Phishing : gare aux pêcheurs en eaux troubles !

18/11/13 à 10:32 - Mise à jour à 10:32

Depuis deux ans, les cas de phishing ont augmenté de manière spectaculaire. Késako ? Il s'agit d'une tactique frauduleuse consistant à essayer de vous extorquer, par e-mail ou par téléphone, vos codes bancaires afin de prélever de l'argent sur vos comptes.

Les banques améliorent sans cesse leurs systèmes afin de sécuriser au maximum l'accès à la banque par internet, mais rien ne semble arrêter les cybercriminels. Depuis deux ans, les cas de fraudes ont augmenté de manière exponentielle. Comment ? Grâce à une technique appelée phishing(ou hameçonnage). Comparable à un car-jacking en ligne, elle consiste à essayer de vous soutirer à distance, et de manière aussi subtile que possible, vos codes bancaires. Pour arriver à leurs fins, les fraudeurs vous demandent votre aide par e-mail ou par téléphone.

Nouvelles tactiques

" Les fraudeurs ont changé de tactique, " met en garde Bob De Leersnyder, chez Febelfin, la Fédération belge des groupements financiers. "Jusqu'en 2011, ils se servaient principalement de logiciels malveillants (malware en anglais) qui se faufilent en douce dans votre ordinateur via Internet et manipulent les communications électroniques entre la banque et le client. Mais cette technique de manipulation a perdu de son efficacité depuis que les banques la détectent toujours mieux. Résultat : en 2010, les fraudes bancaires avaient quasi disparu.

Las, à partir de 2011, on assiste à une résurgence des cas de phishing, avec une hausse spectaculaire en 2012. L'année passée, en Belgique, 1.003 cas ont ainsi été répertoriés, pour une perte totale nette de près de 3 millions d'euros. Et les choses ne semblent pas s'arranger, puisqu'on déplore déjà, pour le seul premier semestre 2013, 838 nouveaux cas de fraude, soit une perte nette de 2,7 millions d'euros, presque autant qu'en 2012 en moitié moins de temps.

Créer la confiance

"La méthode que l'on voit surgir depuis 2011 fonctionne comme suit : vous recevez tout d'abord un e-mail pour vous avertir que votre banque va procéder à un entretien de son système. Dans ce mail, on vous demande de compléter un formulaire en ligne ou en attachement, et de donner, par exemple, votre numéro de téléphone et votre numéro de carte bancaire.

Ensuite, le fraudeur vous contacte par téléphone. Il se présente comme un employé de votre banque et affirme devoir procéder à une vérification de service ou vous annonce que votre compte a été bloqué pour des raisons de sécurité et qu'il va le débloquer avec vous. Pour ce faire, il vous demande de vous connecter, comme d'habitude, et de lui communiquer le code réponse de votre lecteur de carte. Cela vous semble un peu gros ? Pourtant, les fraudeurs font en sorte de créer subtilement un lien de confiance avec leur interlocuteur. Ils disent, par exemple : "Si cela vous est difficile maintenant, je peux rappeler ce soir." Et quelques heures plus tard, la même personne vous rappelle, ce qui crée aussitôt un lien de confiance. Cette technique a même un nom : l'ingénierie sociale.

Les fraudeurs ne craignent pas de revenir à la charge et de mettre la pression, au cas où la personne ne se laisse pas faire. Ils vous menacent, par exemple, d'une fermeture de compte en cas de non coopération."

Un homme (une femme) averti(e)...

Pour sensibiliser le public à ce phénomène, Febelfin a sorti ce été une deuxième vidéo consacrée au sujet. Elle a déjà été vue près de 500.000 fois sur youtube. On y voit de quelle manière un hacker parvient à voler complètement la vie d'une personne en lui extorquant ses données privées, ce qui équivaut à un vol d'identité en ligne. "Le film exagère peut-être un peu mais il est destiné à faire réfléchir et inciter les gens à protéger au maximum leurs données personnelles," précise Bob De Leersnyder. "Le système de paiement des banques n'a encore jamais été hacké en Belgique. C'est pourquoi les fraudeurs se tournent directement vers les clients. En 2012 et 2013, plus de 2000 personnes se sont laissé prendre et ont communiqué leur signature électronique (code réponse) par téléphone ou par e-mail. On n'est jamais trop prudent ! Si quelqu'un vous demande par téléphone de vous connecter en sa présence, vous avez à tous les coups affaire à un fraudeur. Celui-ci s'arrange toujours pour que vous n'arriviez jamais à le rappeler ou le contacter. C'est lui qui tire les ficelles."

Si le mal est fait, comment réagir ? "Cela dépend des cas," répond Bob De Leersnyder. "On peut parfois agir si le virement est tout récent. On essaie alors de récupérer la somme. Sinon, l'argent est perdu."

CONSEIL Avertissez aussi vite que possible la banque et la police. La banque enquête toujours en cas de fraude et rembourse le client, sauf cas de négligence évidente ou d'intention frauduleuse.

5 astuces pour bloquer le phishing

1. Tout comme le code de votre carte bancaire, le code réponse de votre lecteur de carte est secret. Personne ne doit vous le demander. Ne répondez jamais si on vous le réclame par e-mail ou au téléphone, même si la personne assure être de la police ou travailler au sein de votre banque.

2. N'utilisez votre code réponse que pour des opérations que vous voulez faire ou que vous attendez.

3. Vous avez un doute en cours de transaction, la procédure de signature électronique semble différente ?Interrompez-vous aussitôt et contactez votre banque.

4. Contrôlez régulièrement vos extraits de compte.

5. Sécurisez au maximum votre PC, téléchargez un bon antivirus (récent) et verrouillez votre connexion wifi.

Nos partenaires