Qu’est-ce que le phishing et comment l’éviter ?

Plus de 40.000 tentatives d’hameçonnage sont recensées chaque jour dans notre pays. Il s’agit d’une forme d’escroquerie en ligne par laquelle les fraudeurs veulent faire main basse sur vos informations bancaires. Ils se font passer pour des personnes de confiance (par exemple votre banque, les pouvoirs publics, votre fournisseur d’énergie…) et vous demandent de communiquer vos données et codes personnels servant à vous connecter à votre banque en ligne. Ils les utilisent ensuite pour ponctionner l’argent de vos comptes.

Le phishing se révèle très fructueux. Les criminels prennent leurs victimes au piège en les sommant d’agir rapidement. Ils les font paniquer, leur font miroiter des gains faciles ou les menacent de risques conséquents. Par ailleurs, leurs dispositifs sont relativement peu coûteux et faciles à automatiser. Cela leur permet d’envoyer un grand nombre de messages simultanément, avec toujours des victimes potentielles pour tomber dans le piège.

Comment fonctionne le phishing concrètement ?

60% des messages d’hameçonnage atterrissent sur votre téléphone via une app. Ils sont diffusés par différents canaux, tels que les messages SMS et WhatsApp, les e-mails, les messageries sur Facebook, Instagram ou Messenger, de faux codes QR, etc. Ils suivent tous le même schéma : sous un faux prétexte, comme une mise à jour de sécurité de votre compte ou un remboursement des impôts, ils vous dirigent via un faux lien vers un site web factice où vous devez encoder vos codes bancaires personnels. Ce qui permet ensuite aux fraudeurs de se servir sur vos comptes.

L’hameçonnage par téléphone (voice phishing ou vishing) est une autre forme courante de fraude. Les criminels se font alors passer pour des employés de banque ou des agents des services publics, et mettent leur victime sous pression pour effectuer un virement, prétextant par exemple une mesure de sécurité urgente.

Derrière les messages et appels de phishing se cachent des réseaux criminels organisés. Ils s’appuient sur des équipes humaines ou sur l’IA pour créer des sites factices, des pirates informatiques chargés de prendre le contrôle de comptes, des intermédiaires qui manipulent les victimes par téléphone, des centres d’appels (souvent pilotés par IA) et des mules financières pour blanchir l’argent. Les e-mails, les sites web et les réseaux sociaux sont conçus de manière de plus en plus personnalisée, notamment grâce à l’IA.

Les mules financières sont des personnes qui laissent des criminels utiliser leur compte bancaire. Elles reçoivent de l’argent sur leur compte, retirent des espèces, achètent des cryptomonnaies et transfèrent ensuite les fonds aux réseaux criminels.

Que faire si vous êtes victime de phishing ?

En tout premier lieu, réagissez vite ! Vous pourrez ainsi limiter les dégâts. Mettez immédiatement fin à la communication si vous remarquez que vous êtes tombé·e dans le piège. Ne cliquez plus sur aucun lien/bouton, fermez les sites ou les apps suspects et ne réagissez plus aux messages ou coups de téléphone. Si vous avez déjà cliqué sur un lien frauduleux, changez de suite vos mots de passe. D’autant plus si vous utilisez le même mot de passe pour d’autres comptes. Si vous avez ouvert des pièces jointes ou installé un logiciel, faites tourner l’antivirus et supprimez les programmes suspects. Si vous avez déjà transmis vos données personnelles, vérifiez immédiatement si des transactions suspectes ont été effectuées sur votre compte bancaire. Prenez contact avec votre chargé·e de relation ou votre agence et bloquez vos cartes. Ce que vous pouvez également faire via Card Stop.

Voici les 6 étapes à suivre impérativement.

1. Informez au plus vite votre chargé·e de relation ou votre agence via le numéro de téléphone officiel. Il est parfois possible d’annuler des paiements frauduleux ou de récupérer des versements. En tant que client BNP Paribas Fortis, vous pouvez joindre l’Easy Banking Centre (de 7 à 22 h du lundi au vendredi ; de 9 à 17 h le samedi) au +32 2 762 60 00. En dehors des heures d’ouverture de l’Easy Banking Centre et uniquement en cas de suspicion de fraude, vous pouvez former le +32 2 433 43 80.
2. Bloquez vos cartes bancaires et vos cartes de débit en passant par l’Easy Banking App ou Card Stop au 078 170 170.
3. Changez vos mots de passe et votre code PIN. Vérifiez également les appareils sur lesquels votre application bancaire est installée et supprimez tout appareil suspect ou inconnu.
4. Signalez la fraude sur Safeonweb.be. Vous pouvez transmettre les messages suspects à suspect@safeonweb.be.
5. Déposez plainte auprès de la police et transmettez une copie de votre procès-verbal à votre agence bancaire ou à un bureau de poste si vous êtes client·e de BNP Paribas Fortis.
6. Faites tourner votre antivirus à la recherche de logiciels malveillants.

Comment se protéger du phishing ?

1. Ne révélez jamais vos identifiants ni vos codes vous permettant de vous connecter à vos comptes. Les codes pour faire des opérations bancaires en ligne doivent rester aussi secrets que le code PIN de votre carte bancaire.
2. Ne cliquez jamais sur un lien vous dirigeant vers un site bancaire en ligne ou l’app mobile de votre banque pour une mise à jour de vos données. Les banques ne demandent jamais vos codes ou données par cette voie.
3. Tapez vous-même l’adresse de votre site bancaire dans le navigateur ou enregistrez l’adresse dans votre liste de favoris.
4. Ne répondez pas aux e-mails, messages ou coups de téléphone urgents provenant d’inconnus. Si vous avez un doute, vérifiez d’abord si le message est vrai. Si vous êtes contacté·e au sujet d’une transaction suspecte sur votre compte, raccrochez et appelez le numéro officiel de la banque pour vérifier l’information. Si vous recevez un message d’un proche qui a besoin urgemment de votre aide, ne réagissez pas de suite et vérifiez d’abord l’authenticité du message, par exemple en contactant des amis ou connaissances.
5. Ne réagissez pas aux e-mails provenant d’une adresse d’expéditeur inconnue.
6. Vérifiez les liens suspects avant de cliquer. Survolez l’adresse web avec votre souris pour contrôler si elle correspond bien à l’adresse officielle de l’organisation concernée. En cas de doute, appelez le numéro officiel afin de confirmer l’information.
7. Si vous avez reçu un message étrange, ne réagissez pas. Au moindre doute, interrompez la communication immédiatement et vérifiez si le contact est légitime en contactant l’organisation par une voie officielle.

Nous ne vous demanderons jamais :

• de communiquer le code de votre carte bancaire, le code CVV à 3 chiffres situé à l’arrière de votre carte ou vos codes d’accès pour l’Easy Banking App et l’Easy Banking Web ;
• de transmettre les codes que vous avez reçus par SMS ou générés avec votre lecteur de cartes ou via Itsme ;
• d’installer un logiciel pour prendre le contrôle de vos appareils à distance ;
• de confirmer ou d’annuler une opération par téléphone ou via Itsme ;
• de transférer de l’argent sur un compte soi-disant sécurisé.

Enfin, nos collaborateurs ne se rendront jamais chez vous pour récupérer vos cartes bancaires, lecteur de cartes, codes, smartphones ou autres.

Pourquoi les tentatives de phishing gagnent sans cesse en crédibilité ?

Les criminels utilisent de meilleurs outils et des techniques plus professionnelles pour l’envoi des messages d’hameçonnage. Les tentatives de phishing apparaissent ainsi plus crédibles et sont plus difficiles à identifier.

• Grâce à l’IA, les criminels peuvent produire des textes sans faute et utiliser un ton adapté. Les messages de phishing sont donc plus crédibles et professionnels que ceux d’autrefois, truffés de fautes d’orthographe et sentant l’amateurisme.
• Les fuites de données subies par diverses organisations fournissent de nombreuses informations personnelles. Les criminels connaissent souvent votre nom, votre numéro de téléphone, votre adresse e-mail, votre employeur… Par conséquent, les messages sont plus personnalisés et crédibles. Vous êtes ainsi plus enclin·e à cliquer et à révéler vos données personnelles.
• Grâce à l’IA, il est devenu plus facile de copier des sites web, des logos, des voix ou des photos. Les faux sites et logos, les images truquées et les voix imitées peuvent désormais paraître totalement authentiques grâce à l’IA.
• Les réseaux criminels s’organisent mieux et se professionnalisent. Ils travaillent avec des développeurs professionnels, des opérateurs d’envoi de SMS, des trafiquants de données, des passeurs de fonds, des vendeurs expérimentés…
• L’aspect psychologique est devenu prépondérant. Les criminels jouent sur la peur, l’urgence, l’autorité et la confiance pour mettre leurs victimes sous pression.

Pour rester au courant des dernières menaces et sensibiliser le plus grand nombre, consultez www.safeonweb.be.

Téléchargez notre check-list pour déjouer les tentatives de phishing.