在免费网络攻击和敏感数据(包括客户 IBAN)被盗之后,您的银行帐户可能会在您不知情的情况下被清空。在 01net.com,我们想知道是否可以在未经账户所有者同意的情况下使用他人的 IBAN 进行支付。我们的调查结果可能会让你感到惊讶,甚至吓到你。
“IBAN 事件”中有一些新内容:足以在 11 月 21 日星期四更新,我们的调查最初于 11 月 18 日发布。
这是一种痛苦1900 万免费客户受到数据泄露影响,其中一些人见过他们的 IBAN 最终消失殆尽:查看从他们的银行账户中提取但从未验证过的金额。
«理论上,仅凭IBAN是不可能进行购买的»,我们采访的信贷和消费者法专业律师阿诺·德洛梅尔(Arnaud Delomel)坚称。真的不可能吗?
在01网,我们想测试一下这是不可能的。为此,我们(化名 Stéphanie 和 Geoffroy)扮演了一个骗子的角色,该骗子拥有在网络攻击期间被盗的免费客户的 IBAN。经过双方同意,我们交换了各自的 IBAN,看看我们是否能够仅凭此文件来支付购买费用。想法:通过 SEPA 直接借记进行付款,而其他人不知道 - 嗯,“不自觉地意识到这一点”。我们的实验结果让包括我们在内的不止一个人感到惊讶。
SEPA 直接借记程序比在线支付更简单
如果 IBAN 或 RIB 本身不是付款方式,则它们允许设置 SEPA 直接借记。它们是您为所有重复付款发起的付款,例如您的移动或互联网套餐、您对流媒体平台的订阅、您的健身房,甚至是您的税款支付。
SEPA 直接借记可以节省您的时间:通过完成直接借记授权(使用您的 IBAN 号码),您授权债权人(像 Netflix 或税务局这样的收款人)定期从付款人的账户(您)借记给定时期内或多或少的预定义金额(订阅的套餐、税额):如此多的操作,您无需单独执行。
与需要您进行多次验证的转账或在线支付不同,您可能已经注意到,在直接借记的情况下,程序要简单得多。
您只需用您的 IBAN 填写一份表格(通常是在线形式(直接扣款授权)),即可在几周后查看您的帐户是否因订阅或分期付款而被扣款。这项授权受到怎样的保护?为了找到答案,我们决定开始实验,选择了两个接受直接借记付款的网站。
第 1 集:是的,您的 IBAN 可以在您不知情的情况下用于支付在线购物费用 (Geoffroy)
为了通过同事的 IBAN 进行在线购买,我选择将目光投向亚马逊。该在线商家是法国广泛使用的市场,它提供通过银行账户借记卡支付购买费用的选项。
因此,我转到我的亚马逊帐户设置,在专门用于付款方式的部分中,将我同事的银行帐户添加为新的付款方式。
为此,我选择此选项,输入我同事帐户的 IBAN,并在帐户持有人框中输入她的姓名。一键点击后,您当前帐户的添加就会得到验证。现在,从我的亚马逊帐户购买的商品可以直接从我同事的帐户中直接扣款。孩子的游戏。
现在仍有待验证是否可以使用这种新的付款方式来验证商品的购买。因为一般来说,在亚马逊上添加新的银行卡作为支付方式时,银行会要求用户验证身份。此验证通常是在首次购买期间通过银行移动应用程序的生物识别身份验证完成的。
因此,我决定以 1.59 欧元的价格购买一支精美的四色 Bic 钢笔,并将其运送到我家,并通过 SEPA 转账(从我同事的帐户中提取)进行支付。我和我的同事斯蒂芬妮(将被借记的账户的所有者)都不会要求进行验证。
我的订单已得到验证并立即发货。不到24小时后,我就在家里收到了。经过几天的耐心,我们检查我的订单金额是否已从他的帐户中扣除。不出所料,事实确实如此。
第 2 集:是的,可以使用第三方的 IBAN 进行电话订阅 (Stéphanie)
就我而言,我选择与电信运营商进行低成本订阅。我选择了 Bouygues Telecom 的 B&You 每月 1.99 欧元、2 GB 的套餐。新客户,我通过提供我的真实姓名、我的专业电子邮件地址和我的邮政地址来创建一个新帐户。请注意,在整个过程中,我从未被要求提供身份证明。
我选择了一个新号码,然后选择了 1 欧元的 eSIM。
在付款阶段,系统会要求我提供 IBAN 以进行直接借记:我仔细输入 Geoffroy 的 IBAN 数据。
我单击“验证”,但没有出现任何警报。就杰弗罗伊而言,他没有收到任何通知。然后我必须提前支付 1 欧元购买 eSIM 卡的费用。这次,我使用自己的银行卡和自己的名字,目的只是为了测试直接借记授权的安全措施。订单已验证。
第二天,我激活了这条线路。 Bouygues 通知我收集将于 11 月 20 日进行。为什么不马上呢?运营商实际上遵守法律规定的付款期限(15 个日历日),可以通过合同或一般使用条件缩短该期限,但这里的情况并非如此。
几天后,我去了我的私人空间。布伊格电信的通知告诉我,直接借记授权尚未签署。
程序会被停止吗?当我开始签署授权书时,我的怀疑得到了证实——该操作包括用 Geoffroy 的 IBAN 验证直接借记授权书的数据(我的名字是在该授权书上注册的)。在点击“电子签名”之前,明确注明“为了继续进行直接借记授权的电子签名,我请求我的安全验证码,并以电子方式输入»。
我单击然后...签名得到验证。我不会被要求提供任何验证码。然后,我的授权书签名确认信息会通过我的智能手机上的短信发送给我。
因此,抽样任务得到了验证,但与 Geoffroy 的经验相反,在本文发表时抽样尚未进行。将于 11 月 20 日举行。
正是在这个最后期限的前夕,事情正在加速发展。 11 月 19 日晚,我收到了来自 Bouygues Fraud services 的电子邮件,告诉我我的银行详细信息似乎不正确。我被要求“更新我的银行详细信息“ 为了 ”迅速调整局势并恢复服务»。
第二天早上,我给运营商的欺诈部门打电话。我介绍自己并解释我们的新闻调查方法,强调我们想知道布伊格内部如何控制直接借记授权。顾问没有回答我的问题,但向我保证他们会回来找我“尽快地”。我立即向该部门发送了一封电子邮件,并附上了布伊格自 11 月 8 日起通知的通讯副本,以保留书面记录。我再次向他们解释我们的实验,并询问他们在布伊格如何进行直接借记授权检查。就 Geoffroy 而言,他在 11 月 20 日晚被收取了 2.05 欧元的费用,尽管 Bouygues 自 11 月 8 日起就知道我们的测试……并且与欺诈部门进行了讨论。
但令人惊讶的是,11 月 21 日这个星期四,我们终于收到了布伊格通讯部门的回复(见下文)。本周四出现的另一个新功能:根据“付款”选项卡中出现的新元素,在我的个人空间中,我被告知提取的金额将被退还,而无需其他详细信息。
这些实验的后果是什么制造于01网?
任何拥有最近从 Free 盗取的 500 万个 IBAN 之一的骗子都可以借记这两笔钱。在我们的实验中,我们使用我们的个人帐户或真实姓名,并使用其他名称标识的付款方式。但没有什么可以阻止犯罪分子创建多个亚马逊账户,盗取免费客户的身份,以便使用相应的 IBAN。然后,他只需将欺诈性订单送到亚马逊储物柜,就可以完全不被注意到,并获得平台上销售的免费产品。
没有什么可以阻止骗子利用电话订阅、假名(因为我们没有被要求提供任何身份证件),甚至进行其他购买,直到 IBAN 所有者对向其银行进行的直接借记提出异议。
«在这种情况下,这正是 Free 的受害者可能会遇到的情况:被提取的金额小到足以在几个月内被忽视,因为如果我们被提取大量金额,我们将立即提出异议,银行将不得不偿还我们»,Delomel 律师事务所经常为金融欺诈受害者辩护的律师 Arnaud Delomel 解释道。
但除了我们每周检查账目时必须保持的警惕之外,我们的两次经历还有什么问题呢?怎么我们的两次手术都毫无困难地通过了验证?
对于银行来说,由债权人验证直接借记授权
经过两次经历后,我们首先求助于各自的银行。如果 CIC 没有回应我们的要求,在本文发表时,法国农业信贷银行提醒我们,它不需要检查 SEPA 直接借记授权书的正确签名,因为它不是本文件的接收者(由 Geoffroy 与 Stéphanie 的 IBAN 签署),该银行仍掌握在唯一债权人(此处为亚马逊)手中。在通过直接借记付款的情况下,“由收到直接借记授权的债权人来验证 IBAN 与持有人之间的对应关系”。换句话说,检查必须由债权人(根据我们的经验,亚马逊和布伊格)进行,具体取决于银行机构。
我们联系的法兰西银行证实了这一点。金融机构向我们解释说“在转账的情况下,交易的发起者是付款人(您),因此付款人在交易时在场,因此可以验证自己的身份。但在直接借记的情况下,逻辑就相反了,因为它是受益人(电信运营商、市场、编者注)谁在付款人“缺席”的情况下发起交易”。如果一方面,通过“双方在银行系统之外事先签署授权书»,另一方面,付款人(即您)从多个交易对手那里受益,这些交易对手将保护他。
后者将:
- 收到 ”在执行直接借记之前,债权人向债务人发出事先通知(直接借记到期日之前至少 14 个日历日,除非合同另有约定)»;
- 益处 ”执行直接借记后 8 周内无条件报销的权利”– 无条件,因为他不必证明其合理性;
- 这项报销权利在借记后最长 13 个月内有效,“如果发生未经授权的收集(不存在、撤销或失效的授权)»。
换句话说,就 SEPA 直接借记而言,上游的门槛比在线支付低,但如果客户遵守一年零一个月的期限,他们可以轻松对交易提出异议并获得报销。
然而,这些障碍确实存在:债权人应该核实不存在任何违规行为,例如,履行授权的人确实是要借记的银行账户的持有人。我们的两个实验似乎没有遵循这一点。
亚马逊和布伊格怎么想?
我们于 11 月 8 日联系布伊格,直到 10 月 21 日这个星期四,以及与他们的欺诈部门返回后(见方框第 2 集),布伊格才回复我们的请求。运营商声明他“希望为客户提供流畅可靠的体验。为此,许多工具允许您执行自动和手动检查,以确保交易安全,特别是与支付相关的交易。该系统基于大量标准,不断发展,以适应技术创新、有组织欺诈的独创性,当然还要保护客户免受可能成为受害者的操作的影响。»。
亚马逊发言人则表示向我们解释了如何采取一切措施来确保其平台上的直接借记付款。对于电子商务巨头来说,“安全是绝对优先考虑的(...)»。
«(…) 我们投入大量资源来确保安全可靠的购物体验。我们依靠专门的团队,并投资于行业领先的风险管理系统,通过检测和阻止可疑交易来保护客户。这包括机器学习模型,可分析数千个数据点和数百万个独特的交易数据,以预测欺诈并识别风险»。
从这次经历中可以学到什么?
当我们向银行业的专家解释我们能够轻松地使用别人的 IBAN 进行支付时,得到的反应总是一样的:每个人都向我们解释说这是不可能的。面对这种情况,他们建议下游定期检查您的银行账户,并对并非我们发起的交易提出异议,包括金额非常小的交易。 “这必须成为我们日常生活的一部分:多一点警惕,每周检查一次你的银行账户,这并不容易,用你的手机需要五分钟»,Maître Delomel 的估计。
是否需要在上游、直接借记授权和直接借记方面提供更多保护,特别是在个人数据和 IBAN 不断泄露的情况下?如果答案是肯定的,这个问题将必须在布鲁塞尔解决,因为 SEPA 直接借记是欧洲标准 — — 这保证需要很多年才能改变目前的情况。
与此同时,法兰西银行想要指出的是2023 年此类银行欺诈仍占少数。根据支付手段安全观察站 (OSMP) 的说法,“欺诈性使用第三方 IBAN 通过直接借记方式支付产品或服务费用 法国 OSMP 银行机构报告的直接借记欺诈金额的 1%”。总的来说,这仅代表直接借记欺诈所造成的 2200 万欧元中的 317,000 欧元 – “与其他金融欺诈和骗局相比,金额非常低»。
在这个一般类别中,绝大多数案例(98%)更关注“欺诈债权人»,根据 2023 年 OSMP 报告,后者发出虚假的直接借记订单,例如通过利用数据泄露后获得的 IBAN 列表,就像有人向您收取您未请求的服务的费用,金额将从您的账户转移。银行账户到他的。
但在这里,这些欺诈者最终也会在发生以下情况时被银行机构发现——诚然是事后发现的。由于付款人的争议而拒绝针对特定债权人的大额或异常直接借记的比率”。然后,后者的银行可以采取行动,对他们进行监视并禁止他们使用这种支付方式……甚至可以从法国央行的 SEPA 债权人标识符 (ICS) 存储库中删除他们的债权人编号,这相当于彻底结束他们的欺诈性提款。
因此,要记住的信息是这样的:您可能会被欺诈性地扣款,但如果您对这些扣款提出异议,您将在事后得到补偿……不确定这是否足以完全让 1900 万免费泄漏受害者放心……以及所有其他人。
编者注:这篇发表于 11 月 18 日的文章在与布伊格欺诈部门交流后于 11 月 21 日星期四进行了修改,并于本星期四收到了运营商的正式回复。在“第2集”框中,添加了最后三段。在“布伊格和亚马逊怎么想”部分中,第一段已修改为添加布伊格的反应。
