Depuis la mise en place des dispositifs « d’authentification forte » pour sécuriser les paiements en ligne, le risque de fraude sur Internet a chuté à un niveau historiquement bas. Malheureusement, les fraudeurs n’ont visiblement pas dit leur dernier mot…
Face à l’authentification forte, trop difficile à déjouer, les fraudeurs n’essaient plus de s’attaquer à la technologie – mais directement à leur victime, en lançant des attaques par manipulation humaine. Leur but : amener un individu- à son insu- à valider des opérations frauduleuses. Un expert de la Banque de France nous donne quelques conseils pour éviter de tomber dans leur piège…
Ce nouveau type de fraudeur opère en 3 temps. Premièrement, il collecte des données sur sa cible, en ayant recours à des attaques informatiques telles que le phishing – l’invitant à cliquer sur un lien – ou encore le malware qui sont des virus informatiques. Ces différentes attaques sont souvent complétées par des recherches, notamment sur les réseaux sociaux, visant à étoffer la collecte de données sur la personne ciblée.
En étape 2, le fraudeur contacte alors sa cible directement en se faisant passer pour sa banque au moyen du « spoofing ». Cette technique permet une première levée de vigilance puisque c’est effectivement le numéro de la banque qui s’affiche ! Là, le fraudeur alerte la future victime sur une tentative de fraude sur son compte bancaire ou sur la nécessité de faire un test de sécurité.
La troisième étape consiste alors pour le faux conseiller à inviter sa victime à valider des opérations via ses moyens d’authentification. Quels sont-ils ?
Ça peut être un paiement unitaire ou multiple par carte ; l’ajout d’un bénéficiaire et l’émission d’un virement instantané ; la modification du plafond de paiement ou de découvert autorisé ; l’enregistrement de la carte dans une solution de paiement mobile ou encore le transfert du moyen d’authentification forte vers le téléphone du fraudeur. Animation des différentes possibilités évoquées
Pour déjouer ce type de montage frauduleux, quels réflexes faut-il avoir ?
Si vous sentez un climat oppressant ou une demande de réalisation d’opérations bancaires en direct, raccrochez immédiatement. Ensuite, ne validez jamais une opération sans en être vous-même à l’origine. Et puis, gardez bien à l’esprit qu’une banque ne demande jamais à ses clients de tester des outils de sécurité ou d’annuler une transaction.
