專業律師阿諾·德洛梅爾(Arnaud Delomel)堅稱。真的不可能嗎?
在01網,我們想測試一下這是不可能的。為此,我們(化名 Stéphanie 和 Geoffroy)扮演了一個騙子的角色,該騙子擁有在網路攻擊期間被盜的免費客戶的 IBAN。經過雙方同意,我們交換了各自的 IBAN,看看我們是否能夠僅憑此文件來支付購買費用。想法:透過 SEPA 直接扣款進行付款,而其他人不知道 - 嗯,“不自覺地意識到這一點」。我們的實驗結果讓包括我們在內的不只一個人感到驚訝。
SEPA 直接扣款程序比線上支付更簡單
如果 IBAN 或 RIB 本身不是付款方式,則它們允許設定 SEPA 直接扣款。它們是您為所有重複付款而發起的付款,例如您的行動或網路套餐、您對串流平台的訂閱、您的健身房,甚至是您的稅金支付。
SEPA 直接扣款可以節省您的時間:透過完成直接扣款授權(使用您的 IBAN 號碼),您授權債權人(像 Netflix 或稅務局這樣的收款人)定期從付款人的帳戶(您)借記給定時期內或多或少的預定義金額(訂閱的套餐、稅額):如此多的操作,您無需單獨執行。
與需要您進行多次驗證的轉帳或線上付款不同,您可能已經注意到,在直接扣款的情況下,程式要簡單得多。
您只需用您的 IBAN 填寫一份表格(通常是在線上填寫(直接扣款授權)),即可在幾週後查看您的帳戶是否已扣除訂閱或分期付款稅款。這項授權受到怎樣的保護?為了找到答案,我們決定開始實驗,選擇了兩個接受直接扣款付款的網站。
第 1 集:是的,您的 IBAN 可以在您不知情的情況下用於支付線上購物費用 (Geoffroy)
為了透過同事的 IBAN 進行線上購買,我選擇將目光投向亞馬遜。該線上商家是法國廣泛使用的市場,它提供透過銀行帳戶借記卡支付購買費用的選項。
因此,我轉到我的亞馬遜帳戶設置,在專門用於付款方式的部分中,將我同事的銀行帳戶添加為新的付款方式。
為此,我選擇此選項,輸入我同事帳戶的 IBAN,並在帳戶持有人方塊中輸入她的姓名。一鍵點擊後,您目前帳戶的新增將會得到驗證。現在,從我的亞馬遜帳戶購買的商品可以直接從我同事的帳戶中直接扣款。孩子的遊戲。
現在仍有待驗證是否可以使用這種新的付款方式來驗證商品的購買。因為一般來說,在亞馬遜上新增新的銀行卡作為付款方式時,銀行會要求用戶驗證身分。此驗證通常是在首次購買期間透過銀行行動應用程式的生物辨識身分驗證完成的。
因此,我決定以 1.59 歐元的價格購買一支精美的四色 Bic 鋼筆,並將其運送到我家,並透過 SEPA 轉帳(從我同事的帳戶中提取)進行支付。我和我的同事斯蒂芬妮(將被借記的帳戶的所有者)都不會要求進行驗證。
我的訂單已得到驗證並立即發貨。不到24小時後,我就在家裡收到了。經過幾天的耐心,我們檢查我的訂單金額是否已從他的帳戶中扣除。不出所料,事實確實如此。
第 2 集:是的,可以使用第三方的 IBAN 進行電話訂閱 (Stéphanie)
就我而言,我選擇與電信業者進行低成本訂閱。我選擇了 Bouygues Telecom 的 B&You 每月 1.99 歐元、2 GB 的套餐。新客戶,我透過提供我的真實姓名、我的專業電子郵件地址和我的郵寄地址來建立新帳戶。請注意,在整個過程中,我從未被要求提供身份證明。
我選擇了一個新號碼,然後選擇了 1 歐元的 eSIM。
在付款階段,系統會要求我提供 IBAN 以進行直接扣款:我仔細輸入 Geoffroy 的 IBAN 資料。
我單擊“驗證”,但沒有出現任何警報。就傑弗羅伊而言,他沒有收到任何通知。然後我必須提前支付 1 歐元購買 eSIM 卡的費用。這次,我使用自己的銀行卡和自己的名字,目的只是為了測試直接扣款授權的安全措施。訂單已驗證。
第二天,我啟動了這條線路。 Bouygues 通知我收集將於 11 月 20 日進行。為什麼不馬上呢?營運商實際上遵守法律規定的付款期限(15 個日曆日),可以透過合約或一般使用條件縮短該期限,但這裡的情況並非如此。
幾天后,我去了我的私人空間。布伊格電信的通知告訴我,直接扣款授權尚未簽署。
程式會停止嗎?當我開始簽署授權書時,我的懷疑得到了證實——該操作包括用 Geoffroy 的 IBAN 驗證直接借記授權書的數據(我的名字在該授權書上註冊)。在點擊“電子簽名”之前,明確註明“為了繼續進行直接扣款授權的電子簽名,我請求我的安全驗證碼,並以電子方式輸入»。
我單擊然後...簽名得到驗證。我不會被要求提供任何驗證碼。然後,我的授權書籤名確認訊息將透過我的智慧型手機上的簡訊發送給我。
因此,抽樣任務得到了驗證,但與 Geoffroy 的經驗相反,在本文發表時抽樣尚未進行。將於 11 月 20 日舉行。
正是在這個最後期限的前夕,事情正在加速發展。 11 月 19 日晚,我收到了來自 Bouygues Fraud services 的電子郵件,告訴我我的銀行詳細資料似乎不正確。我被要求“更新我的銀行詳細信息“ 為了 ”迅速調整局勢並恢復服務»。
第二天早上,我打電話給電信商的詐欺部門。我介紹自己並解釋我們的新聞調查方法,強調我們想知道布伊格內部如何控制直接扣款授權。顧問沒有回答我的問題,但向我保證他們會回來找我“盡快地」。我立即向該部門發送了一封電子郵件,並附上了布伊格自 11 月 8 日起通知的通訊副本,以保留書面記錄。我再次向他們解釋我們的實驗,並詢問他們在布伊格如何進行直接扣款授權檢查。就 Geoffroy 而言,他在 11 月 20 日晚間被收取了 2.05 歐元的費用,儘管 Bouygues 自 11 月 8 日起就知道我們的測試……並且與欺詐部門進行了討論。
但令人驚訝的是,11 月 21 日這個星期四,我們終於收到了布伊格通訊部門的回應(見下文)。本週四出現的另一個新功能:根據「付款」標籤中出現的新元素,在我的個人空間中,我被告知提取的金額將退還,而無需其他詳細資訊。
這些實驗的後果是什麼製造於01網?
任何擁有最近從 Free 盜取的 500 萬個 IBAN 之一的騙子都可以藉記這兩筆錢。在我們的實驗中,我們使用我們的個人帳戶或真實姓名,並使用其他名稱標識的付款方式。但沒有什麼可以阻止犯罪分子創建多個亞馬遜帳戶,並竊取免費客戶的身份,以便使用相應的 IBAN。然後,他只需將欺詐性訂單送到亞馬遜儲物櫃,就可以完全不被注意到,並獲得平台上銷售的免費產品。
沒有什麼可以阻止騙子利用電話訂閱、假名(因為我們沒有被要求提供任何身份證件),甚至進行其他購買,直到 IBAN 所有者對向其銀行進行的直接借記提出異議。
«在這種情況下,這正是Free 的受害者可能會遇到的情況:提取的金額小到足以在幾個月內被忽視,因為如果我們被提取大量金額,我們將立即提出異議,銀行將不得不償還我們»,Arnaud Delomel 解釋道,他是德洛梅爾律師事務所經常為金融詐欺受害者辯護的律師。
但除了我們每週檢查帳目時必須保持的警覺之外,我們的兩次經歷還有什麼問題呢?怎麼我們的兩次手術都毫無困難地通過了驗證?
對於銀行來說,由債權人驗證直接扣款授權
經過兩次經歷後,我們首先求助於各自的銀行。如果 CIC 沒有回應我們的要求,在本文發表時,法國農業信貸銀行提醒我們,它不需要檢查 SEPA 直接借記授權書的正確簽名,因為它不是本文件的接收者(由Geoffroy 與Stéphanie 的IBAN 簽署),該銀行仍掌握在唯一債權人(此處為亞馬遜)手中。在透過直接扣款付款的情況下,「由收到直接扣款授權的債權人來驗證 IBAN 與持有人之間的對應關係」。換句話說,檢查必須由債權人(根據我們的經驗,亞馬遜和布伊格)進行,具體取決於銀行機構。
我們聯繫的法蘭西銀行證實了這一點。金融機構向我們解釋說“在轉帳的情況下,交易的發起者是付款人(您),因此付款人在交易時在場,因此可以驗證自己的身分。但在直接扣款的情況下,邏輯就相反了,因為它是受益人(電信業者、市場、編者註)誰在付款人「缺席」的情況下發起交易」。如果一方面,透過「雙方在銀行體系之外事先簽署授權書»,另一方面,付款人(即您)從多個交易對手那裡受益,這些交易對手將保護他。
後者將:
- 收到 ”在執行直接扣款之前,債權人向債務人發出事先通知(直接扣款到期日之前至少 14 個日曆日,除非合約另有約定)»;
- 益處 ”執行直接扣款後 8 週內無條件報銷的權利”– 無條件,因為他不必證明其合理性;
- 這項報銷權利在藉記後最長 13 個月內有效,“如果發生未經授權的收集(不存在、撤銷或失效的授權)»。
換句話說,就 SEPA 直接扣款而言,上游的障礙比網上支付低,但如果客戶遵守一年零一個月的期限,他們可以輕鬆地對交易提出異議並獲得報銷。
然而,這些障礙確實存在:債權人應該核實不存在任何違規行為,例如,履行授權的人確實是要藉記的銀行帳戶的持有人。我們的兩個實驗似乎沒有遵循這一點。
亞馬遜和布伊格怎麼想?
我們於 11 月 8 日聯繫布伊格,直到 10 月 21 日這個星期四,以及與他們的詐欺部門返回後(請參閱方框第 2 集),布伊格才回覆我們的請求。運營商聲明他“希望為客戶提供流暢可靠的體驗。為此,許多工具可讓您執行自動和手動檢查,以確保交易安全,特別是與付款相關的交易。該系統基於大量標準,不斷發展,以適應技術創新、有組織詐欺的獨創性,當然還要保護客戶免受可能成為受害者的操作的影響。»。
亞馬遜發言人則表示向我們解釋如何採取一切措施來確保其平台上的直接扣款付款。對於電子商務巨頭來說,“安全是絕對優先考慮的(...)»。
«(…) 我們投入大量資源確保安全可靠的購物體驗。我們依靠專門的團隊,並投資於業界領先的風險管理系統,透過偵測和阻止可疑交易來保護客戶。這包括機器學習模型,可分析數千個數據點和數百萬個獨特的交易數據,以預測詐欺並識別風險»。
從這次經驗中可以學到什麼?
當我們向銀行業的專家解釋我們能夠輕鬆地使用別人的 IBAN 進行支付時,所得到的反應總是一樣的:每個人都向我們解釋說這是不可能的。面對這種情況,他們建議下游定期檢查您的銀行帳戶,並對並非我們發起的交易提出異議,包括金額非常小的交易。 “這必須成為我們日常生活的一部分:多一點警惕,每週檢查一次你的銀行帳戶,這並不容易,用你的手機需要五分鐘»,Maître Delomel 的估計。
是否需要在上游、直接扣款授權和直接扣款方面提供更多保護,特別是在個人資料和 IBAN 不斷洩露的情況下?如果答案是肯定的,這個問題將必須在布魯塞爾解決,因為 SEPA 直接扣款是歐洲標準 — — 這保證需要很多年才能改變目前的情況。
同時,法蘭西銀行想要指出的是2023 年此類銀行詐欺仍佔少數。根據支付手段安全觀察站 (OSMP) 的說法,“欺詐性使用第三方 IBAN 透過直接扣款方式支付產品或服務費用 法國 OSMP 銀行機構報告的直接扣款詐欺金額的 1%」。總的來說,這僅代表直接扣款詐欺所造成的 2,200 萬歐元中的 317,000 歐元 – “與其他金融詐欺和騙局相比,金額非常低»。
在這個一般類別中,絕大多數案例(98%)關注的是“詐欺債權人»,根據2023 年OSMP 報告,後者發出虛假的直接借記訂單,例如利用資料外洩後獲得的IBAN 列表,就像有人向您收取您未要求的服務的費用,金額將從您的帳戶轉移。
但在這裡,這些詐欺者最終也會在發生以下情況時被銀行機構發現——誠然是事後發現的。由於付款人的爭議而拒絕針對特定債權人的大額或異常直接借記的比率」。然後,後者的銀行可以採取行動,對他們進行監視並禁止他們使用這種支付方式……甚至可以從法國央行的SEPA 債權人識別碼(ICS) 存儲庫中刪除他們的債權人編號,這相當於徹底結束他們的詐欺性提款。
因此,要記住的資訊是這樣的:您可能會被欺詐性地扣款,但如果您對這些扣款提出異議,您將在事後得到補償……不確定這是否足以完全讓1900 萬免費洩漏受害者放心……以及所有其他人。
編者註:這篇發表於 11 月 18 日的文章在與布伊格詐欺部門交流後於 11 月 21 日星期四進行了修改,並於本星期四收到了運營商的正式回复。在「第2集」框中,新增了最後三段。在“布伊格和亞馬遜怎麼想”部分中,第一段已修改為添加布伊格的反應。
