Malgré ces différents noms, l'objectif reste identique: accéder à des données sensibles, telles que mots de passe, numéros de compte ou autres informations importantes.
Les malfaiteurs trouvent toujours de nouvelles façons créatives d’attirer leurs victimes. Il vous est peut-être déjà arrivé de recevoir un SMS vous indiquant que votre carte de la CNS a expiré ou qu'un colis vous attend auprès d'un point de distribution du groupe Post, un SMS dans lequel il vous est demandé de cliquer sur un lien.
Que se passe-t-il si vous accédez à cette demande? Marie-Paule Wegener en a fait l'expérience. Elle a saisi ses coordonnées bancaires sur un faux site Internet et, en quelques minutes, 2.000 euros ont disparu, par virement sur un compte à Bordeaux. Marie-Paule a immédiatement fait bloquer sa carte bancaire et le certificat Luxtrust. Elle a seulement pu appeler sa banque le lendemain matin, vu que les faits s'étaient passés après 18h00. Le transfert ne pouvait plus être refusé à ce moment-là.
Marie-Paule Wegener me comprend pas vraiment pourquoi elle ne peut pas récupérer son argent: "Puisque j’ai saisi toutes mes données, la banque ne me rembourse rien. Je ne comprends simplement pas ce système, qu'il n'y ait vraiment rien à faire. Que les gens soient simplement abandonnés à leur sort."
C'est aussi une critique exprimée par l'ULC, l'Union luxembourgeoise des consommateurs. Etant donné que les clients sont de plus en plus poussés vers les services bancaires en ligne, les banques doivent faire davantage pour les protéger et mieux les informer. D’autant plus que les attaques par phishing sont de plus en plus difficiles à reconnaître pour le consommateur moyen, selon Nico Hoffmann, président de l'ULC.
L'indemnisation dépend du bon vouloir de la banque. Cette dernière n'est pas tenue de rembourser le client s'il traite ses données avec négligence, indique l'ABBL, l'Association des banques et banquiers luxembourgeois.
Mais pourquoi est-il si difficile de retracer le parcours de l’argent volé? Surtout quand on sait où il est allé, comme dans le cas de Marie-Paule. Cela est souvent dû au fait que les criminels n'utilisent pas leurs propres comptes pour des activités illégales, explique Ananda Kautz de l'ABBL. Ils recrutent des intermédiaires appelés "money mules", c'est-à-dire des personnes qui mettent à disposition leur compte bancaire pour transférer de l'argent obtenu de manière illégale. L'argent est transféré du compte de la victime de hameçonnage vers le compte de la money mule, qui le transfère ensuite éventuellement vers d'autres comptes, jusqu'à ce qu'il parvienne à un moment donné au hacker.
En plus de Luxtrust Mobile, beaucoup plus sûr que le classique "Token", l'"IBAN Name Check" sera introduit dans un futur proche. Cet instrument est particulièrement important dans le contexte des paiements instantanés, c'est-à-dire des virements qui passent d'un compte à l'autre en 10 secondes. Dans ce cas, la possibilité d'arrêter le transfert est en effet supprimée. Ananda Kautz explique le principe de l'"IBAN Name Check": "Aujourd’hui on peut envoyer l’argent à n’importe qui, ce qui compte c'est le numéro de compte IBAN, mais pas le nom du bénéficiaire. Demain, partout en Europe, il y aura ces contrôles, entre le nom du bénéficiaire et l’IBAN. Donc ça va donner une confiance."
Ce système fonctionne déjà aux Pays-Bas. Il a permis de réduire de 80% les cas de phishing auprès des grandes banques néerlandaises.
Environ 1.300 attaques par phishing ont été officiellement recensées au Luxembourg en 2023. On ignore le nombre exact de hameçonnages commis au Grand-Duché. De plus, les mails et SMS falsifiés sont de plus en plus parfaits, de sorte qu'ils sont difficiles à détecter. Jimmy Diallo, expert en cybersécurité, nous confie quelques trucs:
1. Pression, contrainte de temps
Si dans le message, une contrainte de temps vous est imposée, cela doit immédiatement déclencher une sonnette d'alarme. Les pirates informatiques spéculent en effet sur le fait que les gens agissent de manière imprudente sous l’effet du stress et de la peur.
2. Contrôler les liens
La plupart du temps, il vous est demandé de cliquer sur un lien précis, par exemple, pour prolonger un abonnement. Mais avant de cliquer sur ce lien, il vous suffit de passer la souris dessus. Dans le coin inférieur gauche de votre écran, s'affiche alors la description du lien, dans laquelle il y a une erreur car il n'est pas authentique.
3. Vérifier l'URL
Si vous avez quand même cliqué sur le lien, il n'est pas encore trop tard, tant que vous n'avez saisi aucune donnée. Là, il est important de regarder la ligne de l'URL au-dessus, c'est-à-dire l'adresse du site Web. Si elle est fausse, vous y trouverez aussi des erreurs, même si elles ne sont peut-être pas visibles au premier regard.
Il faut donc garder les yeux ouverts, même si l’adresse e-mail semble authentique à première vue, car elle peut s'avérer facilement fausse.
Après sa mauvaise expérience, Marie-Paule supprime tous les SMS ou mails, qu'elle reçoit et appelle ensuite les personnes concernées, afin de vérifier s'il s'agissait d'un véritable message.
"Il m’a fallu quelques jours pour le digérer, car 2.000 euros, ce n’est pas rien. Je ne me sentais pas bien. J'étais en colère contre moi-même parce que je n'avais pas vu cela. Je ne sais pas pourquoi j'ai fait ça, je ne peux pas le dire."
Après avoir entrepris toutes les démarches nécessaires auprès de la banque et de la police, Marie-Paule n'a plus rien entendu à propos de son dossier. Elle ne reverra jamais les 2.000 euros.
Voici une liste de liens utiles afin d'éviter de vous retrouver victime d'une attaque par phishing:
Une liste des attaques par phishing actuelles et la manière dont vous pouvez les reconnaître.
Votre adresse e-mail a-t-elle déjà été divulguée? Découvrez-le ici.
Apprenez ici comment interagir en sécurité avec les services bancaires en ligne.
Le reportage de RTL en luxembourgeois:
