Des pirates informatiques tentent régulièrement d’escroquer des clients Banque Populaire.
Découvrez les bonnes pratiques pour les éviter.


Le phishing, qu'est-ce que c'est ?

Le phishing (ou encore hameçonnage) est une technique frauduleuse consistant à envoyer de manière massive un message semblant légitime (il peut s’agir de mail le plus souvent, ou de SMS) pour inciter la victime à cliquer sur un lien ou une pièce jointe potentiellement malveillants.

L’identité d’organismes ou d’entités connues (Netflix, organismes d’état comme le site des impôts, etc.) tout comme celui de la Banque Populaire, qu’il s’agisse de sa dénomination ou de son logo, est régulièrement utilisée par des tiers à des fins frauduleuses auprès de particuliers ou de PME/TPE.

Les menaces

L’ouverture d’une pièce jointe ou l’accès à un lien peuvent conduire à l’installation d’un malware ou ransomware(*) sur votre ordinateur.
L’accès à un lien non sécurisé peut permettre le vol et/ou la fuite de données confidentielles comme vos identifiants/mots de passe, numéros et codes de cartes bancaires, etc.
Ces données peuvent ensuite permettre au fraudeur de réaliser de l’ingénierie sociale : par exemple vous pouvez recevoir des appels de faux conseiller clientèle ou de faux service client, prétextant des paiements frauduleux ou des virements à annuler, qui seront en réalité validés par les codes que vous transmettrez.
*Chiffrement des données de l’ordinateur et réclamation d’une rançon contre le décryptage de ces données.

Ce qui doit vous alerter

  • Votre conseiller ne vous demandera jamais de données de connexion ou d’informations bancaires de type identifiant/mot de passe, numéro de carte bancaire, code de validation reçu par SMS, etc, même s'il vous contacte pour des vérifications.
  • Prêtez attention à l’adresse de l’expéditeur, ne cliquez pas sur des liens et n’ouvrez pas de pièces jointes provenant d’expéditeurs suspicieux.
  • Nos e-mails ou SMS ne renvoient jamais directement sur une page vous invitant à renseigner vos identifiants de connexion.
  • Les pages de nos sites internet commencent toujours par https://www.netsbe.fr/.

Les bonnes pratiques

  • Limitez la diffusion de votre adresse email.
  • Nettoyez régulièrement votre ordinateur à l’aide d’un antivirus à jour.
  • N'ouvrez pas les pièces jointes d’un e-mail non sollicité ou douteux.
  • Ne cliquez pas sur les liens sans vous être assuré de leur origine.
  • En cas de réception d’un phishing, signalez le mail sur https://www.cybermalveillance.gouv.fr/ et supprimez le mail. Changez immédiatement votre mot de passe, activez votre antivirus et contactez sans délai votre agence.
  • En ce qui concerne l’accès à votre compte, privilégiez l’accès direct par l’application mobile ou la page d’accueil de votre banque en ligne (en saisissant l’adresse du site internet ou via votre favori), sans cliquer sur un lien transmis par e-mail ou SMS.
  • Consultez régulièrement nos conseils en matière de sécurité sur notre site.

Les faux appels téléphoniques : le vishing

Qu’est-ce que c'est ?

Il s’agit d’un appel téléphonique d’un fraudeur se faisant passer pour un service de votre banque (votre conseiller, service fraude par exemple, ou centre d’appel) et prétextant la détection d’opérations de fraudes en cours (opérations par carte bancaire ou par virement) qu’il faut annuler au plus vite.

Le fraudeur vous demande de valider l’annulation de ces opérations en fournissant le code reçu par SMS par exemple ou encore vous propose de venir récupérer votre carte qui aurait été piratée. En réalité, vous validez l’opération en question au lieu de l’annuler et bien évidemment. Un conseiller ne se déplace pas pour récupérer vos moyens de paiement sans y être habilité par la banque et sans carte de démarchage.

Il s’agit en fait d’une attaque en temps-réel permettant de contourner les dispositifs de sécurisation des opérations sensibles de la banque à distance, afin de pouvoir exécuter des opérations frauduleuses.

Scénario

Vous avez été victime d’un phishing, et certaines de vos données personnelles (nom, prénom, date de naissance, adresse…) et surtout bancaires (identifiant de connexion, mot de passe, numéro de CB, …) ont été récupérées par le fraudeur, qui peut ainsi se connecter à votre place à votre accès Banque à Distance.

Il vous appelle ensuite en usurpant l’identité, voire le n° de téléphone, d’un service de votre banque (par exemple service fraude, service d’opposition cartes, ou même votre conseiller clientèle), souvent en heures non ouvrées.

Il vous fournit les informations récupérées pour vous mettre en confiance et vous signale que des opérations frauduleuses sont en cours (opérations par carte bancaire ou par virement). L’objet de son appel est de soit-disant procéder au blocage immédiat de ces opérations. Il insiste sur le caractère très urgent du blocage au risque que les transactions frauduleuses soient validées.

Comment repérer la fraude ?

  • Le code de votre carte ou votre code d’authentification SMS ne peut en aucun cas servir à annuler une opération.
  • Notez que la banque ne se déplace pas pour récupérer vos moyens de paiement. Tout commercial, habilité par la banque et qui se présente à votre domicile doit être muni d’une carte de démarchage qui doit vous être présentée.

Les bonnes pratiques

  • Ne pas donner suite à ces sollicitations. Vos identifiants et mots de passe, tout comme votre numéro de carte bancaire, vous sont strictement personnels, vous ne devez jamais les communiquer.
  • Un conseiller clientèle ou téléopérateur ne vous demandera jamais de données de connexion ou d’informations bancaires de type identifiant/mot de passe, numéro de carte bancaire, code de validation reçu par SMS, etc. Ne les communiquez jamais !

Que faire si j'en ai été victime?

  • Dans la mesure du possible, notez les informations telles que le numéro appelant par exemple.
  • Contactez votre conseiller clientèle et le service opposition pour les alerter de la fraude réalisée.
  • Modifiez votre code confidentiel d’accès à vos comptes, ou demandez dès que possible à votre conseiller clientèle de le réinitialiser.
  • Déposez une plainte auprès de la gendarmerie ou de la police nationale.
  • Signalez l’appel sur le site https://www.33700.fr/

Les mesures de sécurité optimales sont appliquées au site internet et à l’application mobile SBE, et prennent en compte l’évolution des risques et des méthodes des fraudeurs.

Votre conseiller clientèle reste votre interlocuteur privilégié pour vous apporter tous les conseils en matière de sécurité, et pour vous guider et vous accompagner dans vos démarches.

Réseau sociaux : l'arnaque " get rich quick "

Qu’est-ce que c'est ?

Les réseaux sociaux les plus populaires en France (Facebook, Instagram, Twitter, YouTube, MySpace, Linkedln, Viadéo…) regorgent d’informations utiles pour mener ce type d’attaque. Les informations publiées par les utilisateurs (privées et/ou professionnelles), de manière intentionnelle sont mal contrôlées et peuvent être vues et donc récupérées par des personnes non autorisées et parfois malveillantes.
Les clients sont approchés sur les réseaux sociaux par des comptes qu'ils ne connaissent pas et qui sont généralement de faux profils. Ces derniers vous appâtent en proposant de gagner « de l’argent facilement » directement sur vos réseaux sociaux.

En contrepartie de cette collaboration, les détenteurs de faux profils proposent une commission intéressante. La victime de cette arnaque réceptionne les fonds (généralement par chèque) sur son compte puis elle doit soit effectuer des virements vers une banque étrangère, soit confier sa carte bancaire pour des retraits DAB/GAB.

Une fois la transaction terminée, la victime s'aperçoit que le chèque revient impayé et que le fraudeur a fui avec la somme.

Ce qui doit vous alerter

  • Soyez vigilants face à toute demande inhabituelle, urgente, confidentielle ou trop alléchante que vous recevez.
  • Le dépôt de fonds sur votre compte par des tiers inconnus pourrait participer à du blanchiment.
  • L'objectif des fraudeurs est de déstabiliser la victime et de tester sa rapidité de réaction pour réaliser la transaction frauduleuse, donner un prétexte d’urgence ou de sécurité, l'exploitation d’une faille humaine (peur, autorité, curiosité …).

Les bonnes pratiques

  • Sur vos réseaux sociaux, n'acceptez que des comptes officiels ou des personnes que vous connaissez.
  • Ne communiquez jamais vos identifiants et mots de passe ou encore votre numéro de carte bancaire. Il s'agit de données strictement personnelles.
  • Limitez la diffusion d’informations professionnelles sur les réseaux sociaux.
  • Soyez attentifs quant à la confidentialité de tout ce que vous publiez. Partagez uniquement les informations que vous souhaitez voir apparaître publiquement et réglez vos paramètres de confidentialité.
  • Utilisez des mots de passe robustes et uniques pour accéder à vos comptes sur les réseaux sociaux.
  • Évitez les ordinateurs et les réseaux Wifi publics car ils peuvent être piégés ou contrôlés par un cybercriminel.

La " fraude au président " et la " fraude au fournisseur "

Qu’est-ce que c'est ?

Ce type de fraude concerne la clientèle entreprise ou les professionnels.

La " fraude au président " consiste à se faire passer pour le dirigeant d’une entreprise afin d’obtenir le paiement d’une somme d’argent par le biais d’un virement.

La " fraude au fournisseur " consiste pour un faux fournisseur ou une fausse société d’affacturage à mettre en place les éléments nécessaires pour se faire payer le montant de factures émises par un véritable fournisseur.

Scénario :

Pour la fraude au fournisseur : vous recevez un mail vous informant du changement de coordonnées bancaires de votre fournisseur. Prêtez attention à l’adresse de l’expéditeur et au pays de domiciliation bancaire s’il est différent de celui de l’entreprise.

Pour la fraude au Président : le fraudeur a en amont récupéré un maximum d’informations sur l’entreprise (organigrammes, délégations, évènements récents, …) afin d’être crédible et de mettre en confiance sa victime, et l’appelle en se faisant passer pour le dirigeant.
L’appel se fait généralement à des moments où peu de personnes sont présentes (vendredi soir, veille de jour férié, vrai dirigeant en vacances ou en évènement commercial, etc.).
Il prétexte une situation inédite (téléphone perdu, voyage à l’étranger, imprévu, etc.).Il demande la réalisation d’opération(s) vers un bénéficiaire inhabituel (souvent un compte à l’étranger) et d’un montant important, avec absence de document justificatif.La demande est urgente, et peut être d’une formulation différente du langage habituel avec la personne concernée (le « vouvoiement » à la place du « tutoiement » ou inversement, par exemple).
La demande nécessite une extrême discrétion (nouveaux projets, investissement nécessitant le secret, confidentialité, etc.) et l’interlocuteur demande souvent de ne pas être recontacté.L’interlocuteur est rassurant (en félicitant sur la réactivité de la victime par exemple) ou au contraire fait usage d’un ton impérieux pour susciter la peur.

L'objectif:

  • Voler un maximum d’argent,
  • Nuire à la réputation de l’entreprise

Les bonnes pratiques

  • Evitez de communiquer des informations sensibleset/ou confidentielles sur l’organisation de l’entreprise, notamment via les réseaux sociaux.
  • Quel que soit le degré d’urgence, revérifiez la nature des opérations demandées.
  • Demandez toujours une confirmation de l’opération directement à la personne émettrice via un contre-appel, en utilisant les moyens de communication habituels (ligne directe habituelle, portable personnel) avant de réaliser l’opération.
  • N’exécutez une demande de virement que sur la base d’un document justificatif (facture notamment) et selon les procédures habituelles (circuits de validation/respect des délégations).
  • Ne restez pas seul face à vos doutes, demandez conseils avant de réaliser l’opération.
  • Si vous pensez avoir été victime d’une escroquerie contactez sans délai votre banque en vue de bloquer le paiement.

Les faux placements financiers

Qu’est-ce que c'est ?

Le faux placement est une offre qui s’annonce comme très rentable, à rendement rapide, voire même « sans risque », mais fausse

Afin d’en profiter, il est alors demandé de livrer de nombreux justificatifs personnels voire d’ouvrir un compte dédié au placement et au suivi de cet investissement.

Scénarios :

  • Sur Internet ou sur les réseaux sociaux, une pub vante un livret d’épargne ou placement (vin, diamants, crypto-actifs…) très rentable, garanti et net d’impôts. Elle renvoie vers un site rassurant avec simulateur et rattaché à une banque connue, avec même un certificat de garantie. Vous êtes en fait dirigé vers un site malveillant : aussi bien fait soit-il, le site est tenu par des fraudeurs qui usurpent parfois l’identité d’organismes financiers inscrits au registre officiel (Orias/Regafi).
  • Vous recevez un appel d’un conseiller financier vous promettant un investissement idéal, très rentable, garanti et voire même sans risque, éventuellement réservé à quelques initiés, ou à durée limitée. Son discours est particulièrement séduisant et ledit conseiller est très sympathique. Il vous incite à faire un virement rapidement. Il s’agit d’un fraudeur qui cherche à vous soutirer de l’argent.
  • Il n’existe pas de placement miracle à forte rentabilité et sans risque.

Les bonnes pratiques

  • Méfiez-vous des offres alléchantes pour lesquelles on vous promet de l’argent facile et sans risques.
  • Ne versez pas d’argent, ne donnez pas votre numéro de carte, ni votre RIB.
  • En cas de doute, faites le test sur les sites de
    l'AMF (Autorité des Marchés Financiers) ou appelez AMF Epargne Info Service au 01.53.45.62.00. Vous pouvez également consulter
    l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) sur internet (mais attention, le site malveillant n'est peut-être pas encore référencé).
  • Informez votre conseiller clientèle bancaire.