3 mai 2022 - 13 min de lecture
Le phishing est devenu un problème sociétal majeur qui cause un grand nombre de victimes. De nouveaux chiffres montrent que 2021 n’échappe malheureusement pas à la règle. Bien que ces chiffres montrent une baisse significative des cas de fraudes par phishing réussis, le nombre de tentatives de fraude reste élevé et n’épargne aucun secteur. Le secteur bancaire et le Centre pour la Cybersécurité Belgique (CCB) ont développé plusieurs campagnes de sensibilisation et leurs collaborations avec d’autres secteurs s’intensifient pour stopper les fraudeurs.
Ces nombreux efforts portent leurs fruits : le montant total des sommes dérobées par le biais du phishing s’est considérablement amoindri. En 2021, le montant des vols commis a connu une baisse de 9 millions d’euros par rapport à l’année précédente. Cela représente une baisse de plus de 26%. S’il faut s’en réjouir, difficile d’ignorer un autre constat : on voit un virage important vers de nouvelles formes de fraude, telles que la fraude à l’investissement, la fraude à la facture, la fraude à la demande d’aide ou la fraude aux comptes à sécurité renforcée, dans lesquelles les victimes sont poussées à transférer elles-mêmes de l’argent.
L’année 2020 a connu une énorme augmentation de toutes les formes de fraude en ligne, y compris du phishing. Dans ce dernier cas, les victimes transmettent leurs codes bancaires personnels aux fraudeurs – généralement en cliquant sur un lien qui mène vers un site web frauduleux – permettant à ces derniers d’effectuer des transactions en leur nom. En 2020, 34 millions d’euros ont ainsi été subtilisés. Dans l’intervalle d’un an, ce chiffre a baissé : pour 2021, le compteur s’élève à 25 millions d’euros. Cela représente une baisse de plus de 26%.
Ces 25 millions d’euros représentent la perte nette, soit le préjudice réel subi, tentatives de fraude non comprises. Environ 75% des virements frauduleux – mais signés en bonne et due forme – ont été stoppés par les banques, soit grâce à la détection et au blocage préventif soit par la récupération des montants volés. Ces cas de fraude évités par les banques ne sont pas inclus dans le montant net.
Ce chiffre concerne la fraude nette
À côté du phishing – qui consiste à « livrer » ses codes à des tiers – il existe de nombreux autres types de fraude en ligne. Ces derniers reposent sur la manipulation des victimes qui sont poussées à transférer elles-mêmes des sommes d’argent sur le compte du fraudeur.
Parmi ces types de fraude, la fraude à l’investissement ou fraude de type « boiler room » est en recrudescence. Il s’agit d’une forme d’escroquerie dans laquelle les fraudeurs vous proposent d’acheter des actions ou d’autres produits financiers fictifs ou sans valeur. Vous êtes généralement contacté-e de manière non sollicitée pour bénéficier d’une offre prometteuse de rendements très élevés. Les « vendeurs » exercent alors sur vous une forte pression afin que vous versiez toujours plus d’argent. Ce faisant, vous obtenez des actions fictives ou des produits financiers sans aucune valeur. Après vous avoir dépouillé, les criminels s’en vont avec votre argent.
Méfiez-vous des promesses de gains hors de toute proportion. Elles laissent souvent présager une fraude. Ce qui est trop beau pour être vrai ne l’est généralement pas.
Pour la fraude aux comptes à sécurité renforcée, les fraudeurs essaient de gagner la confiance de la victime en se faisant passer pour un-e employé-e de la banque et l’invitent à transférer son argent sur un prétendu nouveau compte sécurisé soi-disant en raison d’une escroquerie sur son compte courant. Bien évidemment, ce compte sécurisé n’existe pas. Lorsque l’argent est transféré, il se retrouve directement sur le compte du fraudeur.
La fraude à la demande d’aide est un autre exemple bien connu de ce type de fraude. Le fraudeur se fait passer pour une connaissance ou un membre de la famille de la victime et utilise une multitude de prétextes mensongers pour convaincre la victime d’effectuer un transfert.
Les fraudes à l’investissement, aux comptes à sécurité renforcée et à la demande d’aide sont donc autant de types de fraude dans lesquelles la victime transfère elle-même l’argent sur un compte appartenant à un escroc. Il existe cependant de nombreuses autres formes de fraude dans cette catégorie : la fraude à la facture, l'arnaque au faux support technique, la fraude à l’amitié, ainsi que la fraude au CEO.
Non seulement les fraudeurs utilisent différents canaux – tels que les e-mails, le courrier, le téléphone, les SMS, les médias sociaux et WhatsApp – mais ils le font au nom de différentes organisations et institutions telles que des banques, des administrations, des opérateurs de télécommunications, des sociétés de services publics, etc. La liste est longue. Il s’agit donc d’un vaste phénomène sociétal : différents secteurs sont concernés et, en raison de la grande variété des canaux, cela peut en principe toucher tout le monde.
Même si l’ingéniosité des fraudeurs peut être impressionnante, il est souvent possible d’éviter des dommages en étant vigilant :
Les banques ont développé différents systèmes pour garantir la sécurité des transactions et pour prévenir et/ou limiter autant que possible la fraude par phishing. Par exemple, l’authentification en deux étapes est requise pour les services bancaires en ligne et mobiles depuis une dizaine d’années. Pour pouvoir initier des paiements électroniques, le client s’identifie au moyen de deux des trois éléments suivants : quelque chose qu’il connait (par exemple, son code PIN), quelque chose qu’il possède (par exemple, son smartphone) et quelque chose qui lui est propre (par exemple, son empreinte digitale). Garantir un trafic de paiement fluide et rapide et une détection efficace des fraudes est un équilibre difficile et délicat. Cela nécessite des investissements continus en personnel et en infrastructures de la part du secteur bancaire.
Du reste, les banques investissent dans le monitoring intensif et préviennent ainsi une grande partie des dommages. Ces efforts donnent des résultats assez remarquables : environ 75% de tous les virements frauduleux ont été détectés et bloqués ou récupérés par les banques.
Les banques prennent donc constamment des mesures pour prévenir la fraude. Cela porte ses fruits dans le cas de fraudes liées au phishing, où les criminels tentent d’accéder au compte du client. Lorsque les victimes sont manipulées pour transférer elles-mêmes de l’argent aux fraudeurs, il est toutefois plus difficile pour la banque de reconnaître la fraude et de la détecter par un contrôle.
De nombreux efforts sont également déployés dans les campagnes de sensibilisation, tant au niveau des banques individuelles qu’au niveau sectoriel, afin d’appeler tout un chacun à faire attention au phishing et à la fraude en ligne. Les conseils transmis dans ces campagnes, tant sur les médias sociaux qu’à la télévision et à la radio, ont touché un large public cible. Le nombre de cas de fraude demeure cependant élevé, ce qui montre l’importance de continuer ce travail.
La campagne Safeonweb quasi permanente du Centre pour la Cybersécurité Belgique (CCB) vise à mettre en garde la population contre les dangers du phishing. Le site web www.safeonweb.be propose des conseils et un test pour apprendre à reconnaître rapidement les messages frauduleux.
Par ailleurs, dès 2017, le CCB a mis en place une adresse e-mail suspect@safeonweb.be. Celle-ci a connu un grand succès. Entre janvier et mars 2022, le CCB a reçu en moyenne 14 000 messages par jour, ce qui a permis de bloquer 129 920 sites web frauduleux. Tout le monde peut signaler des messages suspects via cette adresse e-mail. Ces signalements permettent au CCB de bloquer les liens contenus dans ces messages afin de protéger les personnes plus distraites contre ces faux liens et sites web. Tout cela commence manifestement à porter ses fruits.
Safeonweb dispose également d’une application qui vous permet d’être informé-e de manière simple et rapide. Cette application vous avertit des cybermenaces et des escroqueries en ligne. Depuis son lancement en novembre 2021, l’application a été téléchargée plus de 180 000 fois.
Miguel De Bruycker, directeur du Centre pour la Cybersécurité Belgique : « Les escrocs en ligne sont toujours à l’affût, mais nous sommes convaincus qu’avec nos mises en garde constantes, l’adresse e-mail suspect@safeonweb.be et aussi l’application Safeonweb, nous pouvons avertir les gens très rapidement et bloquer les sites web suspects. Nous continuerons à investir pour faire de l’internet un lieu sûr ».
Les campagnes de sensibilisation restent importantes, c’est pourquoi Febelfin, le Centre pour la Cybersécurité Belgique et la Cyber Security Coalition relancent le 3 mai la campagne Safeonweb «Soyez malin. Déjouez le phishing ». Cette campagne, lancée en novembre 2021, met en avant l’application Safeonweb, ainsi que l’adresse e-mail suspect@safeonweb.be pour le transfert des messages de phishing et le blocage des sites web frauduleux.
Étant donné les nombreuses formes et la nature complexe de la fraude en ligne, il existe non seulement des groupes de travail techniques composés d’experts financiers qui échangent des informations, mais aussi des partenariats avec d’autres instances. Par exemple, il existe des initiatives en coopération avec les opérateurs de télécommunications, les parquets, la police, les autorités gouvernementales et la justice pour lutter contre la fraude en ligne sous toutes ses formes. Ensemble, nous souhaitons également diffuser le message de sensibilisation le plus largement possible.
La fraude en ligne est devenue un problème sociétal. Les fraudeurs frappent de plus en plus fort et, en raison de la diversité de leurs modes opératoires, aucun secteur n’est épargné. Tout le monde est concerné et cela fait de la sécurité en ligne une responsabilité partagée. Nous pourrons gagner cette bataille uniquement si nous unissons nos efforts.
Vous avez reçu un SMS, un e-mail ou un message que vous soupçonnez être du phishing ? Soyez prudent-e-s et envoyez-le à suspect@safeonweb.be et, si le message abuse du nom d’une banque, envoyez-le aussi à la banque mentionnée.
Si vous recevez un message de phishing sur votre lieu de travail, prévenez également le département ICT. Faites suivre le message de phishing, puis supprimez-le.
Entreprenez sans plus tarder les démarches suivantes :