Phishing ? Ne vous faites pas avoir !
L'Inspection économique du SPF Economie reçoit de nombreux signalements de faux e-mails et SMS. Ces signalements concernent généralement des messages frauduleux au nom d'organisations bien connues, comme itsme.
Souvent, les escrocs utilisent le nom d'une banque, d'une entreprise ou d'une organisation publique pour inspirer la confiance. Ensuite, ils vous invitent à transmettre vos données personnelles ou bancaires. Ces dernières semaines, de plus en plus de faux SMS ont à nouveau été prétendument envoyés par itsme. Les messages indiquent que votre compte risque d’être définitivement bloqué si vous ne vous enregistrez pas sur un site web (qui bien sûr est un site frauduleux).
Phishing, smishing, vishing, spoofing, ... Quésako ?
Le phishing est une forme d'escroquerie par e-mail dont le seul objectif est de vous faire cliquer sur des liens pour vous soutirer de l’argent. Pour parvenir à leurs fins, les escrocs passent généralement par de faux sites web pour tenter d'obtenir vos données personnelles telles que les noms d'utilisateur, mots de passe et coordonnées bancaires. Ils peuvent ensuite utiliser ces informations, par exemple, pour vider votre compte en banque ou usurper votre identité.
Le smishing concerne une escroquerie similaire qui utilise toutefois des SMS plutôt que des e-mails. Les SMS arrivent généralement sur un smartphone et comportent toujours un lien qui vous redirige vers un faux site web.
Avec le vishing, les fraudeurs vous appellent directement, par exemple au nom de Microsoft, et vous persuadent de saisir des données personnelles sur de faux sites web. Dès que vous avez complété certaines données en ligne, votre interlocuteur s’empressent de les récupérer pour vous dérober de l’argent en deux temps trois mouvements.
Ces e-mails et SMS sont de plus en plus professionnels. Alors qu’ils étaient auparavant écrits dans un langage incohérent, ils sont aujourd’hui rédigés de manière professionnelle dans un langage bien pensé et sont donc difficiles à reconnaître. Le spoofing est également de plus en plus utilisé. Cette technique consiste à imiter une adresse électronique existante (par exemple myebox.noreply@bosa.fgov.be), si bien que le courrier reçu semble effectivement provenir de cette adresse.
Nouvelle vague d’arnaques via smishing
En 2020, 13.835 signalements de faux e-mails et SMS ont été reçus, soit presque deux fois plus qu’en 2019 (7.560 signalements). En 2021, ce chiffre a légèrement baissé pour atteindre 11.179 signalements. Et le 28 janvier 2022, le Point de contact avait déjà reçu 882 signalements.
Le préjudice déclaré a toutefois fortement diminué. Alors qu’il s’élevait à plus de 24 millions d’euros en 2019, il était de 6,2 millions d'euros en 2021.
Comme le montre le tableau ci-dessous, les cas de smishing (fraude par SMS) ont enregistré une forte croissance. Alors qu'en 2020, ces arnaques ne concernaient qu'un tiers du nombre de signalements (4.997 cas par SMS contre 8.354 par e-mail), elles représentaient près de la moitié des signalements (5.612 par SMS contre 6.019 par e-mail ou autres moyens) en 2021, voire plus de la moitié en 2022 (au 28 janvier).
Itsme et Card Stop utilisés comme appâts
Les attaques observées ces dernières semaines concernaient souvent des SMS prétendument envoyés par itsme. Comme les citoyens utilisent de plus en plus cette application, notamment en raison de la généralisation du télétravail, les escrocs ont saisi l’occasion. Le message indique que votre compte va être bloqué à la suite d'une activité suspecte, à moins que vous ne cliquiez sur le lien mentionné. D'autres SMS signalent qu’un appareil inconnu s’est connecté à votre compte itsme, et vous invitent à vérifier votre identité.
J'ai essayé d'installer l'application itsme sur mon nouveau smartphone, afin de me connecter aux applications des autorités publiques. Vers 22h30, j'ai reçu un SMS avec le contenu suivant : « Cher utilisateur itsme, Votre compte itsme a été bloqué temporairement en raison d'une activité suspecte. Suivez nos instructions avant le 06.01.22 afin d’éviter la suppression définitive de votre compte, via le lien https://..... ». J’'ai cliqué sur le lien sans penser au phishing ou être conscient d'un risque de fraude. Par la suite, on m'a à nouveau demandé d'utiliser le lecteur de cartes, mais la date de début de ma carte de banque a continué à poser problème. Le lendemain matin, ma banque m'a appelé pour me signaler qu’une transaction suspecte de 999 euros avait été effectuée. La banque a immédiatement bloqué ma carte.
Outre les faux SMS utilisant le nom d’itsme, Card Stop est aussi fréquemment utilisé comme prétexte pour s'emparer de vos données. Vous recevez un SMS de Card Stop indiquant qu'une carte bancaire a été liée à votre numéro de GSM. Pour la boquer, il vous suffit de cliquer sur le lien contenu dans le SMS.
En outre, de plus en plus de faux SMS, messages WhatsApp ou e-mails qui vous somment de payer de prétendus arriérés, circulent pour le moment. Cette mise en demeure fictive indique qu'une saisie sera opérée si vous ne payez pas immédiatement. Ces messages sont très convaincants et donc d'autant plus dangereux.
À la suite des plaintes reçues, l’Inspection économique a informé les institutions dont les noms ont été usurpés. De cette manière, elles sont également sensibilisées au phénomène et peuvent répondre de manière adéquate à toute question. Dans la mesure du possible, l’Inspection économique ferme ces faux sites internet.
Aujourd’hui, c’est la journée pour un internet plus sûr, plus connue sous « Safer Internet Day ». Le SPF Economie considère qu’un internet plus sûr est essentiel et met en garde les citoyens contre ces types d’escroquerie. Il est important que ces pratiques cessent. En faisant de la prévention, nous voulons éviter que davantage de citoyens ne soient victimes de ces pratiques malveillantes.
Argent volé ? Dans de nombreux cas, vous avez droit à un remboursement
Ce que beaucoup de gens ignorent, c’est qu’ils ont droit, dans de nombreux cas, à un remboursement de la part de leur institution financière.
Bien entendu, le remboursement est soumis à un certain nombre de conditions. Ainsi, il ne peut en aucun cas être question de négligence grave (comme le fait de communiquer son code pin par téléphone) et vous devez bloquer immédiatement votre carte bancaire (via Card Stop) si vous remarquez des paiements non autorisés.
En tant que victime, vous êtes tenu d’informer votre banque de la fraude présumée avec votre outil de paiement. Si votre banque décide de ne pas vous indemniser, elle est obligée de communiquer cette décision par écrit au SPF Economie.
Vous n’êtes pas d’accord ? Adressez-vous au Service de Médiation des services financiers.
Mieux vaut prévenir que guérir
Pour éviter d’être victime de phishing, voici 5 conseils :
- La règle d’or : tentez d’obtenir des informations sur l’identité de la personne. Vous avez un doute ? Contactez sans tarder l’entreprise ou l’institution qui vous aurait envoyé un e-mail ou un SMS.
- Sachez que votre banque ou toute autre institution ne vous demandera jamais par e-mail, SMS ou téléphone de mettre à jour vos données personnelles ou vos mots de passe, noms d’utilisateur, données bancaires ou codes personnels. Ne communiquez donc jamais de données à caractère personnel par e-mail, téléphone ou SMS et ne cliquez jamais sur un lien vous renvoyant sur le site de paiement ou l’application mobile de votre banque.
- L’e-mail ou le SMS reçu est inattendu ou suspect ? Un e-mail envoyé à 1h du matin devrait vous mettre sur vos gardes.
- S’agit-il d’une adresse e-mail correcte ? Vérifiez si l’adresse e-mail se termine par un nom de domaine inhabituel. Un e-mail des pouvoirs publics envoyé depuis un compte Gmail ou Hotmail est suspect.
- Ne cliquez jamais sur un lien dans un e-mail ou un SMS qui ne vous inspire pas confiance et contrôlez si le lien renvoie au site officiel de l’institution. Glissez votre souris sur le lien ou le bouton avant de cliquer dessus. L’URL ou le nom de domaine qui apparait correspond-il à celui de l’institution publique ?
D’autres conseils sur www.evitezlespieges.be.
3 actions à entreprendre si votre argent a disparu de votre compte
- Informez-en immédiatement votre banque pour bloquer votre carte et appelez Card Stop. Bloquez également votre compte bancaire, votre compte utilisateur et votre application bancaire (sinon l’escroc pourra continuer à opérer).
- Signalez la fraude via le Point de contact (dans la rubrique « Fraude & escroquerie », scénario « Phishing et autres formes d’obtention frauduleuse de données »).
- Faites une déposition auprès de votre bureau de police locale.