Cybermois 2024 – Attention à la fraude au faux conseiller
Depuis 2018, l’UFC-Que Choisir est associée au dispositif national
d’assistance aux victimes d’escroqueries numériques,
L’objectif est de donner aux consommateurs des outils de sécurisation
de leurs données personnelles et les aider à lutter contre la menace
numérique dans son ensemble.
À l’occasion du Cybermois/2024, nous faisons le point sur la fraude
au faux conseiller bancaire, ou spoofing.
La fraude au faux conseiller bancaire s’est largement répandue sur les trois dernières années. Trois situations peuvent y conduire : voici nos conseils pour y résister.
L’appel direct d’un faux conseiller bancaire
Une personne vous contacte directement par téléphone en se faisant passer pour un conseiller ou un salarié de votre banque ou de son service antifraude. Le numéro de téléphone peut même être celui de votre banque. Pourtant, cette personne est un escroc. Elle prétend que vous êtes victime d’opérations frauduleuses et peut, notamment, vous demander :
- de lui communiquer vos identifiants ou coordonnées bancaires et codes reçus par SMS pour qu’elle procède au soi-disant blocage de ces transactions ;
- d’effectuer et de confirmer vous-même des actions (par exemple : ajout d’un bénéficiaire, validation d’une opération bancaire, etc.) directement sur votre espace personnel (avec l’application bancaire de votre téléphone ou votre espace en ligne).
Ce sont ces manœuvres qui permettent à l’escroc d’effectuer des débits frauduleux.
Depuis le 1er octobre 2024, les opérateurs téléphoniques doivent néanmoins bloquer les appels dont le numéro affiché n’est pas authentifié : ces dispositions réglementaires visent à lutter contre le spoofing. Seuls les appels passés depuis ou à destination d’une ligne fixe sont concernés par cette évolution. Mais selon la Banque de France, la quasi-totalité des appels font apparaître un numéro de téléphone fixe, de sorte que ce mécanisme devrait être efficace : affaire à suivre !
Le phishing suivi de l’appel d’un faux conseiller bancaire
Le phishing (« hameçonnage ») consiste pour des personnes malveillantes à envoyer des courriels ou SMS frauduleux afin d’obtenir des données personnelles ou plus souvent des données bancaires. Vous recevez un SMS ou un courriel d’une administration (par exemple la Sécurité sociale) ou d’une société (par exemple la Poste). Il vous est demandé de saisir des données personnelles après avoir cliqué sur un lien.
Après avoir obtenu ces premières informations par phishing, l’escroc vous appelle en se faisant passer pour un conseiller ou un salarié de votre banque. Il prétend que vous êtes victime d’opérations frauduleuses, vous met en confiance en vous communiquant des informations précises vous concernant (les informations qu’il a obtenues grâce au courriel ou au SMS frauduleux).
Finalement, sous prétexte de bloquer les opérations irrégulières, il vous demande de lui transmettre les codes reçus par SMS ou de confirmer des actions directement sur votre application bancaire ou dans votre espace en ligne. Ce sont ces manœuvres qui permettent à l’escroc d’effectuer des opérations frauduleuses.
L’appel d’un faux conseiller bancaire suivi de l’envoi d’un faux coursier
Désormais, l’arnaque au faux conseiller bancaire ne consiste plus seulement à faire des achats en ligne ou des virements bancaires dont vous n’êtes pas à l’origine. Les fraudeurs vont jusqu’à effectuer des retraits d’espèces après avoir pris possession de votre carte bancaire sous de fausses allégations.
Dans un premier temps, vous êtes contacté par une personne qui se fait passer pour un conseiller ou un salarié de votre banque, et prétend que vous subissez des opérations frauduleuses. Elle vous demande de lui communiquer vos identifiants client ou vos coordonnées bancaires (dans certains cas, elle a pu obtenir ces informations à la suite d’un phishing). Puis elle affirme, au vu de l’urgence ou de la gravité de la situation, qu’il est nécessaire de mettre en sécurité ou détruire votre carte bancaire et vous envoie un coursier à domicile afin de la récupérer.
Les escrocs procèdent ensuite à des retraits à un distributeur automatique de billets (DAB) ou à des paiements en ligne.
Comment vous en prémunir ?
Restez méfiant ! Votre banque ne vous demandera jamais de communiquer des informations confidentielles par téléphone ni de valider ou bloquer des opérations de paiement à distance. Dans les faits, si une banque veut bloquer une opération, elle n’a pas besoin de votre confirmation et peut le faire seule. De plus, votre banque ne vous enverra jamais de coursier, même en cas d’urgence, pour récupérer vos instruments de paiement.
Attention, les techniques de ces escrocs sont de plus en plus élaborées, telles que :
- des courriels imitant ceux de votre banque ;
- un lien vers une fausse interface ressemblant à votre compte en ligne ;
- un numéro de téléphone affiché correspondant à celui de votre banque ;
- l’emploi du vocabulaire du domaine bancaire ;
- la détention d’informations personnelles vous concernant.
Dans tous les cas, nous vous invitons à raccrocher immédiatement et à ne transmettre aucune information ni cliquer sur un quelconque lien. Ne validez en aucun cas des opérations dont vous n’êtes pas à l’origine, même si votre interlocuteur prétexte qu’il s’agit de les annuler. Mieux vaut contacter votre conseiller bancaire par vos propres moyens, quitte à attendre l’ouverture de votre agence.
Si un coursier se présente malgré votre refus, ne lui ouvrez pas. Ne lui remettez pas votre carte bancaire, même découpée.
Quels recours ?
Il convient de commencer par sécuriser votre compte : modifiez le mot de passe de l’espace en ligne, désactiver les paiements à distance (si votre banque le permet), et faites opposition à votre carte bancaire.
Dès lors qu’une ou des opérations sont débitées, il convient de formuler une réclamation en remboursement, sans s’épancher sur les circonstances de la fraude. En effet, d’après le Code monétaire et financier, la banque doit faire la preuve que le client aurait véritablement consenti à ces débits, ou les aurait rendus possibles par négligence grave dans la conservation de ses données confidentielles. Mais cela ne suffit pas : la banque doit encore rapporter la preuve que l’opération litigieuse aurait bien fait l’objet de l’authentification, et n’aurait subi aucune déficience technique.
À ce jour, certaines cours d’appel ont bien condamné des banques au remboursement intégral. Mais la Cour de cassation ne s’est pas encore prononcée sur la fraude au faux conseiller bancaire, et n’a donc pas qualifié le comportement du client dans un tel cas. La jurisprudence reste donc encore incertaine, mais l’UFC-Que Choisir de Maine-et-Loire reste mobilisée sur la question.
Consulter ici la fiche réflexe sur la fraude au faux conseiller bancaire