« Votre colis est en route, suivez-le ici », « Facture mobile impayée », « Votre carte bancaire est bloquée ». Vous avez reçu ce genre de message où l’on vous invite à cliquer sur un lien ?
Alors vous avez été victime d’une tentative de phishing.
Qu'est-ce que le phishing ?
Le phishing est une fraude en ligne par laquelle des escrocs usurpent l’identité d’une personne, d’une entreprise, d’une organisation bien connue de tous (banques, fournisseurs d’énergie, opérateur téléphonique...) ou encore d’une institution publique comme b-post ou le SPF Finances par exemple. Ils envoient des messages (via SMS, e-mails ou réseaux sociaux) en leur nom afin d’extorquer des informations, des données bancaires ou de contaminer un ordinateur avec un virus ou un logiciel malveillant. Les conséquences peuvent être désastreuses si vous tombez dans le piège.
Comment opèrent les escrocs pour obtenir vos données ?
Les escrocs envoient des messages frauduleux sur des sujets variés : questions financières (impôts, primes, compensations pour les entreprises), problèmes avec des colis, mises à jour de vos données, problèmes liés à votre carte bancaire... Dans ces messages figure un hyperlien qui vous renvoie vers un site falsifié destiné à vous faire croire que vous avez bien affaire à l’organisme supposé vous contacter. Ces sites ont un aspect très professionnel et il est difficile de les différencier des véritables sites.
Une fois sur le site, pour bénéficier de votre avantage ou régler le problème évoqué, vous devez compléter vos coordonnées personnelles (nom, prénom, adresse, numéro de carte d’identité…) et/ou vos données bancaires (numéro de compte, numéro de carte) et de sécurité personnalisées (votre code PIN, un code de réponse généré par l'appareil digipass qui sert à vous authentifier auprès de votre banque, un code de sécurité reçu par SMS de votre banque, etc.).
Parfois aussi, les escrocs organisent de faux jeux concours ou de faux tests de produits en créant des sites sur lesquels vous devez communiquer votre identité, voire davantage de données personnelles, bancaires ou de sécurité personnalisées.
Grâce aux données recueillies, les escrocs pourront faire des opérations bancaires ou des achats en ligne au départ de votre compte, activer une application bancaire (liée à votre profil bancaire) ou une application de paiement (à laquelle ils auront lié votre carte), voire usurper votre identité pour accomplir des actes malveillants.
Le phishing via code QR
Depuis quelques temps, les escrocs utilisent aussi les codes QR pour piéger leurs victimes. Dans ce type de phishing, ils placent dans leurs messages des codes QR, au lieu d’hyperliens, pour diriger leurs victimes vers des applications ou des sites frauduleux. L’objectif des escrocs est toujours le même : obtenir vos données personnelles, bancaires ou de sécurité personnalisées, ou contaminer votre ordinateur/smartphone avec un virus ou un logiciel malveillant.
Les escrocs tirent profit de cette technologie car lorsque vous scannez un code QR, vous ne pouvez pas voir immédiatement vers quel site web il va vous mener. Vous pouvez beaucoup plus difficilement vérifier l’adresse URL concernée.
Comment reconnaître un e-mail suspect ?
Vous pouvez généralement reconnaître un message suspect grâce aux caractéristiques suivantes :
- L’adresse de l’e-mail d’envoi est suspicieuse ou n’appartient pas à la personne, l’entreprise l’organisation ou l’institution qui vous contacte.
- L’objet de l’e-mail est vague, vous n’identifiez pas le contexte.
- Le ton est menaçant, intriguant, très insistant ou encore il éveille votre curiosité.
- Il contient des fautes d’orthographe ou de grammaire, il n’est pas rédigé de manière professionnelle.
- Il vous invite à cliquer sur un lien ou à télécharger une pièce jointe.
Notez qu’aujourd’hui, repérer les e-mails de phishing est de plus en plus difficile. Les escrocs déploient des trésors d’ingéniosité. Ils élaborent des e-mails de plus en plus sophistiqués, d’aspect professionnel, sans fautes d’orthographe et qui contournent les filtres des messageries. Ils profitent également d’un contexte précis, comme celui de la crise du coronavirus par exemple, pour les diffuser.
Mieux vaut donc réfléchir à deux fois avant de cliquer sur un lien ou de scanner un code QR !
Que devez-vous faire en cas d’e-mail suspect ?
- Ne répondez pas à l’e-mail.
- Posez-vous tout d’abord quelques questions de bon sens et si vous ne trouvez pas de réponse logique à ces questions, soyez sur vos gardes et cherchez davantage d’informations :
- Est-il logique qu’on me contacte pour la raison invoquée ?
- Pourquoi cet organisme me contacte ?
- Pourquoi une banque dont je ne suis pas client me contacte-t-elle pour un problème avec ma carte ?
- Pourquoi me parle-t-on d’un colis en route vers mon domicile, alors que je n’ai rien commandé ?
- Pourquoi ma banque me demande-t-elle mes données bancaires, alors qu’elle les connaît ?
- Est-il logique qu’un organisme public (comme le SPF Finances) me demande de payer par carte de crédit ou via PayPal ?…
- Vérifiez l’authenticité de l’expéditeur du message. Contrôlez si l’adresse e-mail utilisée est bien l’adresse officielle de l’organisme. Consultez le site web officiel de l’organisme, parfois on y indique si des arnaques au nom de l’organisme sont en cours.
- En cas de doute, contactez par un autre canal l’expéditeur du message pour vérifier qu’il en est bien l’auteur (par exemple en appelant le numéro de téléphone mentionné sur le site web officiel).
- Vérifiez la conformité de l'adresse de l’expéditeur en passant avec la souris afin de visualiser l’adresse complète.
- Contrôlez la fiabilité des liens : faites glisser sur les liens le pointeur de la souris pour faire apparaître la véritable adresse URL du site. Ne cliquez pas sur le lien ! Rendez-vous plutôt directement sur le site officiel de l’organisme supposé vous contacter. Ce conseil vaut particulièrement si l’on vous demande de scanner un code QR car celui-ci ne vous permet pas de voir l’adresse URL du site.
- Méfiez-vous des pièces jointes, fichiers et images : ils peuvent comporter des virus.
- Ne communiquez aucune donnée personnelle, quel que soit le motif invoqué, ni vos données bancaires ou de sécurité personnalisées.
- Ne payez rien via le lien qui vous a été envoyé ou le site vers lequel il pointe !
- Transférez l’e-mail suspect au Centre pour la Cybersécurité Belgique (CCB) via suspect@safeonweb.be. Le CCB contrôlera les liens et les annexes des messages et fera bloquer les liens suspects. Ce dispositif permet de protéger les internautes moins vigilants contre ce type de piège.
Vous avez payé ? Que devez-vous faire ?
- Stoppez tout contact avec les escrocs. Surtout, ne payez plus rien !
- Contactez immédiatement votre banque pour tenter d’annuler la transaction. Sachez que dans la plupart des cas, il sera impossible de récupérer votre argent.
- Contactez immédiatement Card Stop (078 170 170) ou votre banque pour faire bloquer vos instruments de paiement (carte bancaire, application bancaire ou application de paiement, etc.).
- Si vous avez partagé d'autres informations personnelles, modifiez immédiatement vos mots de passe et code PIN de la carte d’identité.
- Déposez plainte auprès de la police locale.
- Signalez l’escroquerie sur ConsumerConnect. Vous recevrez immédiatement des informations sur les mesures que vous pouvez encore prendre et sur les organismes qui peuvent vous aider.
- Restez sur vos gardes : les escrocs pourraient bien essayer de vous piéger une deuxième fois en se faisant passer pour quelqu’un qui vous propose de vous aider.
- Consultez aussi la page Phishing – opérations de paiement non autorisées pour plus d’informations sur vos droits en cas d’opérations de paiement non autorisées.