Neil Robertson, avocat associé au sein du département Droit des Sociétés, Fusions & Acquisitions, a rédigé un article consacré aux formes de fraudes bancaires.
Dans cet article, Neil Robertson présente les nouvelles formes d'arnaques auprès des particuliers, de plus en plus sophistiquées, telles que le spoofing, le phishing et le quishing, et explique comment prendre ses précautions.
La fraude bancaire existe depuis des siècles et a évolué parallèlement aux progrès des systèmes bancaires.
Les particuliers sont de plus en plus victimes d’opérations frauduleuses prenant des formes très élaborées.
L'une des méthodes les plus courantes est le « phishing » (ou hameçonnage), qui consiste à tromper l'internaute pour qu'il divulgue des informations personnelles et sensibles en se faisant passer pour une entité de confiance.
Actuellement, la fraude liée aux « faux conseillers bancaires » ou « spoofing » est au centre des préoccupations, tout comme le « quishing ».
Les banques, face à ces nouveaux procédés, alertent régulièrement leurs clients sur les différents risques de fraude.
1. Le spoofing ou la fraude au « faux conseiller bancaire »
La méthode est étonnamment simple, mais redoutablement efficace.
Le client reçoit un appel d'une personne se faisant passer pour un conseiller bancaire, lui signalant une tentative de fraude sur son compte et lui demandant de fournir des informations sensibles ou d'agir directement sur son téléphone pour annuler l'opération. Ce que le client ignore, c'est que ses actions valident en réalité des paiements en faveur de l'escroc.
Cette technique, appelée « spoofing » est aujourd’hui largement répandue et est devenue encore plus difficile à détecter avec l'évolution de l'usurpation d'identité. Le fraudeur pirate parfois en effet le numéro de téléphone de la banque, de sorte que celui-ci apparaisse sur l'écran du téléphone de la victime, la trompant ainsi facilement. Les cybers délinquants réussissent à dérober des dizaines de milliers d’euros à leurs victimes.
Pour preuve, un couple de Lyonnais s’est vu dérober près de 20.000 euros.
L’usurpateur a utilisé le même numéro de téléphone que la Caisse d’Epargne et a obtenu des informations grâce à du piratage informatique. Face à la crédibilité des manœuvres utilisées, le couple a permis au cyber escroc de dérober de l’argent sur leur compte bancaire.
Les victimes ont tenté d’obtenir un remboursement de leur préjudice, en vain. La Caisse d’Epargne a déclaré ne pas pouvoir procéder au remboursement des sommes puisque les opérations ont été autorisées par l’utilisation du système d’authentification forte.
Dans le cas où les victimes communiquent des informations au cyber escroc, la banque refuse généralement de les rembourser en leur reprochant une négligence grave puisqu’ils ont autorisé les opérations frauduleuses en communiquant des informations sensibles permettant d’autoriser les paiements.
Les opérations de spoofing se multipliant, la Cour de cassation s’est prononcée dans un arrêt du 23 octobre 2024, et a affirmé que du fait de l’utilisation du même numéro de téléphone que sa conseillère bancaire, la victime de la fraude a été mis en confiance et a cru autoriser des opérations bancaires sécurisées. (1)
Le spoofing devenant une opération de fraude courante, les personnes physiques doivent redoubler de vigilance et ne pas communiquer d’informations confidentielles au téléphone, même si le numéro est celui de leur conseiller bancaire…
Il convient de procéder à des vérifications, notamment de contacter directement la banque.
2. Le phishing et le quishing ou des pièges toujours plus innovants
Le phishing (ou « hameçonnage ») est tout aussi simple, le client reçoit un mail provenant, en apparence, d’une entité de confiance le redirigeant vers un site afin d’y entrer ses identifiants ou des informations sensibles. Le fraudeur récupère ces éléments et peut accéder, par exemple, au compte bancaire du client afin d’initier des paiements.
Les fraudeurs n’hésitent pas à mener des opérations d’envergure.
La société Free a été victime d’un vol massif des données de ses clients en 2024. Les données collectées, notamment des IBAN, sont aujourd’hui utilisées dans le cadre d’une campagne de phishing.
Les fraudeurs contactent les clients Free par mail et prétendent agir pour le compte d’Amazon. Le procédé est classique, le mail semble provenir directement d’Amazon et informe le client Free qu’un service payant a été activé en son nom.
Afin de rendre le mail d’autant plus crédible, les fraudeurs se servent des informations collectées dans le cadre du vol de données et précisent l’adresse postale, le nom complet du client, mais aussi leur IBAN. Les clients Free en souhaitant annuler cette souscription sont redirigés vers un site frauduleux.
Attention toutefois, dans le cas du phishing, le client peut encore une fois se voir reprocher une négligence grave de la part de la banque. En effet, la Cour de cassation estime que, contrairement au spoofing, le client réceptionnant un courriel dispose de « davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse ». (2)
Les fraudeurs démultiplient leurs méthodes. Le « quishing » est une nouvelle méthode d’hameçonnage par QR codes utilisée par les fraudeurs. Cette arnaque consiste pour les cybercriminels à déposer ou distribuer des faux QR codes.
Depuis l’an dernier le signalement de ce type d’arnaque a augmenté.
Les fraudeurs procèdent de plusieurs manières, soit par l’envoi de fausses contraventions par voie postale, ou laissées sur les parebrises des voitures, soit par de faux avis de passage de La Poste déposés dans la boîte aux lettres, soit par des faux QR codes collés sur des parcmètres ou sur des bornes de recharges de véhicules électriques.
QR codes qui, une fois scannés, renvoient vers un site frauduleux permettant d’obtenir des codes bancaires.
Les particuliers doivent redoubler de vigilance afin de se prémunir contre toute tentative de fraude, en vérifiant toujours de qui provient le mail contenant un lien à suivre ou les adresses URL des sites où ils sont redirigés.
En cas de doute, il ne faut jamais cliquer sur le lien transmis. Les filtres anti-spam peuvent permettre de lutter efficacement contre ce type de fraude. L’intelligence artificielle pourrait également avoir son rôle à jouer pour repérer ces arnaques.
Pour découvrir les actualités du département Droit des sociétés, Fusions & Acquisitions, cliquer ici