Le ton est alarmiste. Un post partagé plus de 107.000 fois sur Facebook depuis le 3 octobre alerte sur une arnaque visant des titulaires de comptes au Crédit Agricole. Le procédé est expliqué de la sorte : la victime est contactée par téléphone par une personne se présentant comme son conseiller bancaire. Cette personne assure qu’elle « ne demandera aucun numéro ».

Elle indique appeler pour mettre à jour un « securicode ». Et pour preuve de sa bonne foi donne des informations comme « le numéro de compte, le solde exact de mes trois comptes », précise la publication. Un nouveau code de sécurité est envoyé par sms. « Je me dis que ça pue, commente l’internaute. Si tu rentres ce code, il rajoute un nouveau bénéficiaire et te vide tes comptes ! » Attention, alerte le post, « le tour est vraiment très bien joué ».

FAKE OFF

Un expert bancaire, contacté par 20 Minutes, confirme le procédé qui « se focalise sur le Crédit Agricole » dans ce post, mais se révèle être « un scénario de phishing classique qui impacte les clients de toutes les banques ». Ainsi, le fraudeur a récupéré, en amont, un certain nombre d’informations pour mettre sa victime en confiance et crédibiliser son discours, explique-t-il.

Si la généralisation de l’authentification forte a permis la baisse du taux de fraude des paiements sur Internet (- 20 %), les menaces évoluent, note le dernier rapport de l’Observatoire de la sécurité des moyens de paiement. Les techniques de fraude par « manipulation » des clients et par des campagnes d’usurpation d’identité se sont développées en parallèle et sont de plus en plus élaborées.

Un nombre de signalements en hausse

Le nombre de signalements de fraudes, avec usurpation d’identité de type appel de faux conseillers bancaires, a ainsi « très fortement augmenté ces derniers mois », confirme l’Autorité de contrôle prudentiel et de résolution (ACPR). D’autres scénarios ont cours : le fraudeur peut prétendre devoir bloquer ou annuler dans l’urgence une fraude à la carte bancaire ou au virement sur le compte, pointe le site Assurance, banque, épargne info service, une plateforme commune mise en place par l’ACPR, la Banque de France et l’Autorité des marchés financiers (AMF).

Ces appels visent en réalité à contourner les nouveaux dispositifs de sécurité des paiements. Fréquemment, précise aussi le site, les escrocs utilisent une technologie qui leur permet de faire apparaître le numéro de téléphone de la banque usurpée et de masquer leur vrai numéro.

Des informations récupérées par phishing ou malware

Dans un premier temps, des informations ont généralement été récupérées par phishing, c’est-à-dire qu’un e-mail a été envoyé demandant de « mettre à jour » ou de « confirmer [ses] informations suite à un incident technique », notamment les coordonnées bancaires, soit par un malware de type "stealer", un logiciel qui vole les données des utilisateurs stockées dans le navigateur.

Une fois ces informations obtenues, le fraudeur appelle ensuite le client avec l’objectif de faire valider des opérations protégées par des mesures d’authentification renforcées. « Dans le cas présenté, il s’agit visiblement de l’ajout d’un numéro de compte externe, ce qui suppose que le fraudeur bénéficie déjà d’un accès à la banque en ligne du client », souligne l’expert bancaire.

Ne jamais communiquer ses données par e-mail ou téléphone

Le fraudeur demande à la victime d’ajouter un compte, action qui déclenchera l’envoi d’un code de sécurité temporaire par SMS, et qu’il tente de récupérer pour finaliser l’ajout de comptes externes et effectuer des virements en sa faveur.

Le Crédit Agricole indique mobiliser des moyens humains et financiers pour lutter contre la cybercriminalité et rappelle qu’il ne demande jamais de communiquer des données par e-mail ou téléphone. Le site Internet de la banque recense, par ailleurs, des exemples de tentatives de fraudes et explique les bonnes pratiques à mettre en œuvre. L’Observatoire de la sécurité des moyens de paiement liste aussi des conseils de prudence en cas d’activités suspectes.