S'il y a un compte que vous ne voulez pas pirater, c'est votre compte bancaire. Mais vous ne devriez pas vous inquiéter autant des piratages, car les escroqueries sont la plus grande menace.
En général, bien que loin d'être parfaites, les banques sont plutôt bonnes en matière de sécurité. Les piratages et les violations sont assez rares dans le grand schéma des choses. Lorsqu'un compte bancaire est vidé, c'est souvent parce que le propriétaire a été négligent et a involontairement donné l'accès (par exemple, des écumeurs de guichets automatiques compromis et des escroqueries par virement bancaire).
L'authentification à deux facteurs (2FA) est censée protéger votre compte bancaire, mais les escrocs ont trouvé un moyen de le contourner en vous trompant avec une nouvelle tactique de phishing. Dans cet article, nous vous expliquons comment fonctionne l'arnaque et comment vous pouvez y échapper.
Avant d'expliquer comment fonctionne l'arnaque, il est important de comprendre comment fonctionnent la plupart des protocoles bancaires 2FA.
2FA est simple :pour accéder à votre compte, vous commencez par entrer votre mot de passe, qui est votre premier facteur , puis vous confirmez que votre identité à l'aide d'un deuxième facteur , comme une question de sécurité ou un code de vérification envoyé dans un SMS. En savoir plus sur les avantages et les inconvénients des différentes méthodes 2FA.
Les messages texte sont la forme la plus courante de 2FA utilisée aujourd'hui. L'idée est que vous ne pouvez vous connecter à votre compte bancaire que si vous avez le mot de passe du compte ET le téléphone avec la bonne carte SIM à laquelle le SMS est envoyé.
2FA entre également en jeu lorsque vous souhaitez modifier les détails et les paramètres du compte, ce qui vous oblige généralement à vous déconnecter et à vous reconnecter après avoir effectué une modification majeure. De manière générale, 2FA est génial --- il est beaucoup plus difficile d'intercepter les codes SMS que de forcer brutalement un mot de passe faible, donc 2FA vous protège la plupart du temps.
Malgré les risques liés à l'utilisation de 2FA, c'est toujours mieux que de ne pas l'utiliser du tout.
Cela commence par un appel téléphonique. Vous pouvez ou non reconnaître le numéro, mais cela n'a pas d'importance car les numéros de téléphone peuvent être usurpés (ce qui arrive souvent avec les appels automatisés).
Lorsque vous décrochez, l'appelant vous dira qu'il vient de votre banque, qu'il a remarqué un débit frauduleux sur votre compte et qu'il souhaite vous aider à résoudre le problème, mais il doit d'abord confirmer votre identité.
Pour ce faire, ils vous proposeront d'envoyer un code de confirmation par SMS et vous demanderont de leur relire le code par téléphone. Ils peuvent le faire deux ou trois fois, en déclarant que le premier n'a pas abouti pour une raison quelconque.
À ce stade, vous pourriez méfiez-vous, mais parce que l'appel a commencé par une suggestion de frais frauduleux sur votre compte, vous vous sentirez obligé de rester en ligne. Après tout, les frais frauduleux pourraient être réels, et s'ils le sont, mieux vaut s'en occuper dès que possible.
L'escroc lit une poignée de vos frais bancaires les plus récents, puis termine avec un dernier débit inexistant.
Vous ne le reconnaissez pas, alors vous pensez qu'il doit être frauduleux. Vous informez l'arnaqueur. Ils vous rassurent que tout va bien, promettent d'annuler les frais, puis envoient un dernier code de confirmation par SMS. Vous l'avez relu. Voilà, c'est fait !
Sauf que la prochaine fois que vous vous connecterez à votre compte bancaire, vous constaterez que des milliers de personnes ont été prélevées sur votre compte et vous devez maintenant contacter les services de lutte contre la fraude.
Chaque fois que vous receviez un code de confirmation, c'était en fait l'escroc qui tentait d'accéder à votre compte bancaire. Lorsque vous leur avez lu le code, ils l'ont saisi et ont réussi à contourner la sécurité 2FA de votre compte.
Une fois sur place, ils peuvent faire des choses comme changer votre nom d'utilisateur, changer votre mot de passe, changer votre numéro de téléphone pour 2FA, ou même envoyer de l'argent de votre compte vers leur compte.
Pour y parvenir, l'escroc doit en savoir un peu :
Malheureusement, ces détails ne sont pas difficiles à obtenir.
La plupart des gens utilisent exactement les mêmes noms d'utilisateur et mots de passe pour tous leurs comptes Web, donc si un compte est piraté, tous les autres comptes deviennent vulnérables. C'est pourquoi nous vous recommandons d'utiliser des mots de passe uniques.
L'accès à l'un de vos comptes peut également donner à l'escroc plus d'informations avec lesquelles jouer. Par exemple, s'ils parviennent à se connecter à votre compte Amazon, ils peuvent consulter vos cartes de crédit enregistrées et voir les quatre derniers chiffres de chacune.
Si vous ne savez pas si les détails de votre compte ont déjà été piratés ou divulgués, rendez-vous sur HaveIBeenPwned? et vérifiez tout de suite. Il s'agit du seul vérificateur de compte que vous devriez utiliser --- il est sûr, fiable et digne de confiance.
Les numéros de téléphone sont faciles à trouver en ligne. C'est pourquoi vous ne devez jamais partager vos informations personnelles en ligne, en particulier dans les profils de réseaux sociaux.
Quant à vos accusations récentes ? L'escroc aurait pu mettre la main sur un relevé bancaire que vous n'avez pas hésité à jeter à la poubelle. Vous pensez peut-être que ce n'est pas nécessaire, mais les destructeurs de papier à domicile sont essentiels pour les cas marginaux comme celui-ci.
Que devez-vous faire pour éviter cette arnaque ?
Si quelqu'un VOUS appelle et vous demande ensuite de confirmer votre identité par téléphone, dites poliment que vous n'êtes pas à l'aise de le faire lors d'un appel entrant. Raccrochez et rappelez-les en utilisant leur service client officiel, que vous pouvez trouver en ligne.
Cette escroquerie par hameçonnage 2FA n'est pas la seule dont vous devez vous méfier.
Les criminels intelligents trouveront toujours de nouvelles façons d'escroquer des innocents avec leur argent durement gagné. Restez informé en lisant nos articles sur les dernières escroqueries sur Internet à éviter, ne vous laissez pas piéger par les escroqueries par téléphone et identifiez les fausses escroqueries du fisc.