Comment reconnaître un phishing?
Quelques exemples

Comment reconnaître une tentative de phishing? 

 

Plusieurs types de canaux peuvent être utilisés par les fraudeurs pour faire des tentatives de phishing  tels que via un e-mail frauduleux, un faux site internet, un appel téléphonique, un sms, un Whatsapp,...
Voici quelques explications pour mieux reconnaitre ces tentatives de fraude.

 

Si vous recevez un faux e-mail provenant soi-disant de bpost banque.

Cet e-mail contient un lien ou une annexe qui vous mène vers un site web frauduleux.
Quelques caractéristiques qui vous aident à le reconnaître :
• L'orthographe est souvent mauvaise.
• Le terme « sécurité » est fréquemment utilisé.
• On menace souvent de graves sanctions si les procédures décrites ne sont pas suivies.
• On demande souvent soit une réponse immédiate, soit de ne pas répondre à cet e-mail.
Attention: Une adresse e-mail peut très facilement être falsifiée! Ce n’est pas parce que la mention de « bpost banque » apparaît dans le champ expéditeur que cela signifie nécessairement que bpost banque est réellement l'émettrice.

S'il vous est demandé de cliquer sur un lien ou une annexe menant vers un site internet.


Comment reconnaître un faux site internet?
• En haut, dans la barre de navigation de l'url il est noté http:// au lieu de https://, or le site internet de bpost banque est un site sécurisé.
• Il n'y a pas de cadenas en haut à côté de l'url, ce qui atteste aussi de la sécurité et de l'authenticité du site internet sur lequel vous surfez.
• Sur un site internet frauduleux, énormément de questions vous sont posées au sujet de vos données personnelles, que vous n'avez pas eu à compléter auparavant en ligne.

Attention: la mise en page peut très fort ressembler au site internet officiel.

Vous pourriez également recevoir un appel téléphonique pour confirmer votre transaction.

Ne communiquez en aucun cas des données telles que vos codes personnels. Ce sont eux qui permettent à bpost banque de vérifier temporairement et d'une manière sécurisée votre carte et votre code PIN. Avec ces informations, une personne tierce prendrait donc temporairement votre identité.


Cette liste d'exemples n'est pas exhaustive, il y a de nombreuses façons pour les fraudeurs d'essayer de vous soustirer vos informations personnelles. Dans tous les cas ne divulguez jamais vos code M1 ou M2 ni votre code PIN. Vous devez donc toujours rester bien vigilants. 

 

D'autres exemples de phishings

La fraude sur site de revente d’articles de 2ème main et la fraude Whatsapp font partie des méthodes les plus utilisées par les fraudeurs.

Voici un exemple typique de tentative de phishing via Marketplace:

- Le fraudeur contacte une personne ayant mis un article en vente sur un site de seconde main (Marketplace, ebay, 2ème main, Vinted, etc….)
- Vu que cette personne met effectivement en vente un article elle ne se doute pas d’une tentative de fraude puisque le fraudeur prétend vouloir l’acheter
- Dans la suite du modus operandi, le fraudeur demande finalement toute une série d’informations personelles et prétend qu’un transporteur va venir chercher l’article
- Un mail est envoyé à la victime, soi-disant de la part du transporteur (bpost, dhl, dpd, postnl, …) et demande les informations bancaires du client pour pouvoir verser l’argent
- C’est à ce moment précis que la victime introduit ses codes et autorise à son insu l’accès à son compte

Modus operandi très populaire et extrêmement bien ficelé, énormément de gens tombent dans le piège.

Autre exemple très concret de fraude via Whatsapp:

- Le fraudeur se fait passer pour un membre de la famille (souvent l’enfant) de la potentielle vicitime et envoie un message en indiquant que l’ancien numéro de téléphone n’est plus valable
- La justification est souvent que le GSM est tombé dans la toilette ou oublié dans le pantalon qui est passé dans la machine à laver
- Vu que le GSM est soi-disant cassé, le fraudeur dit ne plus avoir accès au MOBILEbaning et au PCbanking et demande à la potentielle victime d’aider pour l’un ou l’autre virement à effectuer (souvent une facture urgente)
- La victime veut aider son proche et fait délibéremment le virement vers un numéro de compte indiqué par le fraudeur
- Ces virements sont à 100% indétectables (par nos systèmes de prévention de fraude) puisque :
- toutes les actions sont entreprises par le client même
- les montants sont souvent relativement bas (quelques centaines d’euros) pour que ça reste plausible dans la narrative d’une facture de gaz/électricité/téléphone/eau/… et surtout pour que la victime fasse vite le virement sans trop poser de questions).