Si le message est inattendu (gain à une loterie, héritage, vérification de compte..), comporte des fautes d’orthographe ou vous demande des informations confidentielles, il s’agit d’une cyber-attaque appelée « phishing » (hameçonnage). Surtout n’y répondez pas et transférez-le au Centre pour la Cybersécurité Belgique. Il ne faut jamais communiquer son identifiant ni son code de carte bancaire par e-mail.
Il vous arrive parfois de recevoir des e-mails vous invitant à communiquer vos données bancaires pour retirer un gain ou « mettre à jour » vos comptes. Ces cyber-attaques, appelées phishing (ou hameçonnage), peuvent avoir de lourdes conséquences. Environ 9 % des internautes belges ont été victimes de fraude sur Internet et y ont perdu de l’argent (Eurostat 2015).
Elise V., 41 ans, Kessel-Lo: “J’ai reçu un e-mail de ma banque me demandant de mettre à jour mes données d’utilisateur pour Homebanking. Je n’étais au courant d’aucun acte frauduleux et j’ai fourni mon identifiant et mon mot de passe. Mais j’ai ensuite détecté des transactions suspectes sur mon compte. J’ai donc contacté Legal Village pour savoir ce qu’il fallait faire.”
L’avis de notre expert
Pour vous tendre un piège, ces cybercriminels se font passer pour un organisme qui vous est familier (banque, administration…) en reprenant son logo officiel, son nom et sa charte graphique pour gagner facilement votre confiance. Ils utilisent des canaux de communication diversifiés pour entrer en contact avec vous (e-mail, WhatsApp, Facebook, Messenger, etc.).
Pour distinguer ces faux messages, vous pouvez faire le test proposé par le Centre pour la Cybersécurité Belgique (CCB). À l’aide d’exemples réalistes, vous apprendrez les astuces pour les identifier plus facilement.
Sachez que si vous rencontrez l’une de ces situations, vous devez vous interroger :
- le message contient un lien inhabituel (comme par exemple : http://lenomdevotrebanque-be.site alors que ce devrait être celui-ci www.lenomdevotrebanque.be)
- le nom de domaine de l’adresse e-mail de votre interlocuteur paraît étrange (exemple : @xyz542.be)
- le message est inattendu : il est question d’un gain à une loterie, de percevoir un héritage, d’une « mise à jour » ou « vérification » de vos comptes, d’une livraison fictive ; vous êtes interpellé par une banque dont vous n’êtes pas client…
- vous êtes invité à communiquer vos coordonnées bancaires ou il vous est demandé de verser une avance / payer des frais annexes ; vous devez compléter des données confidentielles
- le langage du message est impersonnel, contient des fautes d’orthographe ou est indiscret
- de même votre code pin ne peut jamais être demandé et ne doit jamais être communiqué par téléphone ou par mail.
Une fois le message suspect identifié, n’y répondez pas et transmettez-le au CCB : suspect@safeonweb.be. Le CCB effectuera un scan automatique des liens et pièces jointes à l’aide d’une technologie anti-virus avancée. Les liens dangereux seront consignés dans une liste noire et bloqués par les principaux navigateurs web. Enfin, les données techniques relatives aux virus seront mises à la disposition des entreprises anti-virus.
Elise a divulgué ses codes d’accès online et les cyber-pirates en ont usés. Il faut donc impérativement avertir la banque ou l’organisme financier pour bloquer les accès au compte et obtenir par la suite un remboursement. L’institution financière doit vous rembourser l’argent qui a été soustrait de votre compte bancaire mais avec une franchise de 150€ qui reste à votre charge pour les montants soustraits entre le moment du vol et le moment où vous avez notifiée le vol à la banque.
Cette franchise de 150€ n’est pas d’application lorsque la carte a été utilisée sans présence physique et sans identification électronique ou si la carte bancaire a été copiée ou falsifiée et que vous étiez au moment de l’opération en possession de votre carte de paiement.
Ceci ne s’applique pas non plus si ce moyen de paiement a été copié ou contrefait et que vous êtes toujours en possession de ce moyen de paiement au moment du paiement.
Toutefois, les opérations effectuées après la notification à la banque doivent être remboursées dans leur intégralité. Il est donc important de contacter l’institution dès que possible.
L’institution financière ne doit toutefois rien rembourser si elle prouve une négligence grave dans le chef de la victime.
Indien de phishing betrekking heeft op een bankkaart, moet je bezwaar maken en bellen naar Cardstop: 070 344 344.
Le résultat
Elise avait souscrit à l’assurance protection juridique Legal Village et son ordinateur était équipé d’un antivirus.
Ses moyens de paiement en ligne ayant été utilisés frauduleusement, Legal Village lui a conseillé de contacter le service clientèle de sa banque pour obtenir un remboursement et modifier ses codes d’accès au homebanking.
Elise a porté plainte et Legal Village a pris en charge les frais nécessaires à la défense de ses intérêts.
Sur les conseils de Legal Village, elle a également signalé l’agression aux autorités compétentes.
- Elise a été sensibilisée aux techniques d’identification des faux-message afin de s’en prémunir à l’avenir
Ce qu’il faut retenir
- Apprenez à repérer les faux messages à temps
- Si vous êtes témoin d’une attaque de phishing, dénoncez-la immédiatement au Centre pour la Cybersécurité Belgique
- Ne communiquez jamais votre identifiant et code de carte bancaire par e-mail ou par téléphone !