Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    2 202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 202
    Points : 72 366
    Points
    72 366
    Billets dans le blog
    2

    Par défaut Un client d’Amazon explique qu'un attaquant aurait obtenu ses données de carte de crédit

    Un client d’Amazon explique qu'un attaquant aurait obtenu ses données de carte de crédit
    En dupant le service client

    Éric Springer est un ingénieur en développement logiciel et un utilisateur sensible à la sécurité qui estime être assez prudent pour éviter d’être victime de vol de données. Toutefois, il a vécu une expérience avec le site de commerce en ligne Amazon ; expérience à l’issue de laquelle il retient qu’un système a beau être protégé, mais parfois, il ne faut pas grand-chose pour le pirater. En ce qui concerne le système du géant du commerce en ligne, Éric Springer estime que c’est le service clientèle qui est la porte dérobée qui expose les données personnelles des clients.

    Éric Springer est un utilisateur « lourd » de la plateforme AWS (600 $/mois) et cela a été repéré par un attaquant. Alors qu’il s’y attendait le moins, il reçoit un email d’Amazon qui le remercie d’avoir contacté le service clientèle, chose qu’il n’avait pas faite depuis bien longtemps.


    Par curiosité, Springer se renseigne auprès d’Amazon pour en savoir plus. Il apprend alors qu’il a récemment contacté le service clientèle qui lui envoie ensuite sur demande le transcript du chat. Il se rend donc compte qu’un individu a réussi à obtenir ses informations réelles en engageant une conversation avec le service clientèle.

    Dans la conversation, après que le chargé de clientèle lui a demandé sa préoccupation, l’usurpateur a répondu qu'il voulait savoir où sa dernière commande a été expédiée. Avant de répondre à sa question, par précaution, le chargé de clientèle a demandé à l’attaquant de confirmer ses informations personnelles, à savoir nom et prénoms, adresse email et adresse de facturation. L'usurpateur a bien renseigné ces informations même si l’adresse de facturation du propriétaire légitime du compte, Éric Springer, était une fausse adresse que ce dernier utilisait sur internet par précaution. Il l'avait par exemple utilisée pour enregistrer certains domaines.

    D’après Éric, les informations fournies par l’attaquant auraient donc probablement été obtenues à partir de Whois, un service de recherche fourni par les registres Internet et qui permet d’obtenir des informations sur une adresse IP ou un nom de domaine.

    Le chargé de clientèle étant convaincu qu’il s’adressait à monsieur Éric Springer n’a pas hésité à communiquer le nom du dernier produit acheté, l’adresse d’expédition complète ainsi que le numéro de téléphone. Le fraudeur a également demandé le solde de la gift card sur le compte de Springer, qui était alors de 0 $.



    La première partie de la mission était accomplie. Après ce premier chat avec le service clientèle, l’attaquant a obtenu l’adresse réelle de sa cible ainsi que son numéro de téléphone. Il ne reste plus que les informations de la carte de crédit qu’il projette d’avoir dans une autre conversation avec le service clientèle.

    Se rendant compte de ce qui se passait sur son compte, Éric a alors contacté Amazon en leur demandant de mettre une note sur son compte, laquelle note indiquait que le compte était à un risque d’ingénierie sociale très élevée et qu’il sera toujours en mesure de se connecter.

    Quelques mois plus tard, Éric reçoit un email du service client indiquant qu’il avait à nouveau contacté le site. Le transcrit du chat montre que c’était l’attaquant dans la deuxième étape de son plan, essayant d’avoir les données de carte de crédit de Springer.

    Dans la deuxième discussion avec le service clientèle d’Amazon, l’attaquant utilise la même technique pour tenter d’obtenir les quatre derniers digits de la carte de crédit. Cette fois, quand le chargé de clientèle lui demande ses informations personnelles pour vérification, l’usurpateur prend la peine de fournir l’adresse réelle de Springer qu’il a obtenue lors de la phase précédente. Il n’hésite pas alors à demander le moyen de paiement utilisé et il apprend que c'était une carte de crédit. Sans passer par quatre chemins, il demande ensuite les quatre derniers digits, chose que le chargé de clientèle refuse de donner par mesure de sécurité.

    N’arrivant pas à obtenir cette donnée de la part du chargé de clientèle, l’attaquant laisse entendre qu’il utilise couramment plusieurs cartes de crédit et qu’en ayant un peu plus d’informations sur la carte qui a permis d’effectuer son dernier achat, il pourrait identifier la bonne carte parmi celles dont il dispose. Pour cela, il demande l’un après l’autre, les deux derniers digits de la carte, le type de carte (VISA, MasterCard ?), la date d’expiration, bref. Il essaie tout ce qu’il peut, mais sans succès. Il décide alors de recontacter le service plus tard.




    Après cette deuxième alerte, Éric contacte à nouveau Amazon pour réitérer combien il est important que son compte soit sécurisé et demander de ne pas donner ses coordonnées à quiconque avec un nom et une adresse. Mais la prochaine étape du plan de l’attaquant lui a probablement été fatale. L’usurpateur entre une nouvelle fois en contact avec le service clientèle, mais cette fois, Éric ne peut avoir de transcript. L’attaquant change de technique et contacte Amazon par téléphone, mais la société refuse de donner à monsieur Springer l’enregistrement de la conversation téléphonique. Quant à Éric, il est persuadé que l'attaquant a réussi à obtenir les quatre derniers digits de sa carte de crédit.

    Source : Éric Springer

    Et vous ?

    Qu’en pensez-vous ? Que suggérez-vous pour éviter ce genre d’attaque ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de Alvaten
    Homme Profil pro
    Développeur Java / Grails
    Inscrit en
    novembre 2006
    Messages
    321
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java / Grails
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 321
    Points : 993
    Points
    993

    Par défaut

    Qu’en pensez-vous ? Que suggérez-vous pour éviter ce genre d’attaque ?
    Le titre de l'article suggère que M. Springer s'est fait voler ses informations de carte de crédit, pourtant je comprend que l'attaquant n'a obtenu "que" son adresse postale et son numéro de téléphone. Le service d'Amazon a refusé de fournir les informations demandées par l'attaquant.

    Pour ce qui est des attaques par ingénierie social, je vois pas trop comment s'en protéger efficacement à part en faisant attention à ce qu'on écrit sur le net (et encore visiblement faire attention est insuffisant si l'attaquant est persévérant). Si l'attaquant est bien renseigné je vois mal comment un SAV peux faire la différence. La meilleure solution consiste encore à faire comme Amazon, refuser de fournir ce genre d'information, car au final je ne vois pas pourquoi le client légitime en aurait besoin.

  3. #3
    Membre expert
    Femme Profil pro
    Traductrice
    Inscrit en
    octobre 2015
    Messages
    610
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Traductrice
    Secteur : Communication - Médias

    Informations forums :
    Inscription : octobre 2015
    Messages : 610
    Points : 3 673
    Points
    3 673

    Par défaut

    Si j'ai bien compris, suite à cet appel téléphonique dont il n'a pas pu avoir la transcription, M. Springer a dû supposer que l'attaquant avait réussi à obtenir ces 4 chiffres, faute de preuve du contraire, et j'imagine prendre les mesures nécessaires auprès de sa banque avec les frais qui s'en suivent. En fait, son problème, c'est qu'il n'a pas pu obtenir d'Amazon la certitude que son problème d'usurpation avait été pris en compte par le SAV. Il estime qu'une sorte de "mesure d'urgence" aurait dû être mise en place suite à sa demande, et qu'Amazon n'aurait pas dû continuer à fournir des informations aux personnes munies de son nom et son adresse. Ce qu'Amazon n'a pas fait.
    Dans l'absolu, je ne vois pas non plus ce qu'on peut faire pour éviter les attaques, mais là il y a clairement eu un manque d'écoute de la part d'Amazon, alors que M. Springer s'est montré prudent et a pris les mesures qui s'imposaient au moment où elles s'imposaient.

  4. #4
    Membre émérite
    Inscrit en
    juin 2009
    Messages
    833
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 833
    Points : 2 463
    Points
    2 463

    Par défaut

    Citation Envoyé par Conan Lord Voir le message
    Si j'ai bien compris, suite à cet appel téléphonique dont il n'a pas pu avoir la transcription, M. Springer a dû supposer que l'attaquant avait réussi à obtenir ces 4 chiffres, faute de preuve du contraire, et j'imagine prendre les mesures nécessaires auprès de sa banque avec les frais qui s'en suivent. En fait, son problème, c'est qu'il n'a pas pu obtenir d'Amazon la certitude que son problème d'usurpation avait été pris en compte par le SAV. Il estime qu'une sorte de "mesure d'urgence" aurait dû être mise en place suite à sa demande, et qu'Amazon n'aurait pas dû continuer à fournir des informations aux personnes munies de son nom et son adresse. Ce qu'Amazon n'a pas fait.
    Dans l'absolu, je ne vois pas non plus ce qu'on peut faire pour éviter les attaques, mais là il y a clairement eu un manque d'écoute de la part d'Amazon, alors que M. Springer s'est montré prudent et a pris les mesures qui s'imposaient au moment où elles s'imposaient.
    la mesure la plus simple serait de limiter l'accès au SAV aux utilisateurs Donc les obliger à se logguer sur le site.
    Si un usurpateur réussit à s'authentifier et que, selon la même procédure, l'utilisateur s'en rend compte, il n'a qu'a changer mdp, adresses mail de secours, question de récupération de mot de passe etc...

    Parce que bon, 99% des infos qu'il demande au service client, on les a dans notre historique de commande tout de même...

  5. #5
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2012
    Messages
    509
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2012
    Messages : 509
    Points : 1 600
    Points
    1 600

    Par défaut

    Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  6. #6
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 169
    Points
    2 169

    Par défaut

    Je veux bien croire qu'Amazon conserve les transcripts de chat de ce genre, mais j'ai du mal à imaginer qu'ils conservent les enregistrements de toutes conversations téléphoniques du service client. Il faudrait vite construire des datacenters juste pour ça. Dans ces conditions, qu'ils n'aient pas fourni un enregistrement qui n'existe pas me parait assez logique.

    Par contre, un dépôt de plainte permettrait peut-être de retrouver l'escroc ?

  7. #7
    Membre expert
    Femme Profil pro
    Traductrice
    Inscrit en
    octobre 2015
    Messages
    610
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Traductrice
    Secteur : Communication - Médias

    Informations forums :
    Inscription : octobre 2015
    Messages : 610
    Points : 3 673
    Points
    3 673

    Par défaut

    Citation Envoyé par Traroth2 Voir le message
    Je veux bien croire qu'Amazon conserve les transcripts de chat de ce genre, mais j'ai du mal à imaginer qu'ils conservent les enregistrements de toutes conversations téléphoniques du service client.
    Normalement, si, dans les boîtes de cette ampleur, toutes les conversations sont systématiquement enregistrées et archivées. Ça sert notamment à embêter les standardistes et les commerciaux (désolée d'être mauvaise langue mais c'est ce qui se passe dans la pratique, leur efficacité est évaluée via ces enregistrements) et éviter les problèmes juridiques. Pour moi, aucun doute que si une enquête était ordonnée, ces enregistrements seraient retrouvés.

  8. #8
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 723
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 723
    Points : 7 425
    Points
    7 425

    Par défaut

    Citation Envoyé par nchal Voir le message
    Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?
    tenter de rappeler ensuite et demander le reste des numéros en expliquant qu'on sait plus si la carte en question est toujours valide (si c'est l'ancienne ou la nouvelle) ou qu'on croit qu'on a fait une erreur en tapant le numéro ou autre, "c'est la gold qui termine par 1234 svp"

    Citation Envoyé par Michael Guilloux Voir le message
    Qu’en pensez-vous ?
    c'est malin de la part de l'attaquant, l'être humain est l'éternel maillon faible de la chaine, quant aux risques liés à ce genre d'attaques que dire... "tant qu'il y aura des hommes" les risques continueront d'exister

    Citation Envoyé par Michael Guilloux Voir le message
    Que suggérez-vous pour éviter ce genre d’attaque ?
    rien. on ne peut pas empêcher les attaques, on peut juste les bloquer quand elles arrivent, de ce point de vue le call center indien d'amazon est plutôt bien rodé aux tentatives de SE manifestement, j'aurais même largement plus confiance dans le service consommateur d'amazon par chat interposé pour ne pas divulguer mes informations sensibles que dans mon commissariat de police en face à face pour assurer qu'on usurpe pas mon identité. (vous avez déjà perdu vos papiers ? je vous laisse réfléchir... un indice chez vous : "comme dans du beurre et sans forcer, presque amené sur un plateau")
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  9. #9
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 169
    Points
    2 169

    Par défaut

    Citation Envoyé par Conan Lord Voir le message
    Normalement, si, dans les boîtes de cette ampleur, toutes les conversations sont systématiquement enregistrées et archivées. Ça sert notamment à embêter les standardistes et les commerciaux (désolée d'être mauvaise langue mais c'est ce qui se passe dans la pratique, leur efficacité est évaluée via ces enregistrements) et éviter les problèmes juridiques. Pour moi, aucun doute que si une enquête était ordonnée, ces enregistrements seraient retrouvés.
    J'en serais très surpris, non seulement à cause de la masse de données, mais aussi parce que c'est illégal dans de nombreux pays. En France, par exemple, c'est le cas.

  10. #10
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 723
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 723
    Points : 7 425
    Points
    7 425

    Par défaut

    Citation Envoyé par Traroth2 Voir le message
    J'en serais très surpris, non seulement à cause de la masse de données, mais aussi parce que c'est illégal dans de nombreux pays. En France, par exemple, c'est le cas.
    en fait, j'ai l'impression que le lien que tu donnes tend plutôt à confirmer que l'inverse justement, puisqu'il est dit que l'enregistrement est autorisé dans une optique d'évaluation du salarié et d'amélioration de la qualité du service, de façon "ponctuelle"

    quant à la masse de données... faut voir mais si on parle d'une rétention maximum de 6 mois, un appel téléphonique une fois compressé ça tient sur à peine quelques Mo, c'est pas comme si les entreprises avaient la capacité de stocker des téraoctets de données dans à peine quelques disques de nos jours

    et puis en l'occurrence il ne s'agit pas du cadre légal français mais plus surement américain ou indien ici, les deux semblent assez flexibles sur la question néanmoins
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  11. #11
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2012
    Messages
    2 722
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2012
    Messages : 2 722
    Points : 14 048
    Points
    14 048

    Par défaut

    Citation Envoyé par nchal Voir le message
    Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?
    Cela peut n'être qu'une étape de l'usurpation. Par exemple comme ce qui est arrivé à Mat Honan.

    Et un mec qui dépense 600$/mois sur Amazon, tu peux légitimement supposer qu'il est client chez Apple aussi.

    Individuellement, les procédures sont sures, mises bout à bout... tu peux récupérer des informations à droite à gauche qui permettent de rassembler le puzzle.

  12. #12
    Membre régulier
    Inscrit en
    décembre 2007
    Messages
    57
    Détails du profil
    Informations forums :
    Inscription : décembre 2007
    Messages : 57
    Points : 91
    Points
    91

    Par défaut

    Je ne comprend pas comment l'attaquant a su que le gars dépense 600$ par mois ?
    Et on peut demander tous ces renseignements sans être connecté au compte Amazon ? Il ne faut pas être loggé pour chatter avec le service clientèle ?

  13. #13
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 723
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 723
    Points : 7 425
    Points
    7 425

    Par défaut

    vu toutes les questions sur comment faire et comme ça a l'air d'intéresser pas mal de monde, comment récupérer les infos, etc. le mieux c'est encore de renvoyer vers un tuto complet sur le SE pour que tout un chacun puisse s'y essayer
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  14. #14
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 169
    Points
    2 169

    Par défaut

    Citation Envoyé par BufferBob Voir le message
    en fait, j'ai l'impression que le lien que tu donnes tend plutôt à confirmer que l'inverse justement, puisqu'il est dit que l'enregistrement est autorisé dans une optique d'évaluation du salarié et d'amélioration de la qualité du service, de façon "ponctuelle"

    quant à la masse de données... faut voir mais si on parle d'une rétention maximum de 6 mois, un appel téléphonique une fois compressé ça tient sur à peine quelques Mo, c'est pas comme si les entreprises avaient la capacité de stocker des téraoctets de données dans à peine quelques disques de nos jours

    et puis en l'occurrence il ne s'agit pas du cadre légal français mais plus surement américain ou indien ici, les deux semblent assez flexibles sur la question néanmoins
    Toi, je ne sais pas, mais pour moi, ponctuel et systématique, c'est contradictoire. Pour que cet enregistrement puisse exister, il faut soit que les enregistrements soient systématiques, soit qu'ils soient ponctuels et qu'ils aient justement enregistré cette conversation là. Qu'en penses-tu ?

    Bien sûr, il ne s'agit pas là du droit français, mais venir dire que c'est une évidence que cet enregistrement ait été enregistré, c'est quand même aller franchement vite en besogne, parce que justement, ça n'a strictement rien d'évident !

  15. #15
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 169
    Points
    2 169

    Par défaut

    Citation Envoyé par BufferBob Voir le message
    vu toutes les questions sur comment faire et comme ça a l'air d'intéresser pas mal de monde, comment récupérer les infos, etc. le mieux c'est encore de renvoyer vers un tuto complet sur le SE pour que tout un chacun puisse s'y essayer
    Tu parles de ces tutos là, peut-être ?

    http://www.amazon.fr/s/ref=nb_sb_ss_...ck%2Caps%2C221

  16. #16
    Membre expert
    Femme Profil pro
    Traductrice
    Inscrit en
    octobre 2015
    Messages
    610
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Traductrice
    Secteur : Communication - Médias

    Informations forums :
    Inscription : octobre 2015
    Messages : 610
    Points : 3 673
    Points
    3 673

    Par défaut

    Citation Envoyé par Traroth2 Voir le message
    Bien sûr, il ne s'agit pas là du droit français, mais venir dire que c'est une évidence que cet enregistrement ait été enregistré, c'est quand même aller franchement vite en besogne, parce que justement, ça n'a strictement rien d'évident !
    J'ai traduit il y a peu un support de formation d'une boîte américaine similaire à Amazon à destination de ses commerciaux sous-traitants, dans lequel il était très clairement dit que toutes les conversations téléphoniques de cet ordre étaient enregistrées. Bien sûr, je n'ai pas de sources à fournir et je sais bien que rien ne t'oblige à me croire sur parole, simplement, pour moi, il est évident que c'est une pratique courante, donc je signale. Tu en fais ce que tu veux. Il se peut aussi qu'Amazon applique des modèles moins dégueu que la boîte en question, mais j'en doute.

    Je peux te renvoyer vers une des offres d'Avaya, par contre : http://www.vpi-corp.com/record-avaya-call-recording.asp
    Cette boîte ne vendrait pas de solutions d'enregistrement des appels si personne ne les achetait. Même si rien ne prouve qu'Amazon y a recours, c'est quand même un indice.

  17. #17
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 723
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 723
    Points : 7 425
    Points
    7 425

    Par défaut

    Citation Envoyé par Traroth2 Voir le message
    Toi, je ne sais pas, mais pour moi, ponctuel et systématique, c'est contradictoire. Pour que cet enregistrement puisse exister, il faut soit que les enregistrements soient systématiques, soit qu'ils soient ponctuels et qu'ils aient justement enregistré cette conversation là. Qu'en penses-tu ?
    que c'est pas faux, voire même tout à fait juste, respire...

    Bien sûr, il ne s'agit pas là du droit français, mais venir dire que c'est une évidence que cet enregistrement ait été enregistré
    ça tombe bien, ça n'est pas ce que j'ai dit ^^

    Citation Envoyé par Traroth2 Voir le message
    Tu parles de ces tutos là, peut-être ?
    http://www.amazon.fr/s/ref=nb_sb_ss_...ck%2Caps%2C221
    non pas vraiment, c'était à prendre de façon plus "souple" intellectuellement parlant, juste un pied de nez à tous ceux qui s'enquièrent de savoir "comment on fait pour bypass la secrétaire", et "avec les numéros on fait quoi", "une fois qu'ils ont la totale ils font comment les mecs pour pas se faire gauler" etc. autant de détails collatéraux à la discussion et dont la divulgation s'apparente à expliquer des techniques de piratage, ce qu'on évite de faire sur les forums dvp à priori

    les livres de Mitnick de ce que j'ai pu comprendre (je ne les ai pas lu personnellement) c'est plutôt des bouquins pour manger (à prendre ici aussi au second degré, le propos n'est pas de manger le livre, c'est Mitnick qui l'écrit pour pouvoir manger, je précise sait-on jamais ^^), ça fourmille d’anecdotes des années 80/90 pour truander l'opératrice téléphonique et c'est finalement assez loin d'un quelconque tutoriel ou d'une collections de techniques prêtes à l'emploi, les spécialistes en SE beaucoup de ceux que je connais (des pentesteurs pour l'essentiel) leur livre de prédilection c'est plutôt Sun Tzu...
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  18. #18
    Membre expérimenté
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    531
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 531
    Points : 1 551
    Points
    1 551

    Par défaut

    Citation Envoyé par nchal Voir le message
    Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?
    Les numéros de cartes ne sont pas attribués totalement par hasard, le premier chiffre de gauche renseigne sur le type de la carte, (information obtenue lors de l'attaque), les trois ou quatre chiffres suivants indique le guichet de la banque (information souvent déductible à partir de l'adresse de résidence puisque les gens choisissent rarement une banque à 100 bornes de chez eux). Les quatre derniers chiffres permettent entre autre d'avoir un code de contrôle déterminé par les chiffres précédents et donc par rétro-ingénierie de l'algorithme de définir un set de numéros de cartes potentiellement valides. Ensuite, par écrémage successif (par exemple : certaines combinaisons de chiffres sont impossibles ; listes de numéros de cartes volés sur d'autres site et vendus entre escrocs), et de la patience (l'attaque est manifestement planifiée sur plusieurs mois) l'escroc a alors de bonnes chances de réussir à récupérer une identité bancaire valide sans que l'origine de la fuite puisse être clairement identifiée (ce qui est succeptible de compliquer les démarches de dédommagement/annulation).

  19. #19
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 030
    Points : 4 084
    Points
    4 084

    Par défaut Tout s'explique pour moi ! (une victime)

    Ho putain ça explique tout ! Je viens de changer de carte bleue parce que je me la suis fait pirater !

    Je suis très prudent normalement. Je ne tape jamais mes coordonnées bancaires, ni les copie/colle. Les seuls qui l'ont sont Paypal, Steam, Amazon et LastPass.

    Un beau matin, il y a 2 semaines, on m'a retiré 325€ sur mon compte, pour un truc à Séoul.

    Ok je vais téléphoner à Amazon.

    Merci pour l'info

  20. #20
    Membre du Club Avatar de StephBretagne
    Femme Profil pro
    Inscrit en
    mars 2012
    Messages
    142
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations forums :
    Inscription : mars 2012
    Messages : 142
    Points : 60
    Points
    60

    Par défaut

    Une solution ?
    Utiliser une carte bancaire virtuelle à usage unique peut-être ?
    Perso, ça me paraît quand même dingue qu'un type ait pris autant de temps pour pirater une seule CB. Vous ne ne trouvez pas ça étrange vous?

Discussions similaires

  1. Dell explique comment overclocker son dernier XPS
    Par aodix dans le forum Hardware
    Réponses: 0
    Dernier message: 27/12/2008, 09h44
  2. Réponses: 2
    Dernier message: 01/12/2008, 19h33
  3. Code à expliquer, commenter
    Par Boubou382002 dans le forum Débuter
    Réponses: 3
    Dernier message: 27/11/2008, 00h28
  4. Réponses: 0
    Dernier message: 10/09/2008, 15h11
  5. [JAVA] Lien expliquant comment créer/ lire / modifier un XML
    Par The_revival dans le forum XML/XSL et SOAP
    Réponses: 2
    Dernier message: 07/12/2005, 17h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo