Fraudes bancaires : comment les détecter et vous protéger ?

Depuis plusieurs mois, les arnaques au faux conseiller bancaire se multiplient. Elles ciblent aussi bien les clients particuliers que professionnels. Menées par téléphone, ces campagnes de fraudes s’appuient sur des informations dérobées via plusieurs méthodes : piratage de compte bancaire, phishing, etc. Le faux conseiller indique que des virements ou paiements frauduleux ont été détectés et invite le client à les annuler. En réalité, cela a l’effet inverse et le client valide des opérations frauduleuses.

Attention, ce type d’escroquerie est en vogue et les clients de toutes les banques françaises sont visés. C’est donc l’occasion de faire un point sur les différentes fraudes et arnaques bancaires existantes. Comment s’en protéger en amont ? Comment les reconnaître ? Que se passe-t-il si vous êtes victime d’un piratage de compte bancaire ? Identifiez rapidement les différentes situations et protégez votre compte bancaire professionnel avec notre rappel des bonnes pratiques.

Si les arnaques bancaires exploitent les failles de sécurité informatique, la plupart d’entre elles profitent également des failles humaines pour arriver à leurs fins. En étant conscient(e) des mécaniques habituelles des escrocs, vous augmentez vos chances de les repérer rapidement et d’échapper à de lourdes conséquences financières.

L’ingénierie sociale est la base de nombreuses arnaques, qu’elles soient financières ou non. Pour arriver à leurs fins, les escrocs exploitent les biais cognitifs. Ils créent les conditions pour manipuler les émotions et les instincts de leurs cibles. C’est ce qui les amène à réaliser des actions qui vont contre leur propre intérêt : partager des informations personnelles, télécharger des fichiers malveillants ou réaliser des opérations qui compromettent leur sécurité.

L’une des techniques habituelles de l’ingénierie sociale est de se faire passer pour une marque de confiance ou un(e) représentant(e) de l’autorité. En entreprise, par exemple, vous pouvez recevoir un e-mail qui a l’air de provenir d’un des outils que vous utilisez au quotidien (phishing), ou bien recevoir un appel d’une personne représentant a priori une personne hiérarchiquement supérieure (fraude au président). L’arnaque joue sur nos instincts : accorder confiance, respecter l’autorité, etc.

Les escrocs créent aussi les conditions pour que les personnes visées se posent le moins de questions possibles sur la légitimité de la demande, en créant l’urgence. Ils vont insister sur la nécessité de réaliser l’opération au plus vite, en contournant éventuellement la chaîne de validation habituelle - et en demandant à la victime de l’escroquerie de ne pas en parler autour d’elle.

En étant pressé(e), il est facile d’agir de manière irréfléchie. Si vous recevez un message émanant supposément de votre banque qui vous demande de réaliser une opération immédiatement, prenez des précautions. Il s’agit probablement d’une escroquerie.

Les fraudes et arnaques sont en constante évolution et deviennent de plus en plus sophistiquées. Vous pouvez cependant vous en protéger en étant au fait de ces méthodes et en respectant des bonnes pratiques de sécurité.

Qu’est-ce que le phishing ?

Appelée hameçonnage en français, vous avez sans doute déjà rencontré ce type d’escroquerie dans votre vie de particulier. Il s’agit d’e-mails malveillants qui se font passer pour un tiers de confiance, comme une entreprise ou une administration.

Leur but est d’obtenir des données personnelles pour usurper l’identité de la personne ou l’amener à faire une action spécifique (partage de mot de passe, paiement frauduleux, etc). En cliquant sur un lien de l’e-mail, l’utilisateur installe par exemple à son insu un programme malveillant.

Dans le cadre bancaire, ces courriers électroniques invitent la personne à se connecter au site de sa banque ou à son compte bancaire, sous couvert de sécurité. Sauf qu’ils redirigent en fait vers un site pirate, qui va enregistrer les informations personnelles de l’utilisateur.

L’e-mail reste aujourd’hui le vecteur principal des attaques par phishing, mais ce n’est pas le seul canal utilisé par les hackers. Ceux-ci s’adaptent à mesure que les habitudes numériques évoluent. On observe de plus en plus d’hameçonnage par sms, aussi appelé smishing, et même par WhatsApp.

Comment se protéger du phishing ?

Oubliez les e-mails truffés de fautes d’orthographe que vous avez sans doute reçus à une époque. Aujourd’hui, la plupart des e-mails de phishing sont confondants de réalisme et sont plus difficiles à repérer.

Voici quelques bonnes pratiques pour se protéger de l’hameçonnage :

• Soyez attentifs à des e-mails qui contiendraient les informations suivantes (ou du même type) : « Nous avons remarqué un problème sur votre compte », « Votre compte est suspendu, fournissez des informations complémentaires », etc.
• Ayez le réflexe de vérifier l’adresse e-mail. Elle est généralement très ressemblante mais comporte une différence par rapport au vrai nom de domaine de l’entreprise en cas d’hameçonnage. S’il y a une différence entre le nom de la personne qui envoie l’e-mail et le nom dans l’adresse e-mail, c’est également un bon indicateur d’une tentative de fraude.
• Ne cliquez pas sur des liens et ne téléchargez pas de pièces jointes en cas de doute. Survolez le lien avec le curseur de votre souris pour vérifier l’adresse du site sur lequel vous serez redirigé(e). Pour les pièces jointes, vérifiez d’abord le contenu global de l’e-mail et téléchargez-les seulement si vous êtes certain(e) que l’e-mail est légitime.
• Méfiez-vous des e-mails qui insistent sur le caractère urgent de la demande. Comme évoqué précédemment, c’est un des ressorts principaux des fraudes.
• Si vous avez déjà cliqué sur le lien, vérifiez que le site sur lequel vous êtes est sécurisé : le cadenas doit apparaître en haut à gauche, avant l’URL, et la connexion doit se faire en https. Vérifiez également que vous pouvez cliquer sur tous les boutons de la page. Souvent, les fraudeurs n’imitent que la page de connexion et oublient les autres pages et boutons du site.

Votre banque ne vous demandera jamais vos informations confidentielles, qu’il s’agisse de votre code secret, de vos identifiants de connexion, de votre numéro de carte de paiement, etc, par e-mail, SMS ou téléphone. Si vous avez un doute sur un e-mail reçu, connectez-vous directement sur votre application bancaire et contactez votre conseiller via le chat ou la messagerie sécurisée. Vous pouvez aussi utiliser un autre canal de communication, comme le téléphone, pour vérifier la véracité de la demande.

En entreprise, se protéger du phishing est clé. Tous les collaborateurs peuvent être ciblés et dévoiler des informations sensibles. Formez vos équipes pour protéger votre entreprise.

• Faites des rappels réguliers sur les bonnes pratiques de sécurité concernant les e-mails.
• Organisez des fausses campagnes de phishing (vous-même ou via des entreprises spécialisées) pour tester vos collaborateurs, et débriefez des résultats avec eux.

Qu’est-ce que la fraude au faux conseiller bancaire ?

Comme évoqué en introduction, la fraude au conseiller bancaire est de plus en plus répandue. Un escroc se fait passer pour votre conseiller ou un agent du service anti-fraude de votre banque. Il s’appuie sur des informations obtenues via les réseaux sociaux, mais également par phishing : votre identité, votre numéro de compte, etc.

L’interlocuteur indique avoir identifié des opérations frauduleuses sur le compte bancaire, et, sous couvert de les bloquer, va demander à la victime de partager les codes reçus par SMS ou de se connecter à son application bancaire. En réalité, l’escroc valide les opérations frauduleuses, qu’il s’agisse de paiements par cartes, de virements, etc.

Encore une fois, aucun conseiller bancaire ne doit vous demander vos informations confidentielles par téléphone. Si c’est le cas, raccrochez et joignez votre conseiller via votre application bancaire ou appelez directement son numéro.

Comment s’en protéger ?

Pour éviter de tomber dans le piège de l’arnaque au faux conseiller bancaire, respectez ces règles :

• Comme pour les e-mails et SMS, méfiez-vous si vous recevez des appels alarmants, qui insistent sur l’urgence de vérifier des opérations frauduleuses ou de réaliser certaines vérifications.
• N’effectuez jamais d’opérations sur demande. Votre vrai conseiller bancaire ne vous demandera jamais d’effectuer un virement ou un paiement en étant au téléphone avec vous. Même si votre interlocuteur vous informe qu’il souhaite annuler les opérations, ne les validez pas. Raccrochez et prenez le temps de vérifier les informations par vous-même.
• En cas de doute, vérifiez l’information par un autre canal : contactez votre banque via votre application bancaire ou votre messagerie sécurisée.
• Ne partagez jamais vos informations confidentielles (mot de passe, code de sécurité, etc), que ce soit par téléphone ou par un autre moyen de communication.

Si vous pensez que les escrocs ont réellement eu accès à votre compte bancaire et si vous repérez des opérations frauduleuses (paiements par carte, virements exécutés) :

• Modifiez le mot de passe de votre compte bancaire (ou votre code confidentiel). Si vous n’êtes pas en mesure de le faire vous-même, demandez à votre banque de réaliser l’opération.
• Faites opposition à votre carte bancaire si vous identifiez des achats que vous n’avez pas réalisés vous-même.
• Prévenez votre banque de toutes les opérations frauduleuses (paiements par carte, virements) et demandez leur remboursement.
• Conservez les numéros de téléphone, messages et toutes autres preuves dont vous disposez pour signaler l’escroquerie aux autorités.

Qu’est-ce que la fraude à la carte bancaire ?

Les piratages de cartes bancaires sont une fraude courante, malgré le niveau de sécurité de ce moyen de paiement. Les escrocs s’y prennent par différents moyens : vol physique de la carte, vol de données via phishing, ou techniques plus sophistiquées (faux lecteur de carte, etc)… Une fois les informations de votre carte bancaire obtenues, les escrocs peuvent réaliser des achats frauduleux.

Comment s’en protéger ?

Attention : souvent, dans les cas de piratages de carte bancaire, les escrocs arrivent à leurs fins à cause de failles humaines. Le phishing est le vecteur principal de ces attaques. Prêtez donc particulièrement attention aux e-mails et SMS qui vous invitent à partager vos informations bancaires. N’y répondez jamais, même s’ils sont censés provenir de votre banque.

Pour vous protéger au maximum :

• Ne partagez jamais vos informations bancaires personnelles avec qui que ce soit.
  • N’écrivez pas votre code confidentiel sur un post-it ou sur votre téléphone, apprenez-le par cœur, et ne le communiquez à aucun tiers.
  • Ne communiquez pas votre code de sécurité, votre numéro de carte, vos codes de sécurité 3D Secure, etc, que ce soit par e-mail, SMS ou téléphone.
• En cas de paiement en ligne, vérifiez que le site web est sécurisé : présence du cadenas avant l’URL, qui doit elle-même commencer par « https ».
• Vérifiez vos relevés de compte bancaire régulièrement afin de vous assurer qu’aucune opération inexpliquée n’apparaisse. Même s’il s’agit d’une petite somme, soyez attentifs. Si vous identifiez des paiements dont vous n’êtes pas à l’origine, signalez immédiatement la fraude à votre banque et faites opposition à votre carte bancaire (la fraude doit être déclarée dans un délai de 8 semaines).

Comment faire opposition à votre carte bancaire ?

Le moyen le plus simple et rapide pour faire opposition à votre carte bancaire est d’appeler le serveur vocal interbancaire. Le service est joignable au 0892 705 705 et est disponible 24h/24, 7j/7. Vous pouvez sinon appeler le numéro dédié de votre banque, que vous trouverez sur votre contrat.

Le mieux est également de déclarer la fraude bancaire aux autorités, et d’effectuer un signalement en ligne via le service Perceval.

Qu’est-ce que la fraude au prélèvement SEPA ?

Depuis 2014, la norme SEPA harmonise et facilite les paiements par prélèvement dans l’Union européenne. Les escrocs le détournent pour mettre en place des prélèvements frauduleux sur le compte de leurs victimes. Attention, ce type de fraude est relativement courant compte tenu de sa facilité de mise en place.

Comment procèdent-ils ? Encore une fois, le phishing est souvent mis à contribution : l’entreprise reçoit un e-mail pour un service qui requiert un prélèvement, comme un abonnement par exemple. Le collaborateur qui reçoit l’e-mail remplit les coordonnées bancaires de l’entreprise, ce qui permet aux escrocs de mettre en place un prélèvement sur le compte bancaire.

Parfois, les fraudeurs réalisent leur arnaque sans envoyer d’e-mail avec un mandat de prélèvement frauduleux. En effet, il leur suffit d’obtenir le RIB de l’entreprise pour instaurer un prélèvement.

Comment s’en protéger ?

Prêtez particulièrement attention aux prélèvements qui passent sur votre compte bancaire. Si vous identifiez une fraude, prévenez votre banque immédiatement pour faire opposition. Vous disposez d’un délai de 8 semaines à partir du jour du débit en cas de prélèvement autorisé si le montant est injustifié, et de 13 mois dans le cas d’un prélèvement non autorisé.

Pour vous protéger en amont, voici quelques recommandations :

• Ne transmettez votre RIB et IBAN qu’à des tiers de confiance.
• Mettez en place une liste blanche, qui regroupe les organismes autorisés à prélever de l’argent sur le compte bancaire de l’entreprise. C’est la solution la plus efficace contre la fraude au prélèvement SEPA.

Chez Qonto, nous avons développé un ensemble de fonctionnalités pour vous aider à protéger votre compte au quotidien. En complément, adoptez ces réflexes pour vous protéger :

• Ne révélez jamais vos identifiants de connexion, les détails de votre compte bancaire ou les numéros de votre carte sur des sites web inconnus ou à des tiers. Même s'ils prétendent être de Qonto sur un serveur vocal sécurisé. Nous ne vous demanderons jamais vos codes de vérification par SMS ou à l’oral ni de faire un virement.
• Vérifiez toujours l'URL du site web lorsque vous vous connectez à Qonto. Pensez à ajouter le nôtre en favori : https://app.qonto.com/signin/.
• Ne validez jamais une transaction ou une connexion à votre compte à la demande d'un tiers. Qonto ne vous demandera jamais de le faire.
• Lisez attentivement les notifications et les messages de vérification par SMS que vous recevez lorsque des transactions sont effectuées sur votre compte. Assurez-vous d’en être à l’origine et que vous reconnaissez l'IBAN et les noms des bénéficiaires.

Les fraudes et arnaques bancaires sont courantes, mais vous pouvez adopter quelques réflexes simples pour vous en protéger. En complément des bonnes pratiques mentionnées dans cet article, vous pouvez vous référer à nos conseils pour lutter contre le risque cyber.