UFC-Que Choisir Béziers

Commerce, Méthode de vente - Abus

Attention aux sites frauduleux !

L’autorité de contrôle des banques (ACPR) alerte sur la multiplication de sites frauduleux de banques, très bien imités. Méfiance, il s’agit de tentatives de phishing, bien cachées mais réelles.

Une recrudescence de faux sites bancaires sévit actuellement : un phénomène sur lequel alerte l’Autorité de contrôle prudentiel et de résolution (ACPR). L’institution qui contrôle les banques et assurances constate en effet que des escrocs falsifient en masse les pages Internet de nombreuses compagnies existantes. Ces contenus frauduleux sont « quasi intégralement identiques mais se présentent sous des noms différents ou avec quelques variations », prévient l’ACPR, qui a ainsi épinglé 60 sites illicites depuis la fin août, ajoutés à sa liste noire et transmis au Parquet de Paris, qui a entamé un travail d’enquête et de procédure judiciaire.

L’objectif de cette mascarade consiste principalement à soutirer aux victimes des données personnelles. Soit une technique de phishing (hameçonnage) classique. Monsieur C. a récemment fait les frais de cette arnaque. Client au LCL, il n’y a vu que du feu tant le site frauduleux ressemblait à l’officiel. Il reçoit un courriel (voir encadré) prétextant un besoin de mise à jour de son profil, avec un lien renvoyant vers le soi-disant site de la banque. Il entre alors ses codes d’accès. Les arnaqueurs s’en emparent, les modifient et prennent possession de son compte en ligne. Ils accèdent alors à toutes ses données bancaires (numéro de compte, adresse, etc.). Il y a urgence. « Le soir même, j’ai voulu me connecter sur mon compte via le site de ma banque, confie-t-il. Je n’y avais plus accès : les escrocs avaient changé les codes. J’ai tout de suite cherché à contacter mon agence. Comme elle était fermée, j’ai composé le numéro d’urgence. Mais il était impossible de les joindre sans renseigner au préalable mes codes d’accès ! J’ai donc dû attendre le lendemain matin pour les avertir afin qu’ils bloquent mon compte, pour éviter toute transaction frauduleuse. »

Outre ces techniques de phishing, l’ACPR met en garde contre des tentatives d’extorsion d’argent, également rencontrées avec ce genre de faux sites : les victimes, à qui l’on fait miroiter de juteux rendements, « versent des sommes croissantes, à titre de placement initial ou pour couvrir des frais divers, qu’elles ne parviennent pas à récupérer par la suite », précise l’autorité.

Comment repérer un faux site

Si les sites ressemblent à s’y méprendre à ceux des banques officielles, certains indices pourront vous mettre la puce à l’oreille. Les url listées par l’ACPR mènent vers des contenus qui ont des points communs. Nombreux sont les sites qui affichent une colonne à droite « Accès client », visant à vous faire remplir vos nom d’utilisateur et mot de passe. Le piège est là, mais aussi derrière le gros bouton rouge « Créer un compte » pour de potentiels nouveaux souscripteurs, qui doivent alors transmettre moult données.

Exemple faux site ACPR
Exemple de faux site bancaire relevé par l’ACPR.

 

Avant de remplir de tels champs, renseignez-vous au maximum. Si vous êtes client, contactez votre banque via le canal habituel pour savoir si elle est bien l’expéditrice du message. Sinon, documentez-vous sur l’organisme en sortant du site Web vers lequel vous avez été renvoyé (recherche Internet, numéro de téléphone…).

Même si les escrocs ont fait de gros progrès en orthographe, surveillez les incohérences et les coquilles. De plus, tout site arborant partout de gros boutons visant à vous faire cliquer sur « souscrire » ou « s’identifier » est suspect. L’adresse url ou encore le nom de la banque vous aideront à savoir si vous avez affaire à un organisme officiel : bien souvent, les personnes malveillantes opèrent des changements mineurs (une lettre, par exemple), mais qui ont ici toute leur importance, car ces informations sont fondues dans une masse de données usurpées. Idem si vous recevez un courriel visant à vous faire cliquer : vérifiez scrupuleusement l’adresse de l’expéditeur. Mais attention, elle a pu être usurpée, cette information ne sera pas suffisante.

 

Le courriel reçu par Monsieur C. semblait provenir de sa banque, le LCL.

Exemple faux mail LCL 1

 

Je suis victime de phishing, que faire ?

Si vous êtes victime d’une telle tentative de phishing, prévenez immédiatement votre banque afin qu’elle bloque votre compte en ligne et surveille les mouvements suspects sur votre compte bancaire.

Vous pouvez appeler Info Escroquerie (0 805 805 817), une plateforme téléphonique publique, pour témoigner. Un afflux de plaintes facilite la sensibilisation auprès de la population. Vous pouvez également signaler cette technique de phishing en ligne via la plateforme Cybermalveillance ou remplir une pré-plainte sur le site du ministère de l’Intérieur pre-plainte-en-ligne.gouv.fr avant d’aller au commissariat.