Phishing : ne mordez pas à l’hameçon !

« Votre colis est en route, suivez-le ici », « Facture mobile impayée », « Votre carte bancaire est bloquée ». Vous avez déjà très probablement reçu ce genre de message où l’on vous invite à cliquer sur un lien. Attention, tentative de phishing en vue !

Le phishing est une forme d'escroquerie par e-mail dont le seul objectif est de vous faire cliquer sur des liens pour vous soutirer de l’argent. Pour parvenir à leurs fins, les escrocs passent généralement par de faux sites web pour tenter d'obtenir vos données personnelles telles que les noms d'utilisateur, mots de passe et coordonnées bancaires. Ils peuvent ensuite utiliser ces informations pour vider votre compte en banque, par exemple, ou usurper votre identité.

En 2024, près de 2.300 signalements concernant des tentatives de phishing ont été introduits auprès du SPF Economie. Le préjudice financier déclaré était de plus de 5,6 millions d’euros.

Les tentatives de phishing se déclinent via tous les canaux numériques possibles et les escrocs s’adaptent aux tendances en vogue dans la société.

Les escrocs diffusent notamment de fausses annonces sur les réseaux sociaux en prétendant que les consommateurs peuvent gagner des produits d'entreprises connues. En réalité, leurs coordonnées sont volées. En outre, des e-mails frauduleux censés provenir d'organisations gouvernementales circulent, demandant aux gens de remplir des déclarations, de demander des primes ou d'accepter des offres apparemment attrayantes de la part de grandes entreprises en difficulté financière.

Une tendance observée récemment chez les fraudeurs consiste à approcher physiquement les victimes potentielles lors de visites en porte à porte afin de leur proposer des investissements dans les crypto-monnaies. Ce faisant, ils offrent un bitcoin supposé physique, qui doit être scanné à l'aide d'un code QR. En réalité, ce code QR mène à un site web de phishing, où les données sensibles des victimes sont dérobées.

Le smishing concerne une escroquerie similaire qui utilise toutefois des SMS plutôt que des e-mails. Les SMS arrivent généralement sur un smartphone et comportent toujours un lien qui vous redirige vers un faux site web.   

Avec le vishing, les fraudeurs vous appellent directement, par exemple au nom de Microsoft, et vous persuadent de saisir des données personnelles sur de faux sites web. Dès que vous avez complété certaines données en ligne, votre interlocuteur s’empresse de les récupérer pour vous dérober de l’argent en deux temps trois mouvements.

Le spoofing est également de plus en plus utilisé. Cette technique consiste à imiter une adresse électronique existante (par exemple myebox.noreply@bosa.fgov.be), si bien que le courrier reçu semble effectivement provenir de cette adresse.

Le quishing repose sur la diffusion de codes QR par le biais d'e-mails, de SMS ou de messages WhatsApp, derrière lesquels se cachent des URL qui semblent provenir d'organismes officiels. Les victimes sont invitées à scanner un code QR afin de payer une amende ou une facture (fictive). Lorsque les victimes scannent le code QR, elles tombent sur des sites de phishing ou doivent effectuer un paiement. Les codes QR peuvent également être utilisés pour tenter d'installer des logiciels malveillants chez les victimes, afin de voler des données personnelles telles que les identifiants bancaires.

Dans tous les cas, les tentatives de phishing sont de plus en plus professionnelles, les escrocs n’hésitant pas à s’appuyer sur des technologies modernes telles que l’intelligence artificielle, les bots, etc. Elles sont dès lors plus difficiles à reconnaitre.

Comme d’autres organismes publics, le SPF Economie est régulièrement victime d’attaques de phishing en son nom.

De nombreux citoyens et entreprises reçoivent de faux e-mails en lien avec des primes comme le tarif social énergie ou au nom de la Banque-Carrefour des Entreprises (BCE).

L'e-mail frauduleux peut provenir de l'adresse de contact du SPF, info.eco@economie.fgov.be, usurpée par les escrocs, mais aussi d’autres adresses créées spécialement, telles que noreplykbo@economie.fgov.be par exemple. Le logo de la BCE est dans certains cas également usurpé.

L’e-mail frauduleux invite à cliquer sur un lien afin de solliciter une clé numérique ou à confirmer son identité ou ses données le plus rapidement possible sous peine de déclarer l'entreprise inactive et de perdre le droit à une inscription BCE.

Beaucoup de gens ignorent qu’ils ont droit, dans de nombreux cas, à un remboursement de la part de leur institution financière.

Bien entendu, le remboursement est soumis à certaines conditions. Ainsi, il ne peut en aucun cas être question de négligence grave (comme le fait de communiquer son code pin par téléphone) et vous devez bloquer immédiatement votre carte bancaire (via Card Stop) si vous remarquez des paiements non autorisés.

En tant que victime, vous êtes tenu d’informer votre banque de la fraude présumée avec votre moyen de paiement. Si votre banque décide de ne pas vous indemniser, elle est obligée de communiquer cette décision par écrit au SPF Economie.

Vous n’êtes pas d’accord ? Adressez-vous au Service de médiation des services financiers.

Suivez ces 5 conseils pour éviter d’être victime de phishing :

1. La règle d’or : tentez d’obtenir des informations sur l’identité de la personne qui vous contacte. Vous avez un doute ? Contactez sans tarder l’entreprise ou l’institution qui vous aurait envoyé un e-mail ou un SMS, en utilisant des coordonnées connues, disponibles sur le vrai site internet de l’entreprise ou de l’institution qui vous aurait contacté. N’utilisez pas le lien qui vous a été communiqué, car celui-ci pourrait être un faux.
2. Sachez que votre banque ou toute autre institution ne vous demandera jamais par e-mail, SMS ou téléphone de mettre à jour vos données personnelles ou vos mots de passe, votre nom d’utilisateur, vos données bancaires ou codes personnels. Ne communiquez donc jamais de données à caractère personnel par e-mail, téléphone ou SMS et ne cliquez jamais sur un lien vous renvoyant sur le site de paiement ou l’application mobile de votre banque.
3. Soyez prudent si vous recevez un e-mail ou un SMS inattendu ou suspect. Un e-mail envoyé à 1h du matin devrait vous mettre sur vos gardes.
4. S’agit-il d’une adresse e-mail correcte ? Vérifiez si l’adresse e-mail se termine par un nom de domaine inhabituel. Un e-mail d’une institution publique envoyé depuis un compte Gmail ou Hotmail est suspect.
5. Ne cliquez jamais sur un lien dans un e-mail ou un SMS qui ne vous inspire pas confiance et contrôlez si le lien renvoie au site officiel de l’institution. Glissez votre souris sur le lien ou le bouton avant de cliquer dessus. L’URL ou le nom de domaine qui apparait correspond-il à celui de l’institution publique ? 

1. Informez-en immédiatement votre banque pour bloquer votre carte et appelez Card Stop. Bloquez également votre compte bancaire, votre compte utilisateur et votre application bancaire (sinon l’escroc pourra continuer à opérer).
2. Signalez la fraude via ConsumerConnect. L’Inspection économique du SPF Economie l’analysera et décidera s’il y a lieu d’ouvrir une enquête pour mettre fin à ces pratiques frauduleuses.
3. Faites une déposition auprès de votre bureau de police locale.