Spoofing, vishing, phishing, SMishing … Attention aux usurpations bancaires !
De plus en plus souvent, des escrocs vous contactent en se faisant passer pour votre conseiller bancaire afin de détourner votre argent. Les techniques évoluent, mais le but est toujours le même : vous prendre votre argent.
Qu’est-ce que le spoofing bancaire ?
Une personne vous appelle et se présente comme un conseiller de votre banque ou un agent du service anti-fraude de celle-ci. Il peut parfois aussi prétendre agir au nom d’une administration du monde bancaire ou financier (ACPR, BDF, AMF).
Son objectif est de vous mettre en confiance afin de vous faire valider une ou plusieurs opérations sur votre application ou d’obtenir des informations sensibles et personnelles comme vos données de carte bancaire, vos identifiants et vos codes d’accès. Ainsi, il pourra effectuer des paiements par carte ou des virements à son profit. Il peut parfois aller jusqu’à vider tous vos comptes et ceux de vos proches si vous y avez accès.
On parle de spoofing (usurpation d’identité en anglais) car les escrocs se font passer pour une personne susceptible de vous mettre en confiance.
Ils peuvent utiliser différents moyens de communication, parfois associés : SMS, téléphone, courriel ou site internet.
Le vishing (voice phishing) ou spoofing téléphonique : comment l’identifier et comment réagir ?
L’escroc vous téléphone et se présente comme un conseiller de votre banque. Grâce à un procédé technique facilement accessible, il peut parfois faire apparaître le véritable numéro de téléphone de cette dernière.
Il apparaît très rassurant et peut même vous rappeler de ne jamais communiquer vos informations personnelles par SMS, par téléphone ou par courriel !
Pour être plus crédible, il peut vous citer des informations bancaires confidentielles vous concernant (votre nom, celui de votre conseiller bancaire, votre adresse, votre numéro de compte), qu’il a obtenues en les achetant ou grâce à un précédent hameçonnage (phishing), par exemple par l’envoi de SMS (SMishing – SMS phishing) :
Ensuite, il prétend avoir détecté des mouvements suspects en cours sur votre compte. Alors qu’il a vous mis en confiance, il vous demande, afin d’annuler ces opérations en cours, de saisir sur votre application bancaire portable vos codes d’authentification forte ou de lui donner des codes que vous allez recevoir par SMS.
De cette façon, au lieu de les annuler, vous validerez ces opérations bénéficiant à l’escroc (augmentation du plafond des paiements, paiements par carte, ajout de bénéficiaires et exécution de virements).
En général, les escrocs vous incitent à agir dans l’urgence. Ils comptent sur cette pression pour vous empêcher de faire les vérifications vous permettant de détecter l’escroquerie.
Comment réagir :
Lorsque vous recevez un appel imprévu d’une personne prétendant appartenir à votre banque, raccrochez et bloquez le numéro.
Ne communiquez pas vos mots de passe et vos codes de sécurité reçus sur votre téléphone portable. Ceux-ci ne peuvent en aucun cas servir à annuler des opérations et jamais votre conseiller ne vous demandera ces informations, qui sont confidentielles.
Ne validez aucune opération sur votre application bancaire si vous ne l’avez pas initiée vous-même. Aucune validation de votre part n’est nécessaire pour bloquer un paiement frauduleux.
Ne cédez jamais à la pression, celle-ci doit au contraire vous alerter.
Pour en savoir plus :
Consultez les derniers communiqués sur les appels frauduleux publiés par la Banque de France et de l’Autorité des Marchés Financiers.
Le phishing ou spoofing par courriel, comment l’identifier et comment réagir ?
L’escroc vous adresse un courriel en usurpant l’identité de votre banque (par exemple pour vous avertir d’un incident de paiement ou mettre à jour vos données).
Attention, ce courriel peut contenir des liens menant à des sites internet nuisibles ou des pièces jointes infectées par des virus informatiques, permettant à l’escroc de prendre le contrôle de votre ordinateur et d’accéder à vos données personnelles. |
L’escroc procède de deux façons : soit en utilisant une adresse électronique quasiment identique à celle de votre banque (à quelques lettres ou chiffres près), soit en faisant apparaître l’adresse exacte de votre banque dans le champ « De » ou « Expéditeur ». Dans les deux cas, il vous invite à cliquer sur un lien de connexion à un site internet d’hameçonnage usurpant l’identité de votre banque.
Selon les escrocs, l’usurpation sera plus ou moins détectable. Elle est parfois très bien faite avec un courriel qui reprend tous les éléments graphiques utilisés par votre banque (logo ou la charte graphique). Ne vous laissez pas abuser.
Comment réagir :
Ne cliquez jamais sur les liens présents dans les courriels. Connectez-vous à votre espace client depuis votre application mobile, votre moteur de recherche ou à partir de vos favoris.
Vérifiez que l’adresse électronique de l’expéditeur ou du site internet est identique à celle de votre banque.
Vérifiez que l’adresse apparente est l’adresse réelle. Pour afficher cette dernière, positionnez le curseur de la souris sur le champ « De » ou « Expéditeur ».
Vérifiez le niveau de français du texte : orthographe, grammaire, syntaxe. Des erreurs peuvent confirmer que le courriel ne provient pas de votre banque.
En cas de doute, n’ouvrez pas les pièces jointes et contactez votre banque.
Exemples : le courriel a été envoyé de l’adresse secupass@orange.fr. Il y a usurpation d’identité de la Banque Populaire
Avec le site https://espacecompte-client.fr/Home/index.php, il y a usurpation d’identité de la Banque de France, de la Caisse d’Epargne, de la Société Générale et de Boursorama.
Que faire si pensez avoir été victime d’une fraude ?
- Contactez immédiatement votre banque (par téléphone et par écrit) ;
- Demandez la mise en opposition de vos cartes (en utilisant la plate-forme téléphonique) ;
- Changez vos mots de passe ;
- Portez plainte.
- Signalez le contenu sur la plateforme PHAROS, le portail officiel de signalement des contenus illicites de l’Internet
En résumé, quelles sont les bonnes pratiques contre la cybercriminalité ?
Il ne faut jamais :
- communiquer vos données bancaires à un tiers ;
- valider une opération sur votre application bancaire si vous ne l’avez pas initiée vous-même ;
- les noter sur un papier ou informatiquement (courriel, disque dur) ;
- répondre aux personnes se présentant comme des collaborateurs des banques ;
- ouvrir un lien reçu par courriel ou SMS ;
- confier votre carte ou vos autres moyens de paiement à un tiers (proche, coursier, etc.).
Par ailleurs, il faut :
- lire attentivement les alertes de votre banque ;
- toujours contacter votre banque par un canal sécurisé et connu ;
- mettre régulièrement à jour votre application bancaire ;
- équiper votre ordinateur d'un logiciel antivirus et d’un pare-feu ;
- créer un mot de passe de connexion robuste avec, si possible, des caractères nombreux et variés (lettres, chiffres, caractères spéciaux)
Pour en savoir plus :
Consultez également nos conseils pour détecter une arnaque et nos listes noires et alertes des autorités.