Détecter les fraudes et s’en prémunir

Le mode opératoire

Le point de départ de cette fraude est généralement un message de phishing (ou hameçonnage en français) reçu par SMS ou par email le plus souvent.

Un lien vers un site internet est inclus dans ce message qui vous demande un paiement par carte :

• Pour régler une amende de circulation routière (stationnement, excès de vitesse, …)
• Pour accélérer ou débloquer la livraison d’un colis (Colissimo, UPS, Amazon, ….)
• Pour fabriquer ou expédier une Carte Vitale, une vignette CritAir, …
• Pour régler un solde d’impôt ou obtenir un remboursement de trop payé,
• Pour régulariser un incident de paiement à un service d’abonnement (fournisseur d’énergie, opérateur téléphonique, Netflix, CanalPlus, Navigo, …)
• Pour tout autre prétexte, l’imagination des escrocs étant sans limite sur le sujet.

Le but de ces demandes est de vous faire saisir vos coordonnées (permettant de vous recontacter) et les éléments de votre carte bancaire (numéro, validité et cryptogramme) permettant d’identifier votre établissement bancaire pour mieux l’usurper. En vous rendant sur le site communiqué et en saisissant vos coordonnées et vos informations de carte bancaire vous mordez à l’hameçon !

Dans les jours qui suivent, de préférence le soir ou le week-end (lorsque vos interlocuteurs habituels ne sont pas disponibles), les fraudeurs vous contactent directement en se faisant passer pour des collaborateurs de la Banque (banquiers, service fraude, service carte bancaire, etc …) dans le but de vous faire valider des opérations de cartes bancaires (le plus souvent sous le prétexte d’annuler des opérations frauduleuses), voire d’obtenir des informations (identifiants, mots de passe, code de validation reçus par SMS, etc …) leur permettant de prendre le contrôle de vos accès de banque en ligne/App Mobile pour effectuer des virements.

Ces appels sont de plus en plus fréquemment effectués en utilisant la technique dite du « Spoofing », qui consiste à afficher un des numéros de la Banque (soit le standard à Paris, soit le numéro d’un bureau en région) sur le téléphone de leur correspondant dans l’objectif de gagner la confiance.

Redoublez de vigilance

Nous vous invitons par conséquent à faire preuve de la plus grande vigilance dans vos échanges d’informations et nous tenons à vous rappeler que Neuflize OBC ne vous contactera jamais pour vous faire valider des annulations d’opérations, ni pour vous demander des codes de validation, des identifiants ou des mots de passe. Votre banque n’a pas besoin de votre intervention pour annuler une opération, et n’a aucune utilité à connaître vos codes confidentiels !

Dans certains cas extrêmes, les fraudeurs proposent, prétextant un service haut de gamme ou une assurance spécifique, de passer à votre domicile retirer la carte bancaire compromise pour pouvoir la renouveler dans les meilleurs délais. Sachez que ce type de service n’est proposé par aucun établissement bancaire. Il n’existe pas ! N’acceptez jamais de recevoir quiconque arguant de ce prétexte frauduleux.

Si vous avez le moindre doute lors d’un entretien téléphonique, coupez court à la conversation et appelez immédiatement votre banquier ou interlocuteur habituel.

Consulter l’infographie du site « Les clés de la banque » appel-faux-conseiller.pdf (lesclesdelabanque.com)

Restez vigilants si vous êtes contactés, par email, par téléphone, via les réseaux sociaux, pour la souscription de solutions de placement/d’investissement/de trading, sous couvert de collaborateurs d’un établissement bancaire renommé. Ces contacts sont le plus souvent établis après une recherche de produits financiers que vous avez effectuée sur internet, lors de laquelle vous avez fourni vos coordonnées sur un formulaire. Les fraudeurs peuvent se présenter sous le nom de n’importe quel établissement financier réputé, français ou étranger.

Nos recommandations :

• Soyez méfiant vis-à-vis de toute proposition trop attractive. Des taux rendements élevés ne sont pas compatibles avec l’absence de risque et la garantie du capital ;
• Méfiez-vous de toute publicité utilisant l’image d’une personnalité connue, vantant des placements, particulièrement sur les cryptomonnaies. Ces personnalités font souvent l’objet d’une manipulation de leur image ;
• Assurez-vous de l’identité de la personne qui vous contacte. Vérifiez que la structure de l’adresse email correspond à celle de la société concernée. Pour Neuflize OBC/ABN AMRO Bank en France par exemple, les adresses email se terminant par une autre structure que « @fr.abnamro.com » doivent être considérées comme suspectes ;
• Vérifiez que votre interlocuteur est légitime. Pour cela, contacter le standard de l’établissement pour vérifier les numéros qu’il vous a fournis, et demandez à lui parler pour confirmer qu’il est bien à l’origine de la proposition ;
• Assurez-vous que l’intermédiaire financier est habilité à vous proposer ces produits (consulter pour cela le site REGAFI - Registre des agents financiers).
• Les listes noires de l’AMF et de l’ACPR recensent les sites frauduleux déjà identifiés (Listes noires des sociétés et sites non autorisés : Forex, options binaires, biens divers, produits dérivés sur crypto-actifs, usurpations... | AMF (amf-france.org) et Listes noires et alertes des autorités | ABEIS (abe-infoservice.fr)
• La destination des fonds que vous serez amenés à transférer doit également vous alerter, si l’établissement bancaire n’est pas le même. Pour ce qui est de Neuflize OBC, nous ne vous demanderons jamais d’effectuer des transferts de fonds vers un autre établissement bancaire que le nôtre ni à l’étranger ;
• Ne transmettez aucune information, aucun code confidentiel ou document personnel ;
• Ne donnez jamais accès à vos équipements informatiques, la demande d’une prise en main à distance de votre téléphone ou de votre ordinateur est extrêmement dangereuse, les fraudeurs pouvant espionner votre activité, voler vos identifiants et mot de passe, etc… ;
• Ne cliquez pas sur les liens internet proposés dans les messages non sollicités que vous pourriez recevoir ;
• En cas de doute, contactez notre service fraude qui pourra vous conseiller dans les vérifications à effectuer et les pièges à éviter (01 56 21 78 00 ou nobc.prevention.fraude@fr.abnamro.com) ou le service de protection des épargnants de l’AMF Qu'est-ce que « Epargne Info Service » ? | AMF (amf-france.org)

Cette vidéo vous présente ce mode opératoire : Comment repérer les arnaques aux placements financiers ? | Consomag - YouTube .

Le fraudeur vous écrit sur Whatsapp en tentant de se faire passer pour un membre de votre famille ou un ami. Après vous avoir mis en confiance avec quelques messages anodins qui laissent penser qu’il s’agit bien de lui, il vous demande un service, généralement de lui transférer de l’argent ou d’effectuer un paiement urgent qu’il ne peut pas réaliser lui-même. Par exemple, le fraudeur se fera passer pour l’un de vos enfants, en voyage, prétextant avoir perdu ou s’être volé son téléphone.

Le fraudeur a généralement pu auparavant collecter des informations via les réseaux sociaux privés ou professionnels lui permettant de crédibiliser son discours.

Comment s’en prémunir ?

• Ne jamais se fier à un numéro que l’on ne connaît pas ;
• Toujours vérifier l’identité du correspondant : tenter de l’appeler pour essayer d’identifier la voix, lui poser une question très personnelle, à laquelle un tiers ne pourrait pas répondre (attention les escrocs auront souvent fait de l’ingénierie sociale préalable) ;
• Ne pas envoyer d’argent ni d’information personnelle, sans avoir pu s’assurer formellement de l’identité de la personne.
• Ne jamais agir dans l’urgence ni sous la pression.

Un fraudeur usurpe l’identité d’un fournisseur ou d’un partenaire et vous demande par mail d’effectuer une mise à jour de ses coordonnées bancaires avant d’effectuer un règlement. Cette demande peut intervenir de manière isolée ou bien être mentionnée sur une facture. De nombreux escrocs tentent d’intercepter des règlements par ce biais en fournissant leurs coordonnées bancaires en lieu et place de celles de votre créancier.

Comment s’en prémunir ?

Ne modifiez jamais les coordonnées de règlement sans avoir pris la peine de vérifier la légitimité de la demande. Pour cela, appelez un contact connu. 

Si vous n’avez pas d’interlocuteur privilégié, utilisez un annuaire public pour contacter la société ou l’organisme concerné. Dans le cas d’une relation digitale, ne cliquez sur aucun lien présent dans le message reçu, mais connectez-vous sur l’application mobile ou le site internet que vous utilisez habituellement.

Pour plus d’informations : La fraude aux coordonnées bancaires ou "fraude au RIB" - Infographies - Les clés de la banque - Particulier

Ce type de fraude cible les entreprises.

Un fraudeur contacte un de vos employés, habilité à effectuer des paiements, en usurpant l’identité d’un dirigeant de la société. Sous couvert d’une extrême confidentialité, il convainc l’employé de réaliser, en dehors de tout cadre procédural, un virement d’un montant très significatif correspondant à une opération secrète (augmentation de capital, rachat d’actions, achat d’actif à l’étranger, etc ...). Un faux avocat intervient fréquemment pour donner une crédibilité supplémentaire à l’opération.

Les renseignements collectés en amont sur la société et son organisation, un savoir-faire redoutable en termes de manipulation psychologique, mais également une connaissance insuffisante de ce mode opératoire par les personnels exposés, rendent ces fraudes très efficaces.

Comment s’en prémunir ?

• Mettez en place une double validation de vos opérations de paiement. Si un collaborateur est en mesure d’effectuer seul un paiement, vos dispositifs est fragilisé ;
• Sensibilisez vos équipes aux techniques de manipulation utilisées par les fraudeurs. Ils doivent savoir que ce risque existe et doivent avoir la capacité d’en détecter les signaux (une demande émanant d’un dirigeant, conforme à aucune procédure de l’entreprise, à exécuter dans l’urgence et dans le plus grand secret). En aucun cas ne rester seul face à une telle demande, en référer à son responsable ou bien contacter via le réseau interne de l’entreprise le dirigeant concerné, et surtout pas via le message reçu, quel qu’en soit le canal (email, SMS, Whatsapp, …).