Avez-vous déjà reçu un de ces e-mails urgents de votre banque ? Celui qui dit : « Mettez à jour vos informations IMMÉDIATEMENT ou votre compte sera bloqué » ?

Si oui, vous n'êtes pas seul. Récemment, j'ai remarqué une vague d'histoires d'utilisateurs qui se font piéger. Ce n'est pas du simple spam. Des escrocs utilisent des tactiques de plus en plus sophistiquées pour voler les données de connexion et l'argent des clients de toutes les grandes banques européennes.

Votre banque a identifié trois types d'attaques qui circulent en ce moment. Il est vital de les connaître. Le temps que vous lisez cet article, vous serez en mesure d'identifier 99 % des tentatives de fraude et de protéger vos économies.

Le piège classique : les faux e-mails de "mise à jour"

Le phishing par e-mail n'est pas nouveau, mais il devient plus précis. Les fraudeurs se font passer pour votre banque et vous envoient un e-mail avec un sujet urgent, souvent lié à une « Nouvelle messagerie » ou à des « Conditions générales modifiées ».

Le but est toujours le même : vous diriger vers une fausse page web, une page de phishing, qui ressemble parfaitement à celle de votre portail bancaire en ligne.

  • Sur ce faux site, on vous demande de saisir vos identifiants de connexion habituels (nom d'utilisateur, mot de passe).

  • Ensuite, on vous demande des informations privées supplémentaires.

  • Enfin, on vous demande de valider le tout avec un code TAN.

C'est le point de non-retour. Si vous fournissez ces données, les escrocs peuvent les utiliser immédiatement pour accéder à votre compte. Ne jamais, jamais, saisir ces informations sur un site auquel vous n'avez pas accédé vous-même via l'adresse officielle de votre banque.

Pourquoi cette méthode n'est pas seulement un problème d'argent

Même si vous arrêtez la procédure avant la saisie du TAN, si vous avez donné des informations comme votre numéro de téléphone ou votre adresse, ces données peuvent être utilisées pour la prochaine grande menace : les faux appels téléphoniques.

Voici les trois pièges courants à éviter si vous utilisez le service en ligne de votre banque - image 1

La banque alerte : ces informations peuvent servir aux fraudeurs pour des appels téléphoniques où ils se font passer pour des employés de la banque. Ils pourraient même usurper le numéro de téléphone réel de votre agence locale. C'est terrifiant, n'est-ce pas ?

L'attaque pushTAN : l'urgence des "travaux de maintenance"

C'est la variante la plus répandue en ce moment. Les e-mails ou SMS frauduleux mentionnent la "nécessité" de renouveler ou de mettre à jour votre système pushTAN.

Les exemples de sujets que j'ai vus dans ma veille quotidienne incluent : « Votre mise à jour est requise – Réf : 8731399 » ou « Travaux de maintenance pushTAN à effectuer ».

L'urgence et le langage technique (pushTAN) vous poussent à cliquer sans réfléchir. Encore une fois, on vous redirige vers un site de phishing où vous entrez tout : identifiants, données privées, et la demande de plusieurs TAN d'affilée.

But des fraudeurs : obtenir le contrôle du processus d'autorisation. Ils tentent de vous faire valider un appareil inconnu (le leur !) comme étant digne de confiance, ou de confirmer un virement qu'ils ont initié eux-mêmes.

Votre règle numéro un : ne jamais confirmer de transaction que vous n'avez pas vous-même initiée. Le TAN est votre signature numérique. Ne signez rien que vous ne reconnaissez pas.

Le signe qui ne trompe jamais : Comment le BSI identifie le faux

L'Office fédéral allemand de la sécurité des technologies de l'information (BSI) fournit un excellent outil pour reconnaître instantanément un e-mail de phishing. Il suffit d'appliquer le "test des 4 points".

Un courriel est très probablement frauduleux si :

  1. Il exige une action urgente et immédiate (Exemple : « Si vous n'actualisez pas vos données, vous les perdrez »).

    Voici les trois pièges courants à éviter si vous utilisez le service en ligne de votre banque - image 2

  2. Il contient une menace explicite (Exemple : « Si vous ne le faites pas, nous devrons malheureusement bloquer votre compte »).

  3. On vous demande de saisir des données confidentielles (PIN, numéro de carte de crédit, identifiants) directement dans l'e-mail ou sur un lien.

  4. Le message provient d'une organisation connue, mais l'objet ou la demande semble inhabituel ou étrange.

Si la réponse est oui pour au moins l'un de ces points, votre alarme doit sonner. Fermez l'e-mail et accédez à votre compte en tapant l'adresse officielle de votre banque directement dans votre navigateur. Si le problème est réel, il sera mentionné là.

L'astuce pratique : le réflexe pour protéger vos comptes

Voici un conseil simple, mais que la plupart des gens oublient, même dans le coup de stress : vérifiez l'URL.

Quand vous cliquez sur un lien, regardez attentivement l'adresse dans la barre du navigateur. Les fraudeurs utilisent des adresses qui ressemblent à celle de la banque, mais qui contiennent une faute de frappe subtile ou un sous-domaine étrange. Par exemple, au lieu de votrebanque.fr, vous pourriez voir votrebanque-secure.com ou v-o-t-r-e-banque.fr.

Si vous n'êtes pas sûr, le réflexe à avoir est le suivant : n'entrez rien et appelez directement votre conseiller bancaire. Il vaut mieux avoir l'air prudent que de se faire voler des milliers d'euros.

Si vous avez déjà donné vos informations sur un faux site : contactez immédiatement votre agence locale pour faire bloquer votre accès bancaire en ligne. Chaque seconde compte.

Avez-vous déjà été confronté à l'une de ces tentatives de fraude ? Quelle a été la méthode la plus subtile que vous ayez rencontrée ? Partagez votre expérience ci-dessous pour aider les autres !

(L'auteur surveille de près l'évolution des cybermenaces pour vous fournir des conseils de sécurité pertinents.)