Jamais le phishing, hameçonnage en français, n'a fait autant de victimes. D'après les derniers chiffres de la Fédération belge du secteur (Febelfin), un Belge sur trois a été victime de cette pratique le mois dernier, et ils sont même 56% au cours des six derniers mois. Au total, environ 67.000 transactions frauduleuses ont été réalisées par le biais de l'hame- çonnage en 2020, pour un butin total de... 34 millions d'euros!
...

Jamais le phishing, hameçonnage en français, n'a fait autant de victimes. D'après les derniers chiffres de la Fédération belge du secteur (Febelfin), un Belge sur trois a été victime de cette pratique le mois dernier, et ils sont même 56% au cours des six derniers mois. Au total, environ 67.000 transactions frauduleuses ont été réalisées par le biais de l'hame- çonnage en 2020, pour un butin total de... 34 millions d'euros! Le phénomène n'est pas nouveau. Mais il prend une ampleur considérable. Selon Febelfin, cette forte hausse des arnaques aux codes bancaires s'explique par le fait que les cybercriminels profitent largement de la situation actuelle pour commettre leurs méfaits. "En plus d'être sanitaire et économique, la crise a provoqué une crise du phishing dans le monde entier en 2020", indique la fédération des banques dans une récente étude intitulée There is plenty of "phish" in the sea qui a recensé pour l'an dernier près d'une vingtaine de campagnes de phishing en Belgique. "Pendant que les familles et les entreprises se débattaient avec les difficultés, poursuit Febelfin, les bandes criminelles en ont profité pour adapter rapidement leurs techniques de fraude à l'évolution de nos modes de vie." Les hameçonneurs ont en effet continué à faire preuve d'inventivité et de créativité, multipliant les "appâts" pour mettre la main sur des données personnelles. "La méthode la plus courante est restée celle où ils adressent un faux contenu par le biais de messages (e-mails, SMS, médias sociaux, WhatsApp, etc.), avec un lien vers un site internet fictif qui ressemble comme deux gouttes d'eau à celui d'un organisme qui inspire confiance", précise Olivier Bogaert, commissaire à la Federal Computer Crime Unit. Objectif pour les fraudeurs? Se faire passer pour une banque, un opérateur télécom, une administration ou encore un fournisseur d'énergie pour aller à la pêche aux codes bancaires de leurs victimes. "On a ainsi vu éclore bon nombre d'arnaques jouant sur l'émotion et la peur des gens face à la pandémie, orchestrées par des fraudeurs se faisant passer pour des employés d'organisations de confiance, comme des organismes de santé, des services gouvernementaux ou des banques, note Febelfin. Les messages relatifs au coronavirus ont attiré l'attention et ont renforcé la tentation du clic." L'an dernier, le Centre pour la Cybersécurité Belgique (CCB) a observé dès février-mars une vague de tentatives d'hameçonnage en lien avec le coronavirus via de fausses offres pour des masques, etc. Des tentatives utilisant des mails au nom du SPF Finances (message promettant un remboursement d'impôts) et du SPF Economie (demande de prime corona) ont également eu lieu en début d'année. On se souviendra aussi de l'arna- que qui a touché bpost via un SMS qui demandait de payer les frais d'expédition en ligne pour limiter les contacts avec ses livreurs de colis. C'est que "les escrocs ont également profité de l'augmentation des achats en ligne et du travail à domicile en se faisant passer pour des sociétés de livraison ou des plateformes d'e-commerce", indique Febelfin, signalant par ailleurs plusieurs campagnes de phishing "à la carte bancaire" par courrier, c'est-à-dire où les voleurs essaient de s'emparer directement de la carte bancaire et de son code, prétextant le remplacement de celle-ci. Avec un message du genre: "Renvoyez votre carte bancaire découpée et donnez votre code PIN". Le tout à une fausse adresse, bien sûr. Jamais pourtant votre banque ne vous demandera de lui renvoyer votre carte pour la remplacer par une nouvelle. Pas plus qu'elle ne vous demandera vos codes par téléphone. Nombre de Belges sont pourtant tombés dans le piège l'an dernier. Et ce, via la fraude aux "comptes à sécurité renforcée" qui a connu une percée en 2020. Une fraude qui voit les escrocs approcher leurs victimes en deux étapes. D'abord en envoyant un message de phishing pour leur soutirer leurs codes bancaires. Ensuite en les contactant par téléphone tout en se faisant passer pour un(e) employé(e) de la banque, expliquant que cette dernière rencontre des problèmes de sécurité et que, par mesure de précaution, il vaut mieux transférer l'argent vers sur un nouveau compte soi-disant "sécurisé". But de la manoeuvre? "Jouer sur l'anxiété des personnes âgées qui ne sont pas trop familières des escroqueries par téléphone et en ligne, et se donner un accès à leur compte bancaire pour pouvoir en prendre le contrôle et le vider", explique Olivier Bogaert, citant pour sa part le chiffre de 18.802 faits de cybercriminalité enregistrés par les services de police durant le premier semestre de l'année der- nière, soit une hausse de 20%. Pourquoi tant de victimes? Parce que le phénomène reste méconnu: 12% de la population n'a encore jamais entendu parler de l'hameçonnage, note l'étude de Febelfin. Chez les jeunes âgés de 16 à 30 ans, cette proportion grimpe même jusqu'à 30%. Pire, 26% des Belges qui ont déjà reçu un message de phishing y ont donné suite en transmettant des données personnelles. Avant d'être indemnisés? "Chaque cas de fraude est analysé individuellement par la banque, précise Rodolphe de Pierpont, porte- parole de Febelfin. Si on n'est pas dans une situation de négligence grave - et a fortiori en cas de fraude du client lui-même -, il y aura remboursement par la banque. Mais le concept de négligence grave dépend des circonstances et peut donner lieu à une certaine incompréhension de la part du client. Il est donc essentiel de rester vigilant par rapport à la communication de ses données confidentielles, en particulier les codes secrets. Un remboursement automatique dans tous les cas reviendrait à réduire cette vigilance. Tout le monde gagnerait à définir des concepts plus clairs mais c'est très compliqué dans un domaine en évolution permanente."Ceci n'empêche toutefois pas les banques de faire ce qu'elles peu-vent pour prévenir les transactions douteuses liées au phishing: investissements permanents dans la sécurité des services bancaires en ligne et mobiles, suivi intensif des transactions, campagnes de sensibilisation, etc. Plus de 75% de tous les virements frauduleux sont détectés et bloqués ou récupérés par les banques, assure Febelfin. Mais voilà: "Le fait que nos vies soient de plus en plus digitales ne facilite effectivement pas la lutte contre le phénomène. Dans le monde numérique, nous réagissons tous beaucoup plus vite. Il y a une forme d'impatience liée à la bonne affaire ou à une frustration qui fait que nous donnons rapidement suite à un message pour égayer notre vie assombrie. Dans le monde digital, on est plus réactif, moins attentif, et les voleurs le savent", conclut Olivier Bogaert.