Phishing et usurpation d'identité

Vous avez reçu un courriel de votre hôtel en Espagne vous demandant de saisir vos coordonnées bancaires ? Un appel affichant le nom de votre banque à l'étranger ou de votre conseiller ? Méfiance ! Il peut s'agir d'une tentative d'escroquerie par hameçonnage ou usurpation d'identité. 

Description de la fraude

  • Vous recevez un e-mail avec le logo de votre banque allemande, d'une assurance, d’une administration, du transporteur de votre colis, de votre plateforme de streaming, de votre hôtel ou encore de la plateforme de voyages sur laquelle vous avez réservé.
  • Ce courriel vous demande de saisir vos informations personnelles, comme vos coordonnées bancaires et votre mot de passe. Ou il vous invite à cliquer sur un lien afin de réactualiser la base de données de l’organisme.
  • Le mail peut être accompagné d’une menace de clôturer votre compte sous huitaine en cas de non-exécution, et d’amendes administratives.
  • Vous tombez dans le piège et renseignez le fraudeur.
  • Une somme importante est prélevée sur votre compte bancaire.

Vous êtes victime de phishing (= pêche « fishing » au mot de passe « Password »)  : les fraudeurs usurpent une identité pour voler des données personnelles

Méthodes utilisées

  • L'e-mail met en avant une erreur financière en votre faveur (impôts, banque...). Vous serez alors invité à suivre des démarches pour vous faire rembourser.
  • Les fraudeurs peuvent se faire passer pour des plateformes en ligne d’achat/réservation de vacances ou de diffusion de contenu numérique ainsi que pour des réseaux sociaux.
  • Les règles de protection des données (le RGPD) peuvent être invoquées pour vous demander vos données.
  • Les fraudeurs simulent l’interface du site authentique pour vous faire rentrer des informations confidentielles (carte de crédit, pièce d’identité à télécharger). Ils utilisent l’intelligence artificielle pour générer des e-mails, des sites frauduleux, voire des vidéos (utilisation de deepfakes) qui imitent l’original de manière très réaliste.

Que faire si vous êtes victime de phishing ?

  •  Signalez l’escroquerie sur signal-spam.fr
  • Changez immédiatement vos mots de passe communiqués
  • Si vous avez donné vos coordonnées bancaires, faites opposition sur votre carte et surveillez vos compte.
  • Si votre compte a déjà été débité, déposez plainte auprès de la Police et mettez-vous en relation avec votre conseiller bancaire dans les plus brefs délais. Plus d’informations dans notre article "payer en Europe".

Comment éviter les pièges ?

Quelques règles fondamentales

  • Sachez qu'aucune banque ou organsime public ne demandent des informations importantes par mail.
  • Vérifiez auprès de l’organisme si le courriel ou le coup de téléphone provient de ses services. Si vous êtes client d’une société et que vous recevez un courrier inattendu de leur part, ne cliquez sur aucun lien dans ce mail. Appelez le service client ou connectez-vous directement sur votre compte en ligne.
  • Méfiez-vous des objets des courriels qui semblent frauduleux. Exemples : « vérification requise », « sécurisation de votre compte », « confirmation des données », « mise à jour de vos données d’utilisateur ». Cela ne signifie pas que chaque mail avec cet objet est frauduleux. Mais avant de l'ouvrir, il faut s’assurer qu’il provient d’une source fiable.
  • Vérifiez l’adresse courriel de l’émetteur : coïncide-t-elle avec le nom de la société ? Une banque ou toute autre administration n’utilise en principe pas de messagerie gratuite. De même, parfois, une ou deux lettres vont pouvoir trahir l’authenticité de l’adresse courriel utilisée, ou du site web.
  • Soyez vigilant face aux courriels mal orthographiés ou rédigés dans un français approximatif. 

Ne pas agir dans la précipitation

  • Ne cédez pas face aux menaces, surtout si l'on vous demande les informations par téléphone (on parle alors de Vishing ou Voice phishing).
  • N’envoyez jamais des informations personnelles comme vos coordonnées bancaires via Internet ou courriel. De même ne communiquez jamais votre mot de passe.

Les bons réflexes à avoir

  • Méfiez-vous des courriels non personnalisés et vous informant d’une nécessité de mise-à-jour de leurs fichiers.
  • Privilégiez l’authentification à deux facteurs, lorsque les sites où vous rentrez des informations personnelles vous le proposent. En plus du mot de passe, vous devrez renseigner un code à usage unique envoyé sur votre téléphone par exemple.
  • Si un site est mentionné dans un e-mail suspect, sollicitez l'avis d'un expert sur le site phishing initiative.
  • Demandez-vous si vous pouvez vraisemblablement recevoir des messages de la sorte.
  • Le mieux est de ne jamais ouvrir ce genre d’e-mail. Ne cliquez pas sur les liens et ne téléchargez pas les pièces jointes de mail provenant de destinateurs inconnus.  

Attention à l'usurpation d'identité en matière bancaire !

Les fraudeurs parviennent parfois à se faire passer pour des clients auprès de leurs banques. Pour cela, ils utilisent des coordonnées bancaires piratées et des échantillons audio disponibles en ligne et via les réseaux sociaux. En imitant la voix, ils demandent alors d'effectuer certaines opérations, comme des virements par exemple. Ils peuvent aussi appeler le centre d’appels pour demander de l'aide pour débloquer une carte bancaire.

Il existe aussi des escroqueries qui consistent à imiter les voix de vos proches en situation d’urgence. A l'aide de logiciels d’intelligence artificielle ils peuvent également imiter vos conseillers bancaires.

Conseils :

  • Si vous avez un doute sur la transaction,  raccrochez. Idem si l'on vous demande de confirmer l'opération ou vos coordonnées bancaires par téléphone.
  • Contactez ensuite votre conseiller ou la personne qui s'est présentée, via son numéro de téléphone dans votre carnet de contacts. Ne vous fiez pas au numéro affiché sur l’écran de votre téléphone !

Financé par l'Union européenne. Les points de vue et les opinions exprimés n'engagent toutefois que leur(s) auteur(s) et ne reflètent pas nécessairement ceux de l'Union européenne ou du Conseil européen de l'innovation et de l'Agence exécutive pour les petites et moyennes entreprises (EISMEA). Ni l'Union européenne ni l'autorité subventionnaire ne peuvent en être tenues pour responsables.