Protéiformes, souvent ingénieuses, les attaques sur nos comptes bancaires sont souvent difficiles à déceler. Voici, en résumé, ce qu'il faut savoir sur les modes opératoires et les moyens mis en œuvre par les escrocs en ligne.

Ils ont tous un même objectif : vous dérober de l'argent. Pour y parvenir, les escrocs rivalisent de duplicité mais aussi, il faut bien l'avouer, d'ingéniosité.

Les arnaques financières, en effet, sont protéiformes, en constante adaptation et, de fait, parfois si sophistiquées qu'elles en deviennent difficiles à déceler. D'où l'importance de bien connaître les modes opératoires des escrocs, et les moyens qu'ils utilisent pour parvenir à leurs fins.

Deux grandes catégories de fraude

La première stratégie des escrocs pour vous voler est d'aller chercher l'argent à la source, c'est-à-dire sur votre compte bancaire. C'est ce que l'Insee, dans son étude annuelle sur les victimes de crimes et délits (1), classe sous le nom d'« escroquerie bancaire ».

Pour y parvenir, ils détournent vos moyens de paiement, le plus souvent votre carte bancaire. Pour quoi faire ? En 2018 (2), 56% des escroqueries bancaires se matérialisaient par un achat réglé par carte bancaire sur un site de commerce en ligne. Les achats réglés par carte bancaire dans un commerce traditionnel étaient plus rares (10%), comme les virements (9%) ou les retraits DAB (6%) frauduleux.

Seconde catégorie de fraude : ce que l'Insee classe sous le nom d'arnaque. Ici, vos moyens de paiement ne sont pas détournés. C'est vous qui, trompé, consentez à régler un produit ou un service qui ne vous sera jamais livré ou rendu (36% des cas en 2018), ou à virer de l'argent, dans le cadre d'un chantage ou d'une fausse romance (2) (21%).

Du point de vue comptable, ces deux catégories de fraudes pesaient, en 2018 (3), à peu près le même poids. Cette année-là, environ 1,26 million de personnes ont été victimes d'un débit frauduleux ; 1,24 million d'arnaques. Le préjudice subi est généralement moins lourd à l'occasion d'une arnaque. Dans un tiers des cas, elle coûte moins de 50 euros à la victime. Le préjudice ne dépasse 1 000 euros que dans 18% des cas, contre 29% pour les escroqueries bancaires.

A l'inverse, à l'occasion d'une escroquerie bancaire, 79% des victimes ont été remboursées, le plus souvent par leurs banques. Un chiffre cohérent avec les résultats de notre sondage exclusif, réalisé en partenariat avec YouGov France (4) : 65% des personnes interrogées ont déclaré avoir été intégralement indemnisées après des débits frauduleux, et 17% l'ont été partiellement. C'est en revanche beaucoup plus rare dans le cas d'une arnaque : en 2018, 6% des victimes déclaraient avoir été remboursées. Il faut dire qu'un quart d'entre elles, seulement, avaient sollicité une indemnisation.

Débits frauduleux : votre banque peut-elle refuser de vous rembourser ?

Un carburant : les données personnelles

Dans tous les cas, les fraudeurs ont besoin d'un carburant pour alimenter leurs méfaits : les données personnelles. Trois types de données en particulier :

  • des informations d'identité (état civil, adresses, identifiants, numéros de comptes, etc.)
  • des mots de passe ;
  • des données de carte bancaire.

En récupérant et croisant ces données, les escrocs touchent le jackpot. Ils leur ouvrent, en effet, un large champ de fraudes possibles. Ils ont les clés, notamment, pour tenter de contourner les dispositifs de sécurité - dits d'authentification forte - mis en place pour protéger vos moyens de paiement.

Un récent fait divers en a donné une bonne illustration. Les escrocs n'hésitent pas à appeler directement leurs victimes au téléphone, en se faisant passer pour un conseiller bancaire, un service public, une société de livraison. Des usurpations rendues crédibles par l'étendue des informations dont ils disposent sur vous.

Paiement par mobile : voici le point faible qui explique la fraude massive sur Apple Pay

Des objectifs qui dépassent les simples débits frauduleux

Débiter votre compte à votre insu n'est pas le seul objectif des escrocs. Le vol de vos données personnelles leur permet également d'usurper votre identité. Pourquoi ? Pour contracter un crédit bancaire à votre nom, par exemple, que l'on vous demandera ensuite de rembourser. Ou encore pour ouvrir des comptes bancaires sur internet (dans des néobanques notamment) qu'ils utiliseront ensuite pour faire transiter le produit de leurs escroqueries.

Pour parvenir à ce degré d'usurpation, les escrocs doivent disposer, non seulement d'informations, mais aussi de documents hautement personnels, comme des documents d'identité, des relevés de comptes ou encore des fiches de paie. Et ils ont des stratégies pour mettre la main dessus, comme nous vous le racontions en mai dernier.

Qui se cache derrière les arnaques aux crédits sur internet ?

Une méthode privilégiée : le phishing

L'étrange anglicisme est désormais entré dans le langage courant, au gré des avertissements diffusés par les banques ou les institutions chargées de veiller à la protection des citoyens. La technique de vol de données la plus fréquemment mise en œuvre est, en effet, le phishing, ou « hameçonnage » en français.

Le principe est toujours le même. Il s'agit de manipuler sa victime pour l'amener à dévoiler, de son plein gré, des informations sensibles et personnelles, en usurpant l'identité d'un service de renom : une banque, les impôts, un service public, un organisme social, etc.

Les moyens d'y parvenir, en revanche, sont très variés. Longtemps, le support privilégié a été le faux courriel, avant que les boîtes mail ne musclent leurs filtres anti-spam. La méthode en vogue, désormais, est une variante appelée smishing, contraction de SMS et de phishing. Avantage du SMS : l'usurpation est plus facile à dissimuler dans un court message textuel. D'autant plus simple qu'il existe des moyens d'usurper jusqu'au numéro de téléphone du service utilisé comme hameçon, de façon à mettre la victime en confiance.

Pour encourager la victime à mordre à l'hameçon, le cybercrimimel créé généralement un sentiment d'urgence. Son message insiste sur le risque de suspension rapide d'un service, de perte d'un avantage social ou encore d'amende. Pour prévenir ce risque, la victime est incitée à cliquer sur un lien qui lui permettra de régulariser sa situation. Elle est ensuite dirigée vers un faux site web, copie de celui du service dont l'identité a été usurpée, où l'on va lui demander de renseigner, le plus souvent, ses identifiants de carte bancaire, mais parfois beaucoup plus.

La méthode est bien rodée : deux fois sur trois, les victimes d'escroqueries bancaires ne se rendent pas compte de la supercherie, et sont donc incapables de dire quand et comment leurs données personnelles ont été volées.

Parmi les hameçons utilisés lors des campagnes actuelles de smishing, on retrouve ainsi la vignette Crit'Air, soit-disant devenu obligatoire, le compte Netflix, en passe d'être suspendu pour non-paiement, ou encore la carte Vitale proche d'expirer. Mais de nouveaux hameçons apparaissent régulièrement pour remplacer ceux qui ont été repérés et médiatisés. Face à ce perpétuel renouvellement, il n'y a qu'une solution : mettre en œuvre systématiquement certaines règles de sécurité.

Nos conseils pour protéger votre compte bancaire

(1) L'enquête « Cadre de vie et sécurité » assure le suivi statistique annuel des victimations, dont les escroqueries et arnaques, que les faits aient donné lieu à une déclaration aux forces de l'ordre ou non. Elle est réalisée par l'Institut national de la statistique et des études économiques (Insee), en partenariat avec l'Observatoire national de la délinquance et de la réponse pénale (ONDRP, supprimé en 2020) et avec le Service statistique ministériel de la sécurité intérieure (SSMSI, créé en 2014). (2) Type d'arnaque qui consiste, pour l'escroc, à se faire passer pour un partenaire romantique potentiel, souvent par le biais de sites de rencontres, d'applications ou de médias sociaux. (3) Source : Enquête « Cadre de vie et sécurité », derniers chiffres disponibles. (4) Enquête réalisée sur 1 003 personnes représentatives de la population nationale française âgée de 18 ans et plus. Le sondage a été effectué en ligne, sur le panel propriétaire YouGov France du 28 au 31 octobre 2022.