Les cybercriminels profitent de la crise

La fraude aux codes bancaires explose. En cause? La crise sanitaire dont les cybercriminels profitent largement pour gruger les internautes.

Jamais le phishing, hameçonnage en français, n’a fait autant de victimes. D’après les derniers chiffres de la Fédération belge du secteur (Febelfin), un Belge sur trois a été victime de cette pratique le mois dernier, et ils sont même 56% au cours des six derniers mois. Au total, environ 67.000 transactions frauduleuses ont été réalisées par le biais de l’hame- çonnage en 2020, pour un butin total de… 34 millions d’euros!

Le phénomène n’est pas nouveau. Mais il prend une ampleur considérable. Selon Febelfin, cette forte hausse des arnaques aux codes bancaires s’explique par le fait que les cybercriminels profitent largement de la situation actuelle pour commettre leurs méfaits. “En plus d’être sanitaire et économique, la crise a provoqué une crise du phishing dans le monde entier en 2020″, indique la fédération des banques dans une récente étude intitulée There is plenty of “phish” in the sea qui a recensé pour l’an dernier près d’une vingtaine de campagnes de phishing en Belgique. “Pendant que les familles et les entreprises se débattaient avec les difficultés, poursuit Febelfin, les bandes criminelles en ont profité pour adapter rapidement leurs techniques de fraude à l’évolution de nos modes de vie.”

E-mails, SMS…

Les hameçonneurs ont en effet continué à faire preuve d’inventivité et de créativité, multipliant les “appâts” pour mettre la main sur des données personnelles. “La méthode la plus courante est restée celle où ils adressent un faux contenu par le biais de messages (e-mails, SMS, médias sociaux, WhatsApp, etc.), avec un lien vers un site internet fictif qui ressemble comme deux gouttes d’eau à celui d’un organisme qui inspire confiance”, précise Olivier Bogaert, commissaire à la Federal Computer Crime Unit. Objectif pour les fraudeurs? Se faire passer pour une banque, un opérateur télécom, une administration ou encore un fournisseur d’énergie pour aller à la pêche aux codes bancaires de leurs victimes. “On a ainsi vu éclore bon nombre d’arnaques jouant sur l’émotion et la peur des gens face à la pandémie, orchestrées par des fraudeurs se faisant passer pour des employés d’organisations de confiance, comme des organismes de santé, des services gouvernementaux ou des banques, note Febelfin. Les messages relatifs au coronavirus ont attiré l’attention et ont renforcé la tentation du clic.”

SPF Finances, etc.

L’an dernier, le Centre pour la Cybersécurité Belgique (CCB) a observé dès février-mars une vague de tentatives d’hameçonnage en lien avec le coronavirus via de fausses offres pour des masques, etc. Des tentatives utilisant des mails au nom du SPF Finances (message promettant un remboursement d’impôts) et du SPF Economie (demande de prime corona) ont également eu lieu en début d’année.

On se souviendra aussi de l’arna- que qui a touché bpost via un SMS qui demandait de payer les frais d’expédition en ligne pour limiter les contacts avec ses livreurs de colis. C’est que “les escrocs ont également profité de l’augmentation des achats en ligne et du travail à domicile en se faisant passer pour des sociétés de livraison ou des plateformes d’e-commerce”, indique Febelfin, signalant par ailleurs plusieurs campagnes de phishing “à la carte bancaire” par courrier, c’est-à-dire où les voleurs essaient de s’emparer directement de la carte bancaire et de son code, prétextant le remplacement de celle-ci. Avec un message du genre: “Renvoyez votre carte bancaire découpée et donnez votre code PIN”. Le tout à une fausse adresse, bien sûr.

Comptes “sécurisés”

Jamais pourtant votre banque ne vous demandera de lui renvoyer votre carte pour la remplacer par une nouvelle. Pas plus qu’elle ne vous demandera vos codes par téléphone. Nombre de Belges sont pourtant tombés dans le piège l’an dernier. Et ce, via la fraude aux “comptes à sécurité renforcée” qui a connu une percée en 2020. Une fraude qui voit les escrocs approcher leurs victimes en deux étapes. D’abord en envoyant un message de phishing pour leur soutirer leurs codes bancaires. Ensuite en les contactant par téléphone tout en se faisant passer pour un(e) employé(e) de la banque, expliquant que cette dernière rencontre des problèmes de sécurité et que, par mesure de précaution, il vaut mieux transférer l’argent vers sur un nouveau compte soi-disant “sécurisé”. But de la manoeuvre? “Jouer sur l’anxiété des personnes âgées qui ne sont pas trop familières des escroqueries par téléphone et en ligne, et se donner un accès à leur compte bancaire pour pouvoir en prendre le contrôle et le vider”, explique Olivier Bogaert, citant pour sa part le chiffre de 18.802 faits de cybercriminalité enregistrés par les services de police durant le premier semestre de l’année der- nière, soit une hausse de 20%.

Méconnaissance

Pourquoi tant de victimes? Parce que le phénomène reste méconnu: 12% de la population n’a encore jamais entendu parler de l’hameçonnage, note l’étude de Febelfin. Chez les jeunes âgés de 16 à 30 ans, cette proportion grimpe même jusqu’à 30%. Pire, 26% des Belges qui ont déjà reçu un message de phishing y ont donné suite en transmettant des données personnelles. Avant d’être indemnisés? “Chaque cas de fraude est analysé individuellement par la banque, précise Rodolphe de Pierpont, porte- parole de Febelfin. Si on n’est pas dans une situation de négligence grave – et a fortiori en cas de fraude du client lui-même -, il y aura remboursement par la banque. Mais le concept de négligence grave dépend des circonstances et peut donner lieu à une certaine incompréhension de la part du client. Il est donc essentiel de rester vigilant par rapport à la communication de ses données confidentielles, en particulier les codes secrets. Un remboursement automatique dans tous les cas reviendrait à réduire cette vigilance. Tout le monde gagnerait à définir des concepts plus clairs mais c’est très compliqué dans un domaine en évolution permanente.”

Remboursement?

Ceci n’empêche toutefois pas les banques de faire ce qu’elles peu-vent pour prévenir les transactions douteuses liées au phishing: investissements permanents dans la sécurité des services bancaires en ligne et mobiles, suivi intensif des transactions, campagnes de sensibilisation, etc. Plus de 75% de tous les virements frauduleux sont détectés et bloqués ou récupérés par les banques, assure Febelfin. Mais voilà: “Le fait que nos vies soient de plus en plus digitales ne facilite effectivement pas la lutte contre le phénomène. Dans le monde numérique, nous réagissons tous beaucoup plus vite. Il y a une forme d’impatience liée à la bonne affaire ou à une frustration qui fait que nous donnons rapidement suite à un message pour égayer notre vie assombrie. Dans le monde digital, on est plus réactif, moins attentif, et les voleurs le savent”, conclut Olivier Bogaert.

“Les attaques sont de plus en plus sophistiquées”

TRENDS-TENDANCES. Quelle est l’ampleur de la cybercriminalité à l’égard du système financier?

TIM HERMANS. Les cyberattaques sur le système financier sont devenues une réalité quotidienne, en Belgique comme dans le monde entier. Des groupes comme Lazarus liés à la Corée du Nord sont connus pour mener ce genre d’attaques visant à perturber son bon fonctionnement. Les techniques utilisées s’affinent et ces attaques sont de plus en plus sophistiquées. Le risque opérationnel pour une banque, une compagnie d’assurance ou une infrastructure de marché (Swift, Euroclear) a toujours existé, mais ce risque est devenu crucial aujourd’hui en raison de la digitalisation des institutions financières et de l’économie en général.

Que fait la BNB pour lutter contre le phénomène?

En tant qu’institution, grâce à nos systèmes de défense automatiques, nous bloquons chaque jour des milliers de mails liés à du phishing. En tant qu’autorité de contrôle, nous menons aussi des inspections dans les institutions finan- cières pour vérifier si nos attentes en matière de continuité opérationnelle sont respectées. Ces inspections sont menées par des équipes de plusieurs personnes et peuvent durer plusieurs semaines. Et puis, pour tester la rési- lience des systèmes informa- tiques, nous faisons aussi de l’ ethical hacking.

C’est-à-dire…?

Avec l’aide d’une entreprise privée, nous définissons des scénarios d’attaque: pénétrer dans une banque, effectuer des transactions, trouver des informations secrètes, etc. Ensuite un hackeur éthique essaie de réaliser ces attaques. L’objectif est de renforcer la cybersécurité des institutions financières. Cela s’inscrit dans le cadre du programme Tiber (pour Threat Intelligence-based Ethical Red Teaming) qui a été mis en place dans toute la zone euro. Après les Pays-Bas, la Belgique a été le deuxième pays à l’implémenter. Les résultats de ces opérations sont partagés avec la Sûreté de l’Etat et les Renseignements militaires.

La crise du Covid a-t-elle augmenté les risques?

Oui. Si le télétravail à grande échelle réduit les risques sanitaires, il augmente par contre le risque cybernétique. Ne serait-ce que parce que la disponibilité physique réduite des informaticiens rend plus difficile la résolution des incidents.

Les banques sont-elles suffisamment protégées?

Les attaques ont beau augmenter et sont devenues de plus en plus sophistiquées, elles n’ont heureusement jamais conduit à un incident majeur. Les banques prennent le risque cyber très au sérieux et ont énormément investi au cours des dernières années. Cela étant, la fonction en charge de la cybersécurité n’a pas encore le même niveau de maturité prudentielle que d’autres faisant partie des comités de direction. Des discussions vont être entamées avec le secteur à ce sujet.