Dans ce type d’arnaque, les criminels utilisent des numéros de téléphone luxembourgeois pour se faire passer pour une banque ou pour Luxtrust. Dans ce cas, la victime a perdu 30.000 euros et ses chances de récupérer son argent sont infimes.
Pit* n’aurait jamais cru être lui-même un jour victime. Il est d’âge moyen et se décrit comme plutôt méfiant.
Il y a un mois, il a reçu un faux message de Payconiq, prétendant que son certificat aurait expiré. Il devait donc ressaisir ses données bancaires. C’est ce qu’il fait d’abord, mais ensuite il se souvient que de nombreux faux messages de ce type circulent ces derniers temps, alors il fait bloquer sa carte Visa. Le soir, il reçoit un appel d’un faux collaborateur de Luxtrust:
“Il m’a immédiatement mis la pression après m’avoir dit que deux payements avaient déjà été effectués avec ma carte Visa à l’étranger sur un site espagnol. Ensuite il m’a dit: ‘Je vais maintenant vous donner un lien, puis vous irez sur vos mails privés, vous cliquerez sur ce lien, et là un site de chez nous s’ouvrira, de Luxtrust, et là je vous inviterai alors à rentrer vos codes, car je vais vous commander deux nouvelles cartes.'"
Pit a été victime de ce qu’on appelle une arnaque par “spoofing”, c’est-à-dire par usurpation d’identité. Il est fort probable que les auteurs se trouvent à l’étranger. A l’aide d’un logiciel, ils génèrent des numéros de téléphone luxembourgeois et, grâce à des téléphones spéciaux, ils peuvent afficher ces numéros sur les écrans de leurs victimes, comme l’explique Steve Muller de la plateforme Bee Secure: “Normalement, il n’est pas possible d’appeler avec un faux numéro au Luxembourg, car votre opérateur voit que le numéro ne correspond pas à la carte SIM, alors il le bloque, mais dans d’autres pays, ce n’est pas le cas.”
Il faut ajouter qu’il peut arriver que le numéro de téléphone portable affiché appartienne effectivement à une personne au Luxembourg qui, bien entendu, tombe des nues lorsqu’elle est rappelée.
Il ne suffit pas de décrocher le téléphone pour se faire pirater. Plusieurs opérateurs travaillent actuellement sur un filtre permettant de reconnaître de tels appels, mais il n’existe pas encore de solution. Par conséquent, pour le moment, seul le bon sens protège.
La police met régulièrement en garde contre les arnaques à l’usurpation d’identité. Ni elle-même, ni une société luxembourgeoise ni une banque ne contacteront une personne pour obtenir ses données personnelles par téléphone. Une fois l’infraction commise, pour attraper les auteurs, c’est une autre histoire. C’est quasiment impossible, précise Marc Ragnacci du Service prévention de la police:
“Les possibilités sont infimes. Bien sûr, nous avons nos enquêteurs de police spécialisés de la police judiciaire, de la lutte contre la cybercriminalité, contre la criminalité en général, de l’anti-blanchiment. Mais les auteurs opèrent depuis l’étranger et il nous est difficile d’obtenir des résultats par l’intermédiaire du parquet.”
La police estime que ces arnaques vont continuer à se multiplier. En général, les délits d’escroquerie ont augmenté de 30% l’année dernière. Cependant, il n’existe pas de chiffres spécifiques concernant uniquement l’usurpation d’identité.
Les hackers ont discuté avec Pit pendant près de deux heures. Ils étaient sympathiques au fond, et il n’a pas réalisé que Luxtrust et Payconiq n’ont rien à voir l’un avec l’autre, et que Luxtrust ne bloque pas les cartes bancaires et n’en émet pas de nouvelles. De plus, il n’existe chez Payconiq aucun certificat qui puisse expirer.
Le faux employé de Luxtrust persuade néanmoins Pit de remettre, tard le soir, sa deuxième carte bancaire et son token à un soi-disant deuxième employé. Pour rassurer la victime, le criminel envoie à Pit un code supplémentaire par SMS, qu’il doit avoir par mesure de sécurité. Ce n’est que si l’autre personne lui dicte le bon code qu’il doit lui remettre les cartes.
“Ensuite je lui ai remis cela en main propre et à partir de ce soir-là, mon application bancaire n’a plus fonctionné. Ils m’ont dit qu’ils allaient la bloquer pour que les brigands n’y aient plus accès. Mais c’étaient eux les brigands.”
Le soir-même, 10.000 euros ont été prélevés à un distributeur automatique de billets, 20.000 euros ont été virés sur des comptes en Belgique et en France. La banque a bloqué un autre virement de près de 10.000 euros en Espagne. Mais aucune assurance n’intervient dans ce cas, Pit est considéré comme responsable pour avoir fourni lui-même ses données. Il a porté plainte, mais il a peu d’espoir, parce que ces comptes à l’étranger sont presque certainement gérés sous de faux noms. Il a très probablement définitivement perdu cet argent. Il ne peut pas vraiment expliquer pourquoi il est tombé dans ce piège. Il avait toujours des doutes, mais le faux employé avait à ce moment-là une réponse plausible à chaque question: “Je me suis vraiment fait avoir comme un débutant!”
*Le prénom a été modifié par la rédaction
