[COVID-19] Webinar : Les bons gestes pour éviter les fraudes bancaires

La situation particulière que nous vivons aujourd'hui est propice aux tentatives de fraude.

Plusieurs causes sont à prendre en compte :

1. Le confinement incite les personnes à effectuer la plupart de leurs achats en ligne.
2. La pénurie de certains produits tels que les masques ou les gels hydro alcooliques peuvent favoriser les arnaques.
3. La baisse des marchés financiers incite les épargnants à trouver des alternatives.
4. Les individus sont plus disposés aux dons en lignes pour le personnel soignant, les personnes âgées et vulnérables.

Selon l’ICANN (Internet Corporation for Assigned Names and Numbers), 100K enregistrements de noms de domaine comportant les expressions “covid”, “corona”, “virus” en mars 2020.

De nombreuses alertes ont été lancées par les autorités. Elles encouragent les états à maintenir leurs efforts contre la fraude et le blanchiment et appellent à la vigilance les consommateurs et les professionnels face aux escroqueries liées au COVID.Afin de vous aider à mieux anticiper ces arnaques, lors de notre dernier webinar, nos deux experts Pauline Heitz (Head of Compliance chez LemonWay) et Jean-Eloi Rateau (Head of Compliance chez Qonto) ont partagé les exemples de fraudes les plus communs et les bons gestes à suivre.

Voici le résumé de ce webinar.

Dans ce cas de fraude, le fraudeur réussi à obtenir :

• votre email
• votre identifiant et mot de passe
• votre code SMS généré en cas d’opération sensible

Avec ces informations, le fraudeur peut effectuer des opérations non autorisées sur le compte

• Paiement par carte en ligne (achats e-commerce, cartes pré-payées…)
• Virement vers un compte externe
• Commande de carte physique
• Modification des IBAN de certains bénéficiaires

Vous vous demandez sûrement comment le fraudeur a obtenu ces informations ? Malheureusement, ce dernier a plus d’une méthode pour ce faire… Les voici : 1. Vol du mot de passe

Phishing : Réception d’un email qui vous oriente vers un faux site, reprenant la charte graphique de votre banque, sur lequel vous êtes invité à saisir votre identifiant et mot de passe.

Annuaire de mot de passe compromis : Vous utilisez le même mot de passe sur différentes plateformes. Ce mot de passe a été compris sur une plateforme.

Boite mail compromise : Un tiers parvient à se connecter à votre boite mail et réinitialise votre mot de passe de connection.

Brut force : Le hacker teste, à l’aide d’un script, l’ensemble des mots de passe possibles pour trouver le bon.

Ingénierie sociale : Une personne vous contacte, se présentant souvent comme un salarié de votre banque. Il gagne votre confiance et vous demande de vous communiquer votre mot de passe.

2. Vol du code de sécurité (SMS):

Ingénierie sociale : le fraudeur vous contacte et gagne votre confiance. Il parvient à vous convaincre de lui communiquer votre code SMS à usage unique.

Sim Swap : Le fraudeur parvient à convaincre votre opérateur téléphonique de désactiver votre carte SIM et d'émettre une autre carte SIM associée au même numéro. Il peut ainsi recevoir le code SMS directement

• Choisissez des mots de passe “forts” et ne les réutilisez pas. Vous pouvez vérifier si votre mot de passe a des chances d’avoir été compromis ici.
• Autant que possible, activez l’authentification forte sur vos comptes
• Ne communiquez jamais vos données de sécurité à des tiers (jamais votre banque ne vous demandera ces informations).
• Ne cliquez pas sur des liens liés à un mail suspicieux (fautes d’orthographe, structure de mail…)
• Activez les notifications liées aux opérations de votre compte et suivi l’activité de votre compte.

• Bloquez vos moyens de paiement (notamment les cartes).
• Révoquez les accès que vous pensez compromis.
• Changez vos données de sécurité (mot de passe, mode d’authentification forte lorsque cela est possible).
• Contactez votre service client le plus rapidement possible, qui pourra : - Vous conseiller- Suspendre votre compte rapidement- Investiguer Annuler/contester les opérations non autorisées
• Signalez les sites douteux à votre service client et sur la plateforme PHAROS.
• Portez plainte au commissariat.

L’escroquerie en ligne se caractérise dans le contexte actuel par les typologies suivantes :

Crowdfunding Don / Crowdlending

• Faux projets d’investissement
• Faux projets de donation / Fausses cagnottes
• Fausses associations
• Fraude documentaire

Marketplace / Ecommerce

• Fausse activité / sites vitrines
• Vente de produits non autorisés
• Fausses prestations de services
• Vente de produits et services non conformes à la réglementation édictée dans le contexte COVID

Tentatives d’intrusion / Attaques sur des transactions

• Assurer une veille réglementaire et de l’actualité afin de pouvoir effectuer des contrôles de cohérence.
• S’étonner de toute atypicité soit sur des clients existants ou sur de nouvelles relations d’affaires, soit sur des opérations.
• Ne pas accéder trop rapidement à toutes les demandes formulées dans un élan de solidarité, prendre le temps de la réflexion et rester impartial (notamment sur les actions à but caritatif) - le contexte COVID n’autorise pas tout !
• Ne pas procéder à l’ouverture d’un compte de paiement ou à l’Onboarding d’un nouveau partenaire dès lors qu’une suspicion existe.
• Être particulièrement vigilant sur les demandes considérées comme urgentes dans le contexte de crise.
• Sensibiliser ses équipes sur ce type de comportement afin que tous puissent avoir le même niveau de connaissance et soient en mesure d’adopter des mesures adaptées.
• Effectuer un contrôle renforcé : undefinedundefined
• Effectuer un contrôle renforcé sur les sites Internet des Marketplace / E-commerçants qui souhaitent entrer en relation avec Lemon Way (intitulé, existence, objet, redirection, qualité / demandes d’informations complémentaires sur l’activité.
• S’assurer systématiquement de la conformité de l’activité par rapport aux décrets / exigences réglementaires liées au COVID (ex: réquisitions dans le cadre du COVID / prix limites fixés).
• Maintenir une vigilance accrue sur des comportements frauduleux pouvant se multiplier dans un contexte de crise : Fraude documentaire, Fraude au Président, Tentatives d’intrusion.
• S’assurer régulièrement de l’état de la sécurité informatique et tout incident de sécurité survenu.
• Remonter et consigner les incidents opérationnels liés au contexte COVID, à toute attaque survenue dans le contexte de crise afin d’identifier des actions à mettre en oeuvre et des correctifs.

• Se référer aux mesures exceptionnelles prises par les gouvernements des différents États dans le contexte COVID (cas des pièces expirées / activité de vente de masques)
• Procéder à des demandes complémentaires d’information auprès des clients dès qu’un doute naît (mieux vaut prévenir que guérir !)
• Se référer aux bonnes pratiques et aux mises en garde de la Direction Générale de la Concurrence, de la Consommation et de la Répression des fraudes (notamment sur les activités) ainsi qu’aux mises en garde des autorités de Régulation (Autorité de Contrôle Prudentiel et de Résolution / Autorité des Marchés Financiers) ainsi qu’aux textes réglementaires édictés dans le contexte de crise.
• Mettre en place un système d’escalade au sein de votre structure.
• Adapter le canal de remontée d’alerte en fonction du degré d’urgence du cas (mail, téléphone).
• Procéder directement à des actions de gel de compte ou de refus d’entrer en relation si la suspicion est avérée et qu’un comportement frauduleux est identifié.

• “Arnaque au Covid-19 : plusieurs millions d'euros de préjudice” par RTL
• “1 min de lectureCoronavirus Arnaque au Covid-19 : plusieurs millions d'euros de préjudice” par RTL
• DGCCRF
• Autorité bancaire européenne
• Groupe d’action financière
• Mairie de Paris
• AMF et ACPR
• Interpol
• AMF