Pour les cybercriminels, les fêtes de fin d'année sont une période faste, qui leur offrent une multitude d'opportunités pour vider à distance les comptes de leurs victimes. Voici comment éviter de tomber dans le pire piège de tous, la fraude par manipulation.

C'est aujourd'hui la menace n°1. La fraude par manipulation - où le malfaiteur usurpe l'identité d'un tiers (souvent d'un conseiller bancaire) pour vous inciter à valider des opérations sensibles (paiements par carte, virement, etc.) à votre insu - a augmenté de 27% en 2022. Cette même année, ce sont 340 millions d'euros qui ont été dérobés de la sorte, selon la Banque de France, ce qui représente près de 30% du coût total de la fraude (1,2 milliard d'euros).

Paiements en ligne : La fraude par manipulation en forte augmentation

Comment expliquer cette explosion ? Il s'agit d'un dommage collatéral d'une mesure qui, par ailleurs, a permis une baisse globale de la fraude : la généralisation, depuis 2020, de l'authentification forte sur les paiements effectués à distance. Elle a contraint les cybercriminels à modifier leurs modes opératoires. Voler les identifiants bancaires de leurs victimes ne suffit plus, ils doivent désormais les contacter directement et les manipuler pour contourner les nouveaux dispositifs de sécurité.

Comment se déroulent les fraudes à la manipulation ?

Face au phénomène, la Banque de France a communiqué ce jeudi pour mettre en garde les usagers, dans un contexte - celui des fêtes de fin d'année - particulièrement propice aux arnaques.

Premier impératif : comprendre comment fonctionnent ces fraudes. Elles se déroulent en 4 temps.

Premier temps : les fraudeurs volent les données de paiement de leurs futures victimes, grâce à des faux courriels ou SMS, où ils se font passer pour une administration (Justice, CAF, ANTAI, etc.), une société de livraison, etc. Ils peuvent également parvenir à leurs fins en installant des logiciels espions (dit malwares) sur l'ordinateur ou le mobile de leurs victimes, souvent via une pièce jointe de courriel.

Arnaque sur internet : les ruses des escrocs pour vider votre compte bancaire

Deuxième temps : ils collectent des données complémentaires (activités, derniers achats, etc.), en particulier sur les réseaux sociaux, qui leur serviront à se rendre plus crédibles.

Troisième temps : ils usurpent l'identité de la banque de leurs victimes, notamment son numéro de téléphone. Les technologies actuelles des réseaux de téléphone permettent, en effet, de manipuler le numéro de téléphone affiché lors de l'appel.

Quatrième temps : ils appellent leurs victimes en se faisant passer pour un conseiller bancaire. Ils les mettent sous pression en signalant l'apparition d'opérations douteuses sur le compte, à bloquer de toute urgence. Pour ce faire, ils leur demandent d'authentifier à distance des opérations de sécurisation. Evidemment, il s'agit en fait de validations de paiements en ligne ou d'ajouts de bénéficiaire de virement, qui vont permettre au fraudeur de débiter le compte.

Comment éviter de tomber dans le piège ?

Face à ces techniques de fraude très sophistiquées, il n'y a qu'une parade : la vigilance permanente. Voici les bons réflexes à adopter.

  • Ne faites pas confiance à l'origine affichée des messages (numéro de téléphone, expéditeur du courriel, etc.). Partez du principe que tout numéro ou toute adresse peut être usurpée.
  • Ne cliquez jamais sur un lien envoyé par SMS ou courriel, en particulier lorsqu'on vous demande de préciser vos identifiants de carte bancaire ou d'accès à votre banque en ligne. En cas de doute, contactez directement l'organisme qui vous sollicite avec un numéro que vous connaissez (celui de votre agence bancaire par exemple) ou en vous rendant sur son site web officiel et sécurisé.
  • N'ouvrez jamais les pièces jointes à un SMS ou un courriel, sauf si vous êtes absolument de connaître son expéditeur.
  • N'hésitez jamais à bloquer un numéro ou une adresse courriel suspects. Il existe également un service dédié au signalement des numéros suspects, le 33700, mis en place par les opérateurs téléphoniques.
  • Reconnaissez les facteurs d'alerte : communication téléphonique non sollicitée, tonalité anxiogène, demande d'authentification d'opérations en ligne ou de fourniture d'identifiants.
  • N'utilisez jamais vos identifiants pour valider une opération dont vous n'êtes pas à l'origine.

Un rappel pour finir : votre banque ne vous demandera jamais de valider à distance une opération en réponse à une fraude.

Arnaque au faux conseiller : les bons réflexes pour se faire rembourser par votre banque