De plus en plus souvent, des escrocs vous contactent en se faisant passer de façon très crédible pour votre conseiller bancaire. Les techniques permettant de vous piéger évoluent très vite, mais le but reste toujours le même : vous dépouiller de vos données et de votre argent.
Qu’est-ce que le spoofing bancaire ?
Une personne vous appelle et se présente comme un conseiller de votre banque, ou bien comme un agent du service anti-fraude de celle-ci. Il peut parfois aussi prétendre agir au nom d’une administration du monde bancaire ou financier (ACPR, BDF, AMF).
Son objectif est de vous mettre en confiance afin de vous faire valider une ou plusieurs opérations sur votre application ou d’obtenir des informations sensibles et personnelles comme vos données de carte bancaire, vos identifiants et vos codes d’accès. Ainsi, il pourra effectuer des paiements par carte ou des virements à son profit. Il peut parfois aller jusqu’à vider tous vos comptes et ceux de vos proches si vous y avez accès.
On parle de spoofing (usurpation d’identité en anglais) car les escrocs se font passer pour une personne susceptible de vous mettre en confiance.
Ils peuvent utiliser différents moyens de communication, parfois associés : SMS, téléphone, courriel ou site internet.
1. La prise de contact et la mise en confiance
L’escroc vous téléphone et se présente comme un conseiller de votre banque, expliquant parfois travailler avec « Mme XXX » ou « Mr YYY » qui sont les conseillers habituels de votre agence.
Afin de rendre l’appel encore plus crédible à vos yeux, il peut parfois grâce à un procédé technique facilement accessible, faire apparaître le véritable numéro de téléphone de votre agence bancaire et, si toutefois vous ne connaissez pas ce numéro, l’escroc peut même vous indiquer comment rechercher sur Google les coordonnées de votre agence et ainsi vous mettre totalement en confiance…
Lors de cette prise de contact qui peut finalement vous sembler rassurante, il vous conseillera souvent en préambule (et c’est le comble) de ne jamais communiquer vos informations personnelles par SMS, par téléphone ou par courriel ! Pour être toujours plus crédible, il peut aller jusqu’à vous citer quelques unes de ces informations bancaires confidentielles (votre nom, votre adresse, votre numéro de compte, etc…), qu’il a obtenues en les achetant sur le Dark Web ou grâce à un précédent hameçonnage (phishing), par exemple par l’envoi de SMS (SMishing – SMS phishing)
2. L’arnaque
Alors qu’il a vous mis en confiance, l’escroc prétend ensuite avoir détecté des mouvements suspects en cours sur votre compte bancaire. Il vous demande, afin d’annuler ces opérations en cours, de saisir sur votre application bancaire portable vos codes d’authentification forte (de type SécuriPass), ou bien de lui donner des codes de validation que vous allez recevoir par SMS.
Par ce procédé, au lieu de les annuler, vous validerez des opérations qui bénéficieront finalement à l’escroc, à votre détriment (augmentation du plafond des paiements, puis paiements par carte, ajout de bénéficiaires et exécution de virements).
En général, les escrocs vous incitent à agir dans l’urgence. Ils comptent sur cette pression pour vous empêcher de faire les vérifications vous permettant de détecter l’escroquerie.
Comment réagir si vous recevez ce type d’appel ?
Lorsque vous recevez un appel imprévu d’une personne prétendant appartenir à votre banque :
- raccrochez immédiatement
- bloquez le numéro appelant
- contactez vous-même rapidement votre banque pour vérifier si des mouvements suspects sont réellement en cours sur votre compte bancaire
- une fois rassuré par votre banque, détendez-vous…
D’une manière générale :
- ne communiquez pas vos mots de passe et vos codes de sécurité reçus sur votre téléphone portable. Ceux-ci ne peuvent en aucun cas servir à annuler des opérations et jamais votre conseiller ne vous demandera ces informations, qui sont confidentielles
- ne validez aucune opération sur votre application bancaire si vous ne l’avez pas initiée par vous-même : aucune validation de votre part n’est nécessaire pour bloquer un paiement frauduleux
- ne cédez jamais à la pression, celle-ci doit au contraire vous alerter
Pour en savoir plus :
- consultez les derniers communiqués sur les appels frauduleux publiés par la Banque de France et de l’Autorité des Marchés Financiers