Ils émanent soi-disant du ministère de l'Economie, de Card Stop ou des banques. Mais ces messages contiennent un lien qui, si vous suivez les instructions jusqu'au bout, peut vous vider vos comptes... Voici donc une nouvelle mise en garde et de nouveaux conseils.
Nous avons déjà rédigé plusieurs articles sur les nombreux SMS envoyés par des escrocs, qui tentent de vous tromper à l'aide de mentions intrigantes: compte en banque bloqué ou mis en quarantaine, remboursement en votre faveur à accepter d'urgence, carte de banque expirée via Card Stop, etc...
Et ces tentatives d'arnaque continuent d'affluer, à en croire les témoignages quotidiens que nous recevons via le bouton orange Alertez-nous.
"Voici le message que j’ai reçu cette nuit. Quand je l’ouvre, on me dit que je dois encore payer un montant de 15 euros. J’ai trouvé cela bizarre et je suis allé voir sur MyMinFin (le site officiel et sécurisé de votre situation fiscale en Belgique, NDLR), il se trouve que je n’ai aucune dette/créance. Faites attention", nous alerte par exemple Christophe, joignant des captures d'écran:
En ces temps de coronavirus, les escrocs se mettent à jour: les messages que vous nous avez transférés évoquent également des compensations financières "dues à la crise". Quelques centaines d'euros à recevoir, en cliquant simplement sur un lien.
Pour l'instant, rien de grave. Vous arrivez sur un site mais, avec un peu de chance, vous ne verrez qu'un écran rouge si votre navigateur, reconnaissant ce qui s'y cache, y bloque l'accès (comme le prouvent ces autres captures d'écran reçues):
Et ce qui s'y cache, vous l'imaginez, ce n'est pas un moyen de vous donner de l'argent, mais de vous en voler. Comment ? Via votre boitier bancaire et votre carte de banque...
Un lien, un site et... votre Digipass
Les liens joints à ces SMS renvoient généralement vers une page web imitant, bien ou mal, l'institution qui vous veut soi-disant du bien. Pour obtenir le remboursement, il ne suffit pas de donner un numéro de compte, comme ce devrait être le cas: les escrocs vous font croire, sur le site, qu'il faut entrer vos coordonnées complètes, y compris bancaires. Puis, qu'il faut prendre votre carte de banque et le boitier de type Digipass qui va avec, pour compléter une série de codes.
De l'autre côté de l'écran, sans doute à des milliers de kilomètres, il y a un escroc qui reçoit ces codes, et les utilise directement et rapidement sur la page officielle du Homebanking de votre banque, dans le but d'ouvrir votre espace bancaire, puis de faire des virements vers des comptes anonymes au bout du monde.
Si votre banque ne bloque pas cette activité qu'elle devrait normalement considérer comme suspecte, l'argent est envoyé. Et si vous ne réagissez pas dans les heures qui suivent, l'argent a beaucoup de chance d'être transféré sur un compte, où il sera rapidement retiré en liquide.
De faux numéros de téléphone belge
Deux failles rendent cette arnaque possible. La première est l'existence de location de numéros de téléphone belge (j'en parle dans cet article) qui rassurent la victime. Le SMS viendrait de Belgique (on l'a vu sur la plupart des témoignages qui nous sont parvenus), alors qu'il peut très bien s'agir d'un numéro virtuel...
La seconde est l'identification des titulaires des comptes en banque internationaux. Effectivement, tous les pays n'ont pas les mêmes exigences bancaires que la Belgique, et on peut se créer un compte assez facilement ailleurs en Europe ou dans le monde, même à distance via les nouvelles banques en ligne, sans donner son identité ou en usurpant l'identité de quelqu'un d'autre (on vole une carte d'identité, on fait des photos et on les envoie lors de la création en ligne du compte).
Que risquez-vous ?
Revenons à la question première de cet article: que risquez-vous ? De perdre beaucoup d'argent si vous manquez clairement de prudence, car vous l'avez compris, les indices ne manquent pas pour vous alerter.
Recevoir le SMS n'est pas dangereux, cliquer sur le lien n'est pas dangereux. Tout se passe lors des formulaires où vous devez rentrer des données personnelles puis bancaires. Il ne faut bien entendu JAMAIS faire ce genre de choses sur un site dont vous ignorez tout.
Nos conseils
La page web de Homebanking de votre banque est unique, et c'est le seul endroit où vous pouvez entrer des codes issus du Digipass en toute sécurité. Bien entendu, des sites d'e-commerce peuvent également vous demander d'utiliser le Digipass et la carte comme moyen de paiement, donc il est important de ne faire confiance qu'à des entreprises connues (Amazon, Delhaize, Collishop, etc).
Dans la mesure du possible, réservez votre Digipass et votre carte aux opérations bancaires (virement, etc). Et pour tous vos achats en ligne, privilégiez des moyens alternatifs, comme PayPal, Klarna, Google Pay, Apple Pay, Samsung Pay, Payconiq/Bancontact, etc... Ces entreprises ne travaillent pas avec n'importe qui, et servent d'intermédiaires de confiance (entre la boutique et votre compte en banque).
Vos commentaires