Phishing en 2020 : les chiffres

24 mars 2021 - 10 min de lecture

Au cours de l'année de crise 2020, la fraude via phishing (hameçonnage) a considérablement augmenté dans le monde entier. Les fraudeurs ont profité de l’occasion pour tromper les gens en exploitant plus que jamais l'émotion et l'actualité.

  • Les données recueillies montrent qu'en Belgique, il y a eu environ 67 000 transactions frauduleuses par hameçonnage, pour un montant d'environ 34 millions d'euros.
  • Les banques belges déploient d'énormes efforts pour prévenir les fraudes de ce type (investissements constants dans la sécurité des services bancaires en ligne et mobiles, suivi intensif des opérations, actions de sensibilisation, etc.) Plus de 75 % de tous les virements frauduleux sont détectés et bloqués ou récupérés par les banques.
  • Le phishing est devenu un problème de société. Les fraudeurs sont de plus en plus actifs et, compte tenu de la diversité de leurs modes opératoires, aucun secteur n'est épargné. Le secteur bancaire a déjà lancé plusieurs campagnes de sensibilisation, mais il collabore aussi de plus en plus avec d'autres secteurs pour contrer ces escrocs. Des concertations régulières et de plus en plus pointues ont ainsi lieu avec le secteur des télécommunications, la police, le Parquet, les autorités publiques et la justice. Ce n'est qu'ensemble que nous pourrons mener à bien cette bataille.
  • Malgré l'ingéniosité des fraudeurs, le phishing est simple à éviter si l’on fait preuve de suffisamment de vigilance et de prudence et que l’on respecte quelques principes:
    • ne communiquez jamais vos codes personnels (code pin et code de réponse) en réponse à un e-mail, un appel téléphonique, un sms, un message sur un média social ou via Whatsapp. Si on vous demande ces codes, c’est qu’il s'agit d’office d'une escroquerie.
    • ne cliquez jamais sur un lien qui vous a été envoyé, tapez en revanche toujours l'adresse du site web de votre banque dans votre navigateur ou utilisez votre propre application bancaire mobile.

Les chiffres expliqués

 

En 2020, nous avons constaté une augmentation considérable de toutes les formes de fraude en ligne, y compris du phishing. Lorsqu’elles se font hameçonner, les victimes communiquent, sans s’en rendre compte, leurs codes bancaires personnels aux fraudeurs – généralement en cliquant sur un lien qui mène vers un site web frauduleux. Les escrocs n’ont alors plus qu’à effectuer des transactions au nom de leur victime. Nos statistiques montrent qu'en 2020, le phishing a permis environ 67 000 transactions frauduleuses, pour un butin total net (ndbp) d'environ 34 millions d'euros.

Plus de 75 % des virements frauduleux – mais parfaitement signés – ont pu être inversés par les banques, tant en les détectant et en les bloquant à temps qu’en récupérant les montants dérobés. Les montants récupérés par les banques ne sont pas inclus dans le montant net précité.

Les chiffres et les montants sont importants, mais ne peuvent être comparés aux années précédentes, car Febelfin rapporte pour la première fois tous les types de phishing (sans faire de distinction entre phishing bancaire et non bancaire) et tous les types de paiements (et non plus exclusivement les virements électroniques, mais aussi les opérations électroniques par carte).

Cette distinction est importante : dans le cas du phishing bancaire, les fraudeurs se font passer pour une institution financière en copiant le logo et la présentation de la banque. On parle de phishing non bancaire lorsque les escrocs s'adressent à leurs victimes potentielles au nom d'autres organisations telles que des sociétés de commerce électronique, des entreprises de télécommunications ou les pouvoirs publics. Le phishing est devenu ces derniers temps un phénomène sociétal qui touche tous les secteurs, et pas uniquement les institutions financières.

Les fraudeurs utilisent aussi de plus en plus les paiements électroniques par carte (ceux qu’ils réalisent en payant en ligne en votre nom avec votre carte), c'est pourquoi nous incluons également ces chiffres de fraude dans nos statistiques.

Limiter le signalement au phishing bancaire et aux virements électroniques comme nous l'avons toujours fait par le passé n'était donc plus représentatif.

Les chiffres ici donnés n’incluent pas les formes de fraude en ligne dans le cadre desquelles le fraudeur n'a pas essayé d'obtenir les codes personnels de la victime. Dans ces cas, la victime a été manipulée pour transférer de l'argent sur le compte du fraudeur. Il s'agit, par exemple, de la fraude à la demande d’aide, de la fraude à la facture et de la fraude au CEO.

De effectief geleden schade. Het nettobedrag is niet meer terug te vorderen door de banken.

Pour éviter le phishing, ne donnez jamais vos codes et ne cliquez pas sur un lien

 

La crise actuelle et les nombreux contacts numériques sont l'occasion pour les fraudeurs d'escroquer les gens. Les différentes formes de phishing sont nombreuses et complexes. Les fraudeurs utilisent non seulement différents canaux – tels que le courriel, la lettre, le téléphone, le sms, les médias sociaux et Whatsapp – mais ils se servent aussi du nom de différentes organisations et institutions telles que des banques, des administrations publiques, des opérateurs de télécommunications, des sociétés de services publics, etc. La liste est longue. Il s'agit donc d'un vaste phénomène sociétal : différents secteurs sont concernés et, compte tenu de la grande diversité des canaux, tout le monde est une victime potentielle.

L'ingéniosité des fraudeurs peut être impressionnante, mais le phishing reste simple à prévenir:

  • Ne communiquez jamais de codes personnels (code PIN et code de réponse) en réponse à un e-mail, un appel téléphonique, un sms, un message sur les médias sociaux ou via Whatsapp.
  • Ne cliquez jamais non plus sur un lien que vous avez reçu, mais tapez toujours vous-même l'adresse du site web de votre banque dans votre navigateur ou utilisez votre propre application bancaire mobile. Ce n'est qu'alors que vous pourrez être sûr-e que tout va bien.

En résumé : la banque en ligne et les paiements numériques sont sûrs tant que vous ne communiquez pas vos codes bancaires et continuez à faire preuve de vigilance.

Que fait la banque pour vous protéger au mieux contre le phishing ?

 

Les banques ont intégré divers systèmes pour garantir la sécurité des transactions et prévenir et/ou limiter autant que possible les fraudes dues au phishing. Par exemple, l'authentification en deux étapes est requise pour les services bancaires en ligne et mobiles depuis une dizaine d'années. Le client s'identifie au moyen de deux éléments – une carte ou un téléphone, un code PIN, une empreinte digitale ou un scan du visage – pour initier des paiements électroniques.

Les banques investissent dans un suivi intensif ce qui leur permet d’inverser une grande partie des dommages. Ces efforts donnent des résultats remarquables : plus de 75 % de l’ensemble des virements frauduleux (pour lesquels un code de réponse dérobé a été utilisé) sont détectés par les banques et bloqués ou récupérés.

Garantir des paiements souples et rapides et une détection efficace des fraudes constitue un équilibre difficile et délicat. Cela nécessite des investissements constants du secteur bancaire dans le personnel et les infrastructures, mais les résultats sont encourageants.

Nous nous impliquons aussi intensément dans des campagnes de sensibilisation, en appelant chacun à se méfier du phishing et de la fraude en ligne. Les campagnes de conseils, tant sur les médias sociaux qu'à la télévision et à la radio, ont touché un large public cible. Mais le nombre de cas de fraudes continue d'augmenter, nous avons donc encore du pain sur la planche. Les campagnes de sensibilisation resteront importantes, mais le secteur financier agit bien au-delà.

 

Ensemble, nous intensifions la lutte

 

Compte tenu de la nature du problème, il existe non seulement des groupes de travail techniques composés d'experts financiers qui échangent des informations afin de détecter les fraudes autant que possible, mais nous travaillons également sur des partenariats avec d'autres parties prenantes. Des initiatives sont ainsi en cours en collaboration avec les opérateurs de télécommunications, le Parquet, la police, les autorités publiques et la justice pour lutter contre le phishing dans toutes ses facettes et manifestations. Ensemble, nous voulons également diffuser le message de sensibilisation le plus largement possible.

Le phishing est devenu un problème sociétal. Les fraudeurs sont de plus en plus actifs et, compte tenu de la diversité de leurs modes opératoires, aucun secteur n'est épargné. Tout le monde est concerné : la sécurité en ligne est une responsabilité partagée. Ce n'est qu'ensemble que nous pourrons mener cette bataille. 

 

3 façons d'éviter le phishing

 

Le phishing peut être évité. Vous aurez toujours une longueur d'avance sur les fraudeurs si vous suivez de manière conséquente les règles ci-dessous :

  • Ne donnez jamais votre code PIN ou les codes générés par votre lecteur de carte en réponse à un message reçu par e-mail, sms, média social ou téléphone.
  • Ignorez les messages contenant un lien supposé vous mener vers un site de paiement ou vers le site web de votre banque : l’un comme l’autre peuvent être faux.
  • N'effectuez des virements qu'en utilisant votre application bancaire habituelle sur votre smartphone ou tapez l'adresse du site web de votre banque dans votre navigateur. Faites également attention aux moteurs de recherche : les fraudeurs peuvent aussi s’en servir pour vous conduire vers de faux sites web.

Vous avez constaté quelque chose de suspect ?

 

Vous avez reçu un sms, un courriel ou une lettre qui vous évoque une tentative de phishing ? Méfiez-vous et signalez le message à phishing@nomdedomainedelabanque et à suspect@safeonweb.be. Transférez-leur le message de phishing, puis supprimez-le.

 

Vous êtes malgré tout tombé-e dans le piège ?

 

Prenez sans plus tarder les dispositions suivantes :

  • Appelez Card Stop au 070 344 344.
  • Informez votre banque.
  • Rassemblez toutes les informations dont vous avez besoin pour prouver les faits et le préjudice subi.
  • Faites immédiatement une déclaration à la police.