Le piège des "comptes à sécurité renforcée"

Les entreprises et les indépendants sont de plus en plus souvent la cible de fraudes au phishing et au "compte à sécurité renforcée", une forme sophistiquée de fraude. Pendant longtemps, ces formes de fraude touchaient plutôt les particuliers. Désormais, les cybercriminels s'en prennent aussi aux entreprises et aux indépendants, ce qui entraîne des pertes financières considérables.

...

Octobre dernier était le mois de la cybersécurité. Febelfin, la Fédération belge du secteur financier, en a profité pour marquer le coup avec plusieurs actions et campagnes de sensibilisation. Avec le Centre pour la cybersécurité Belgique et la Cyber security coalition, Febelfin s'est associée à plus de 500 partenaires. "Si les cybercriminels se regroupent et s'organisent plus efficacement, nous devons en faire autant", explique Karel Baert, CEO de Febelfin. "C'est là notre unique solution pour qu'internet redevienne un lieu sûr!"La première campagne visait à sensibiliser contre le phishing, ou "hameçonnage" en français. "C'est un problème majeur pour les utilisateurs individuels d'internet, mais aussi pour les entreprises, les organisations et les pouvoirs publics. Non seulement ces messages causent des nuisances, mais ils font aussi de nombreuses victimes. En 2022, 39,8 millions d'euros ont été dérobés au total suite au phishing, une hausse par rapport à l'année précédente (Febelfin, 2021: 25 millions d'euros)." Face au phénomène, Safeonweb avait déjà mis en place l'adresse e-mail: suspect@safeonweb.be et l'application Safeonweb.Cette année, la coalition ajoute un outil à cet arsenal: l'extension de navigateur Safeonweb, qui affiche désormais une alerte lorsque l'utilisateur visite un site web suspect. Febelin informe également sur un cas précis de phishing qui, ironiquement, joue sur la peur de la victime... de se faire pirater! La fraude au "compte à sécurité renforcée" est généralement opérée en deux temps. Tout d'abord, l'entrepreneur ou l'indépendant reçoit un message de phishing d'un expéditeur qui semble digne de confiance, comme un secrétariat social, la banque, la Poste, un opérateur de téléphonie, etc. Ce message contient un lien qui mène vers un site internet (contrefait). Les fraudeurs utilisent ce site web pour collecter des informations personnelles, comme des données de contact, voire des codes permettant de se connecter aux services bancaires en ligne. Une fois ces informations en leur possession, les escrocs accèdent aux comptes professionnels et peuvent effectuer des transactions frauduleuses. La personne ciblée reçoit ensuite un appel téléphonique du fraudeur qui se fait passer pour un collaborateur de sa banque le contactant pour l'avertir de certaines transactions suspectes constatées sur son compte. Grâce aux informations obtenues par phishing, le fraudeur peut, par exemple, se référer au solde du compte et aux dernières transactions. Ce faisant, il gagne la confiance de sa victime et la convainc de faire ce qu'il attend d'elle: qu'elle transfère une grosse somme d'argent sur un compte dit "à sécurité renforcée". Or, il faut savoir que les comptes à sécurité renforcée ou "de back-up", ou "de sécurité" tout simplement, n'existent pas! Dès que la victime a effectué la transaction, elle est dépossédée. Les fraudeurs utilisent les comptes de 'mules' financières pour faire circuler rapidement l'argent dérobé. Les escrocs utilisent plusieurs techniques astucieuses qui font qu'il est facile de tomber dans leur piège. Heureusement, les entreprises et les indépendants peuvent se protéger en restant attentifs aux messages et aux appels téléphoniques suspects, et en respectant de bonnes pratiques. Febelfin conseille d'observer les pratiques suivantes: Vous êtes malgré tout tombé dans le piège?