Comment les fraudeurs exploitent les failles d'OPay et PalmPay pour détourner les identités

·
15 décembre 2023
·
3 min read
PalmPay et OPay

MISE À JOUR lundi 18 décembre 2023 : Suite au contenu de cette histoire, Opay et PalmPay avoir désactivé la fonctionnalité de vérification avec un compte bancaire qui a permis de combler la faille évoquée dans l'article ci-dessous. Cependant, il est toujours important de conserver et de protéger vos informations bancaires en ligne.

Les comptes OPay et PalmPay sont ouverts frauduleusement en utilisant l'identité de personnes sans méfiance. Des incidents récents au Nigeria confirment que vous pouvez ouvrir des comptes OPay ou PalmPay avec le nom de n'importe qui, et nous avons peut-être découvert comment.

Tout d’abord, mettons un peu de contexte.

J'ai eu un aperçu de ce problème, mais je n'ai pas pu le confirmer jusqu'à ce que mon voisin âgé en soit victime. Son téléphone a été volé et des fraudeurs ont détourné son identité, siphonnant plus de 100,000 XNUMX ₦ à ses amis en utilisant des comptes OPay créés avec son nom légal complet.

Au début, nous étions confus. Comment des comptes portant son nom légal complet pourraient-ils être ouverts sans son numéro de vérification bancaire (BVN) ou son numéro d'identité nationale (NIN) ? Bien qu'OPay ait rapidement bloqué les comptes frauduleux lorsque nous les en avons informés, ils sont restés silencieux sur la manière dont une telle violation pourrait se produire en premier lieu.

Les choses allaient devenir encore plus étranges.

L'arnaque s'est intensifiée, ciblant des personnalités des individus comme les PDG de la technologie comme Adewale Yusuf d'AltSchool Africa et Techpoint Afrique, Dr Neto Ikpeme de Wellahealth et Abimbola Adebakin d'Advantage Health Africa. Moi aussi, j'ai reçu un message frauduleux, apparemment d'Adewale Yusuf, demandant des fonds urgents via les comptes OPay et PalmPay.

Comment cela se passe-t-il?

Notre enquête a révélé une faille inquiétante dans le processus de création de compte d'OPay.

Outre la vérification standard NIN/BVN, OPay propose une troisième méthode, plus laxiste : vérifier avec un compte bancaire. Cette porte dérobée permet aux fraudeurs de manipuler facilement le système en utilisant simplement un numéro de téléphone, la reconnaissance faciale et n'importe quel nom et adresse, facilitant ainsi le vol d'identité avec une facilité alarmante.

Ne manquez pas la révolution financière en Afrique

Suivez le rythme rapide de l'innovation dans le paysage fintech africain avec Fintech Today. Conçue pour une consommation rapide, notre newsletter exclusive, approuvée par plus de 1,000 XNUMX leaders de l'industrie, fournit les dernières informations, tendances et avancées directement dans votre boîte de réception.
La fintech aujourd'hui

Essayez-le, vous pouvez vous désinscrire à tout moment. Politique de confidentialité.

Voici comment ça fonctionne: Vous obtenez un numéro de téléphone, n'importe quel numéro de téléphone et les coordonnées bancaires de n'importe qui. Pour pimenter les choses, vous pouvez choisir quelqu'un d'un sexe différent. Opay vous demande de saisir les détails du compte et vous demande un nom qui correspond à ce qui se trouve sur le compte. Ensuite, vous effectuez une reconnaissance faciale qui ne teste apparemment pas si votre visage correspond à celui enregistré sur le compte que vous avez utilisé.

Nous avons vu circuler en ligne une vidéo d'un homme ouvrant un compte OPay avec le nom d'une actrice populaire, Bimbo Ademoye. Nous avons décidé de tester cela et j'ai ouvert en toute transparence un compte OPay avec le numéro de téléphone d'un ami et les coordonnées de mon compte bancaire commercial. Même si j'ai déjà un compte OPay enregistré avec mes coordonnées BVN.

Veuillez noter que mon exemple spécifique n'est peut-être pas le meilleur, mais l'idée est que la fonctionnalité vous permet de créer un compte Opay de niveau 1 avec les coordonnées bancaires de votre choix.

Si vous avez laissé tomber votre numéro de compte n'importe où sur Internet, pour des cadeaux ou une transaction commerciale, vous risquez peut-être déjà cette faille.

PalmPay dispose également de cette fonctionnalité de « vérification avec les comptes bancaires », mais cela n'a pas fonctionné lorsque nous l'avons essayé. Étonnamment, vous pouvez ouvrir un compte PalmPay sous n’importe quel nom sans aucune vérification. Cela vous permet d'effectuer jusqu'à 50,000 XNUMX ₦ de transactions.

Implications plus larges

Ces incidents sont symptomatiques d’une épidémie croissante de fraude financière au Nigeria, où les banques et les particuliers perdent des milliards de Naira. Le NIBSS a fait part de ses inquiétudes concernant les sociétés de services financiers sans licence qui se font passer pour des institutions de dépôt, ce qui reflète une surveillance réglementaire accrue des opérations de technologie financière..

La circulaire du NIBSS était assez vague, car elle laissait place à diverses interprétations. Cependant, il faut souligner qu'OPay et PalmPay sont effectivement des institutions financières de dépôt agréées. La circulaire du NIBSS visait à éliminer les véritables mauvais acteurs qui dépassaient le champ d'application de leurs licences, afin que nous puissions pleinement mettre en lumière les problèmes rencontrés par les véritables sociétés agréées.

Alors que la CBN a rendu obligatoire l'utilisation du NIN pour tous les portefeuilles et comptes bancaires de niveau 1, l’efficacité de ces mesures reste à voir.

L’essor des paiements numériques a malheureusement accru le potentiel de fraude, comme le souligne PalmPay. Le signalement tardif des fraudes a été cité comme un facteur clé dans la faible récupération des fonds volés..

Alors que se déroule cette enquête sur les activités frauduleuses impliquant OPay et PalmPay, une question cruciale persiste : la Banque centrale du Nigeria (CBN) est-elle consciente de ces vulnérabilités spécifiques, et si oui, quelles mesures sont prises ?

Il s’agit d’une histoire en développement : voir la dernière mise à jour ci-dessous.


Vous avez un pourboire? Nos journalistes sont prêts à creuser plus profondément. S'il vous plaît partager vos idées et informations et aidez-nous à découvrir les histoires qui comptent.

J'aide les entreprises fintech nigérianes à comprendre les consommateurs, à acquérir et à fidéliser des utilisateurs payants | Raconter des histoires à Moniepoint, Techpoint Afrique.
J'aide les entreprises fintech nigérianes à comprendre les consommateurs, à acquérir et à fidéliser des utilisateurs payants | Raconter des histoires à Moniepoint, Techpoint Afrique.
Abonnez-vous à Techpoint Digest
Rejoignez des milliers d'abonnés pour recevoir notre tour d'horizon hebdomadaire et quotidien de 5 minutes des événements technologiques africains et mondiaux, directement dans votre boîte de réception, des heures avant tout le monde.
Il s'agit d'un tour d'horizon quotidien de 5 minutes des événements technologiques africains et mondiaux, envoyé directement dans votre boîte de réception, entre 5 h et 7 h (WAT) tous les jours de la semaine ! 
Abonnement au résumé

Essayez-le, vous pouvez vous désinscrire à tout moment. Politique de confidentialité.

J'aide les entreprises fintech nigérianes à comprendre les consommateurs, à acquérir et à fidéliser des utilisateurs payants | Raconter des histoires à Moniepoint, Techpoint Afrique.

Autres histoires

43b, Emina Cres, Allen, Ikeja.

 Techpremier Media Limited. Tous les droits sont réservés
loupe