Recrudescence de l’hameçonnage bancaire (DSP2)
extorsion hameçonnage message frauduleux
Vous avez reçu un message (e-mail ou SMS) qui semble provenir de votre banque ? Ce message vous invite par exemple à vérifier, compléter ou mettre à jour vos informations personnelles liées à votre compte bancaire, à activer une fonctionnalité de sécurité mise en place par votre établissement ou, plus alarmiste, vous informe qu’une activité inhabituelle a été détectée sur votre compte ? Bien souvent, ce message vous précise également que, sans une action rapide de votre part, vous risquez une suspension ou une interdiction de vos opérations bancaires.
Attention ! Vous êtes fort probablement face à une tentative d’hameçonnage bancaire (ou phishing bancaire). L’objectif des cybercriminels est de dérober les identifiants de connexion à votre compte bancaire en ligne pour le pirater ou de récupérer les coordonnées de votre carte bancaire.
Cybermalveillance.gouv.fr a constaté une recrudescence de messages d’hameçonnage sur le thème de la sécurité des comptes bancaires en ligne lié à la mise en place de la 2e Directive européenne sur les Services de Paiements (DSP2, voir notre encadré). Des cybercriminels exploitent ce sujet d’actualité afin de rendre plus crédibles leurs tentatives d’escroquerie.
Cet article analyse les ressorts de l’hameçonnage bancaire et vous délivre des conseils pour y faire face.
1. Comment se déroule l’hameçonnage bancaire ?
L’hameçonnage (phishing en anglais) est une technique frauduleuse qui vise à usurper l’identité d’une marque ou d’une organisation connue pour inciter la victime à fournir des informations confidentielles et personnelles ou professionnelles (mot de passe, compte d’accès, données bancaires…).
Dans le cas de l’hameçonnage bancaire, l’escroquerie commence par la réception d’un courriel (e-mail) ou d’un SMS qui semble provenir de banques telles que La Banque Postale, le Crédit Agricole, LCL, BNP Paribas, la Société Générale, le Crédit Mutuel, le CIC, la Banque Populaire, la BRED, la Caisse d’Épargne… , de service de paiement tel que PayPal, ou bien encore d’organismes de crédit comme Carrefour Banque, Cetelem, Cofidis ou Floa Bank.
Le message frauduleux a souvent pour objet une action à effectuer par son destinataire qui concerne ses informations personnelles ou la sécurité de son compte bancaire. Par exemple, « Vérification de vos coordonnées ! », « Action obligatoire – Activation de sécurité », « [SERVICES – Clientèle ] Nouveaux services : Votre authentification », « Sécurité : Veuillez mettre à jour vos informations personnelles », « Nouvelle réglementation DSP2 » ou plus simplement « Important ! », « Information », « Consultez votre messagerie »…
Le nom de l’expéditeur affiché peut lui aussi être trompeur. Il s’agit en général du nom de la banque dont l’identité est usurpée et/ou l’utilisation de mots clefs tels que « Service client », « Espace client »…, pour tromper la vigilance de la victime et détourner son attention de la véritable adresse e-mail de l’expéditeur.
Exemples de noms d’expéditeur et d’intitulés de messages frauduleux :
Dans de nombreux cas, le message frauduleux informe que la banque procède à un renforcement de la sécurité des accès aux comptes de ses clients et des paiements par carte bancaire et qu’il est nécessaire de mettre à jour certaines informations, d’enregistrer les appareils utilisés pour accéder au compte en ligne ou d’activer un service de sécurité mis en place par la banque.
Bien souvent, le message est anxiogène et alarmant. Il précise par exemple que, sans action rapide de sa part, la victime ne pourra plus effectuer d’opérations ou que son compte bancaire sera bloqué.
Exemples de SMS malveillants :
Avec des arguments sur la sécurité du compte bancaire, les cybercriminels exploitent des sujets d’actualité réels, tels qu’actuellement la mise en place en 2021 de la 2e Directive européenne sur les Services de Paiements, également appelée DSP2. L’une des principales mesures de cette directive est effectivement d’instaurer des normes de sécurité plus strictes concernant les accès aux comptes bancaires et les paiements par carte bancaire sur Internet sur lesquels toutes les banques communiquent vers leur clientèle (voir notre encadré sur la DSP2).
Exemples de messages frauduleux reçus par e-mail :
Le message reçu contient toujours un lien que la victime est invitée à suivre pour accéder à son compte en ligne. Elle est alors redirigée vers un site Internet trompeur créé par des escrocs et, plus précisément, vers la page de connexion à son compte en ligne. En général, cette fausse page d’accès est une réplique très fidèle, voire identique, à celle du véritable site Internet de la banque dont l’identité est usurpée. La victime se sent alors en confiance pour saisir, comme à son habitude, ses identifiants (numéro de compte et date de naissance, par exemple) et son mot de passe.
Dans de nombreux cas, un message informe alors la victime qui s’est « connectée » à son compte qu’elle doit également confirmer ses informations de carte bancaire. Le site Internet présente alors un formulaire habituel de saisie du numéro de carte, de sa date de validité et du code à 3 chiffres figurant à son dos, également appelé « cryptogramme ».
Parfois, il est également demandé à la victime de confirmer son numéro de téléphone mobile. L’escroc pourra avoir aussi mis en place un système de vérification en transmettant un code par SMS au numéro de téléphone indiqué. Il est alors demandé à la victime de saisir ce code sur le site Internet frauduleux.
Une fois l’hameçonnage terminé, la victime est généralement redirigée vers le véritable site Internet de sa banque, ce qui peut la laisser croire qu’il y a eu un dysfonctionnement (bug) ou une déconnexion imprévue. La victime pourra alors être tentée de se reconnecter, à son véritable compte cette fois, ou plus simplement penser que les actions demandées par sa banque sont terminées.
La 2ème Directive européenne sur les Services de Paiements (DSP2)
Entre autres mesures, cette réglementation européenne vise à renforcer la sécurité des paiements en ligne et celle de l’accès à votre banque en ligne ou à votre application bancaire.
Pour cela, la DSP2 rend obligatoire l’« authentification forte », également appelée « authentification à deux facteurs » ou encore « double authentification ».
Concrètement, ce dispositif d’authentification renforcée nécessite au minimum deux facteurs d’identification parmi les trois éléments suivants : une information que vous seul connaissez (code secret ou mot de passe), un appareil que vous détenez (téléphone, ordinateur ou un petit appareil dédié fourni par votre banque…) et un système de reconnaissance
qui vous est propre (reconnaissance vocale ou faciale, empreinte digitale).
Ainsi, il vous sera par exemple demandé de saisir votre mot de passe d’accès à votre compte puis un code reçu par SMS ou d’effectuer une reconnaissance de votre empreinte digitale pour l’accès à votre application bancaire.
Cette double authentification s’applique pour les paiements en ligne de plus de 30 euros et au moins tous les 90 jours pour l’accès à votre banque sur Internet ou sur votre application bancaire mobile. Certaines banques l’exigent également pour des opérations sensibles telles que l’ajout d’un compte bénéficiaire dans votre espace client.
Dans ce cadre, de nombreuses banques proposent leurs propres services d’authentification forte. Citons par exemple parmi les plus grands réseaux bancaires, les solutions Certicode et Certicode Plus de La Banque Postale, SécuriPass du Crédit Agricole, la Clé digitale de BNP Paribas ou encore Sécur’Pass de la Caisse d’Épargne…
Le dispositif d’authentification forte est progressivement appliqué par les banques et les commerces en ligne depuis septembre 2019 et devrait se finaliser en 2021.
2. Quelles conséquences de l’hameçonnage bancaire ?
Sur le site Internet frauduleux, les informations de connexion saisies par la victime sont récupérées par les escrocs qui pourront les utiliser directement ou alors les revendre à d’autres cybercriminels qui en feront usage à leur tour, pour se connecter au compte bancaire de la victime afin de mener des actions malveillantes. Citons, par exemple, l’ajout de comptes bénéficiaires, la réalisation de virements et/ou de prélèvements frauduleux, le vol d’informations personnelles (identité, numéros de téléphone, adresse e-mail…) puis la modification de certaines de ces informations et du mot de passe, le vol de RIB ou de relevés de comptes…
Ces informations dérobées pourront par la suite être utilisées, non seulement pour mener des escroqueries directement liées au compte bancaire de la victime, mais aussi pour des tentatives d’usurpation d’identité, voire d’hameçonnage ciblé sur la victime.
De plus, en communiquant ses données de carte bancaire, la victime s’expose à des achats ou des paiements frauduleux réalisés par les escrocs qui les ont dérobées ou par d’autres cybercriminels qui les auront achetées. Il s’agira notamment pour eux d’effectuer des achats en ligne de produits ou services.
3. Comment ont-ils eu votre adresse de messagerie ou votre numéro de téléphone ?
Pour obtenir votre adresse de messagerie ou votre numéro de téléphone, les escrocs peuvent recourir à différentes méthodes comme l’hameçonnage, qui est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des informations personnelles (identité, mots de passe…) en lui envoyant un message usurpant l’identité d’un tiers de confiance..
Par ailleurs, votre adresse de messagerie et votre numéro de téléphone circulent déjà probablement sur Internet. En effet, vous les avez déjà renseignés sur différents sites Internet ou les utilisez régulièrement pour vous identifier et communiquer. Ces sites ont parfois revendu ou échangé leurs fichiers d’adresses de messagerie avec différents partenaires, dont certains peu scrupuleux, dans des objectifs marketing. Ces fichiers d’adresses sont parfois également dérobés ou récupérés par des cybercriminels pour être utilisés dans des campagnes frauduleuses, pour des attaques par hameçonnage, à l’instar de l’hameçonnage bancaire.
Les informations dérobées circulent entre cybercriminels sous forme de fichiers qu’ils s’échangent ou se revendent entre eux.
Les escrocs multiplient leurs « chances » en usurpant l’identité des principales banques et chaque message d’hameçonnage bancaire est envoyé à un très grand nombre d’adresses e-mails. En général, les expéditeurs de ces messages ne savent pas si les propriétaires de ces adresses sont clients de tel ou tel établissement.
En effet, vous avez certainement déjà reçu des messages de banques dont vous n’étiez pas client et qui vous invitaient à vous connecter à votre compte pour une quelconque raison. Vous vous êtes possiblement dit alors qu’il pouvait s’agir d’un tentative d’escroquerie. Lorsque vous recevez un message qui semble provenir de votre banque, ayez le même réflexe, soyez vigilant !
4. Que faire si vous recevez un message d’hameçonnage bancaire ?
En préalable, sachez que votre banque ne devrait jamais vous adresser de message contentant un lien direct vers la page de connexion à votre compte. De même, elle ne vous demandera jamais dans un message ou par téléphone de fournir directement vos identifiants, mot de passe, code secret ou toute autre information confidentielle.
N’accédez jamais à votre compte bancaire en suivant un lien contenu dans un e-mail ou un SMS. Privilégiez par exemple un accès par un lien favori que vous aurez vous-même créé ou encore par votre application bancaire.
- Au moindre doute, contactez directement votre banque ou votre conseiller bancaire pour confirmer le message que vous avez reçu. Si on vous indique que votre banque n’est pas à l’origine de l’envoi de ce message, considérez qu’il s’agit d’une tentative d’arnaque.
- Au moindre doute également, n’ouvrez pas les courriels ou leurs pièces jointes et, également dans le cas de SMS, ne cliquez jamais sur les liens. Tous nos conseils et nos recommandations sur l’hameçonnage (phishing en anglais).
- Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer). Sur votre téléphone mobile, faites un appui long sur le lien contenu dans le message (e-mail). Cela affichera l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance.
- Si vous avez cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, il s’agit certainement d’un site frauduleux. Il suffit parfois d’un seul caractère changeant pour vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page correspondante.
- Signalez tout message (mail) ou site douteux à Signal Spam. S’il s’agit d’un SMS, signalez-le sur la plateforme 33700 ou par SMS au 33 700 (service gratuit). Ces services feront bloquer l’émetteur du message.
- Signalez l’adresse du site d’hameçonnage à Phishing Initiative qui demandera le blocage de ce site.
- Signalez également les messages et sites douteux aux établissements bancaires ou financiers dont l’identité est usurpée. Ces banques disposent généralement d’adresses ou de formulaires de contact par messageries dédiées pour recevoir des informations sur les fraudes les concernant et agir afin de faire supprimer les sites frauduleux. Par exemple :
- Banque Populaire / BRED : alerte-phishing-bp@bpce.fr
- Caisse d’Épargne : alerte-phishing-ce@bpce.fr
- La Banque Postale : alertespam@labanquepostale.fr
- Crédit Agricole : cert@credit-agricole.com
- Crédit Mutuel : phishing@creditmutuel.fr
- Société Générale : securite@societegenerale.fr
- PayPal : spoof@paypal.com
- ING : securite.fr@ing.com
- Signalez les faits à la plateforme de signalements PHAROS du ministère de l’Intérieur : Internet-signalement.gouv.fr.
5. Et si vous êtes victime d’hameçonnage bancaire ?
- Prévenez au plus vite votre banque. Informez-la de votre situation et précisez l’ensemble des informations que vous auriez pu communiquer aux escrocs.
Si votre établissement est fermé, vous disposez peut-être de moyens de contact direct avec votre agence ou votre conseiller (numéros de téléphone, adresse de messagerie (mail), message privé sur les réseaux sociaux). Tentez alors de leur laisser un message qui pourrait attester du moment où vous avez essayé de les joindre. - Faites opposition immédiatement. Si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre banque ou via le service interbancaire d’opposition à carte bancaire au 0 892 705 705 (ouvert 7 jours/7 et 24h/24), numéro surtaxé : coût d’un appel vers un numéro fixe + 0,34 € TTC/min, depuis un téléphone fixe ou mobile.
- Demandez à votre banque la réinitialisation de votre mot de passe. Assurez-vous préalablement avec votre banque que les informations de contact associées à votre compte (adresse de messagerie, adresse postale, numéro de téléphone de contact…) n’ont pas été modifiées par les cybercriminels. Vérifiez également si des comptes bancaires bénéficiaires n’ont pas été ajoutés sur votre compte. Si c’est le cas, sauvegardez ces preuves. Si le choix vous est proposé, ne réutilisez évidemment pas le même mot de passe que celui qui a été compromis.
- Demandez à votre banque le remboursement d’éventuelles opérations frauduleuses. Certaines banques demandent la preuve du dépôt de plainte pour enclencher le remboursement. Notez que ce remboursement ne peut pas être considéré comme acquis s’il résulte d’une négligence de votre part.
- Conservez les preuves et, en particulier, le message malveillant reçu.
- Si vous constatez des opérations frauduleuses réalisées avec votre carte bancaire, signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur.
- Déposez plainte au commissariat de police ou à la brigade de gendarmerie ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par l’association France Victimes au 116 006 (appel et service gratuits), qui opère le numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h. - Signalez le message reçu et le site d’hameçonnage aux différents services présentés au chapitre précédent.
- Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits). Le service est ouvert de 9h à 18h30 du lundi au vendredi.
Retrouvez également tous nos conseils et recommandations concernant la fraude à la carte bancaire.
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :
• Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.
• Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.
• Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de trois ans d’emprisonnement et de 100 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine encourue est de cinq ans d’emprisonnement et de 150 000 euros d’amende.
• Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.
Dernière mise à jour : 3 novembre 2021