Restez informé


Quishing : attention à cette nouvelle forme de phishing

L'Inspection économique du SPF Economie continue de recevoir des signalements concernant de faux e-mails et de faux SMS. Les escrocs utilisent aussi le « quishing » (faux codes QR) et l'intelligence artificielle. Ils emploient ensuite les données dérobées pour de l'ingénierie sociale, une pratique frauduleuse destinée à vous approcher encore plus personnellement et à augmenter les chances de succès de l'escroquerie.

Phishing, smishing, vishing, et maintenant quishing

Le phishing est une forme bien connue d'escroquerie par e-mail. Son seul objectif est de vous faire cliquer sur des liens par le biais de toutes sortes de ruses et de vous soutirer ainsi de l'argent. Dans le cas du « smishing », cela se fait par SMS et dans le cas du « vishing », les fraudeurs vous appellent tout simplement.

 

Désormais, nous devons ajouter à cette liste le « quishing ». Il s'agit de la diffusion de codes QR par le biais d'e-mails, de SMS ou de messages WhatsApp, derrière lesquels se cachent des URL. Celles-ci semblent provenir d'organismes officiels et les victimes sont invitées à payer une amende ou une facture (fictive).

 

Lorsque les victimes scannent le code QR, elles tombent sur des sites de phishing ou doivent effectuer un paiement. Les codes QR peuvent également être utilisés pour tenter d'installer des logiciels malveillants chez les victimes, afin de voler des données personnelles telles que les identifiants bancaires.

J'ai reçu une lettre au nom du service Energie de ma commune pour recevoir une prime pour l’énergie de 250 euros. Pour recevoir cette prime, je devais confirmer mon compte en scannant le code QR figurant dans la lettre. Après avoir scanné le code QR, une notification est apparue pour ouvrir un site internet sous-jacent au code QR. J'ai cliqué sur la notification et je suis entré sur un site internet via un lien. J'ai donné mes coordonnées et confirmé mon numéro de compte. Le lendemain matin, ma banque m'a appelée pour me signaler une transaction suspecte. La banque a immédiatement bloqué ma carte.

Sabine, victime

Intelligence artificielle et ingénierie sociale

Les escrocs suivent les tendances actuelles et utilisent également l'intelligence artificielle. Ils s'en servent, par exemple, pour rédiger des messages trompeurs. Cela leur permet de rédiger des messages de meilleure qualité et de manière encore plus professionnelle, ce qui les rend plus difficiles à repérer. Ils combinent cette technologie avec des méthodes dites d'ingénierie sociale.

 

L'ingénierie sociale est une technique qui consiste à collecter d'abord des données personnelles, souvent par phishing, mais aussi par piratage. Les escrocs utilisent ensuite ces données pour vous cibler de manière encore plus efficace et personnelle, afin de vous tromper. Les victimes se voient alors présenter, par exemple, de fausses factures, des paiements en retard ou des avis d'imposition qui semblent très réalistes, mais qui sont faux.

Ces données sont conservées dans des bases de données, ce qui permet de vous contacter même des années après que vous ayez transmis vos données personnelles.

Diminution du nombre de signalements

En 2023, le nombre de signalements de cas de phishing lors duquel la victime a déclaré avoir perdu de l'argent a baissé. Le Point de contact a en effet enregistré 597 signalements en 2023 contre 1.059 en 2022. La perte moyenne déclarée par les victimes (qui ne correspond pas nécessairement la perte financière réelle) a également diminué, passant de 4.678 à 4.080 euros.

Cette baisse peut s'expliquer par différents facteurs. D’une part, les citoyens sont plus vigilants grâce aux campagnes de sensibilisation du SPF Economie et d'autres organismes publics. D’autre part, l'approche ciblée de l'Inspection économique du SPF Economie dans la lutte contre le phishing porte aussi ses fruits. Grâce à des actions spécifiques, elle tente d'identifier les titulaires des comptes bancaires sur lesquels des fonds ont été transférés. Les banques concernées sont alors informées en conséquence.

Moins d’approche par message électronique

Les victimes de phishing peuvent indiquer via le Point de contact le mode d’approche mis en œuvre. Il est frappant de constater une forte baisse du phishing par messages électroniques (SMS, applications de messagerie et e-mail). Alors qu'il représentait la majeure partie des signalements en 2020 et 2021 (97 % en 2020 et 89 % en 2021), il n'était plus que de 56 % en 2022 et a encore chuté à 36 % en 2023. 15 % des déclarants ont été victimes d'une escroquerie par le biais d'un site web, tandis qu'un autre groupe de 15 % a été contacté par téléphone. Il s'agit d'augmentations très importantes par rapport à 2020 et 2021. En 2021, ces chiffres étaient respectivement de 7 % et 3 %.

Argent volé ? Dans de nombreux cas, vous avez droit à un remboursement

Beaucoup de gens ignorent qu’ils ont droit, dans de nombreux cas, à un remboursement de la part de leur institution financière.

 

La condition principale est qu’il s’agisse d’une opération de paiement non autorisée. Si vous avez effectué un paiement vous-même (par exemple, en payant une fausse facture) ou s'il y a eu négligence grave (par exemple si vous avez donné votre code PIN par téléphone), la banque ne vous remboursera pas.

 

En tant que victime, vous devez informer votre banque de la fraude présumée avec votre outil de paiement. Si votre banque décide de ne pas vous indemniser, elle est obligée de communiquer cette décision par écrit au SPF Economie.

Vous n’êtes pas d’accord ? Adressez-vous au Service de Médiation des services financiers.

Mieux vaut prévenir que guérir

Pour éviter d’être victime de phishing, voici 5 conseils :

  1. La règle d’or : tentez d’obtenir des informations sur l’identité de la personne. Vous avez un doute ? Contactez sans tarder l’entreprise ou l’institution qui vous aurait envoyé un e-mail ou un SMS.
  2. Sachez que votre banque ou toute autre institution ne vous demandera jamais par e-mail, SMS ou téléphone de mettre à jour vos données personnelles ou vos mots de passe, noms d’utilisateur, données bancaires ou codes personnels. Ne communiquez donc jamais de données à caractère personnel par e-mail, téléphone ou SMS et ne cliquez jamais sur un lien vous renvoyant sur le site de paiement ou l’application mobile de votre banque.
  3. L’e-mail ou le SMS reçu est inattendu ou suspect ? Un e-mail envoyé à 1h du matin devrait vous mettre sur vos gardes. S’agit-il par ailleurs d’une adresse e-mail correcte ? Vérifiez si elle ne se termine pas par un nom de domaine inhabituel. Un e-mail des pouvoirs publics envoyé depuis un compte Gmail ou Hotmail est suspect. Faites toutefois attention au « spoofing ». Cette technique consiste à imiter une adresse électronique existante, si bien que le courrier reçu semble effectivement provenir de cette adresse.
  4. Ne cliquez jamais sur un lien ou ne scannez jamais un code QR dans un e-mail ou un SMS qui ne vous inspire pas confiance et contrôlez si le lien ou le code QR renvoie au site officiel de l’institution. Glissez votre souris sur le lien ou le bouton avant de cliquer dessus. L’URL ou le nom de domaine qui apparaît correspond-il à celui de l’institution publique ?
  5. Payez le plus souvent possible avec votre carte de crédit ou via des plateformes de paiement sécurisées qui ne transmettent pas vos coordonnées bancaires au bénéficiaire.

Trois actions à entreprendre si votre argent a disparu de votre compte

  1. Informez-en immédiatement votre banque et appelez Card Stop pour bloquer votre carte bancaire. Bloquez également votre compte bancaire, votre compte utilisateur et votre application bancaire (sinon l’escroc pourra continuer à opérer). En contactant rapidement votre banque, celle-ci peut également être en mesure d'arrêter ou de récupérer les montants qui n'ont pas encore été transférés.
  2. Vous avez payé avec une carte de crédit ? Contestez la transaction via macarte.be (Visa ou Mastercard).
  3. Faites une déposition auprès de votre bureau de police locale. Signalez également la fraude via ConsumerConnect. L'Inspection économique du SPF Economie analyse le signalement et peut décider d'ouvrir une enquête pour mettre fin à ces pratiques frauduleuses.

La banque refuse de vous rembourser ? Dans ce cas, vous pouvez également le signaler via ConsumerConnect.

Informations de contact

Contact
Adresse

Rue du Progrès 50,
1210 Bruxelles