Partager:
Premièrement, et c’est « un message super important à faire passer », il s’agit d’une « escroquerie psychologique » et non pas d’une faille dans l’application Itsme. Celle-ci n’est pas mise en cause et reste entièrement digne de confiance, rappelle la journaliste de l’Echo Caroline Sury. Car Itsme est justement une application qui sécurise les démarches officielles et les transactions en Belgique. « Dans mon entourage, j’entends des gens qui disent qu’elle n’est pas sécurisée, mais si, Itsme est sécurisé. »
« Le problème », poursuit-elle, « c’est la manipulation. Des escrocs arrivent à vous faire activer des choses dans Itsme que vous n’avez pas initiées vous-même. » Car l’application fonctionne en réclamant des actions de votre part pour fonctionner, « vous devez approuver une authentification quoi ». En réalité, les escrocs « arrivent à vous manipuler pour que vous appuyiez sur le bouton de l’application alors que ce n’est pas vous qui avez initié les choses à la base. Et souvent, ce sont des milliers d’euros qui peuvent s’envoler », prévient-elle.
Ils se font passer pour votre banque…
Leur mode opératoire est bien établi. « Le début, c’est toujours un e-mail qui a vraiment l’air crédible ou un appel qui paraît plausible. Je vais prendre l’exemple qui est arrivé à un de mes proches. Cette victime, dans une même journée, a reçu un e-mail soi-disant de Belfius (mais ce n’était pas Belfius) qui lui disait : votre compte en banque a été arnaqué, on va essayer de faire quelque chose. Mais elle n’en sait pas plus à ce moment-là. Plus tard dans la journée, elle reçoit un appel téléphonique avec un 02, donc un numéro à Bruxelles. Elle décroche et c’est soi-disant un agent anti-fraude de Belfius. Il n’a pas d’accent, donc il n’est pas situé ailleurs dans le monde, et il dit : on vous a déjà envoyé un e-mail, c’est important parce qu’il y a eu une fraude sur votre compte en banque, l‘argent risque de partir, il faut qu’on mette l’argent en sécurité en le transférant sur un autre compte mais pour que je puisse vous aider, il faudrait d’abord que vous me donniez l’autorisation. Pour ça, ouvrez votre application Itsme. J’envoie une demande et vous me permettez juste de travailler pour vous. Et donc là, on est dans le stress et qu’est-ce qu’on fait ? On appuie. Mais en fait on donne accès à son compte en banque. »
… après un premier contact pour récupérer vos données bancaires
Une arnaque préparée en amont avec une première étape. « L‘escroc doit quand même avoir quelques numéros personnels pour pouvoir aller chercher l’argent sur votre compte. Comment il fait pour les avoir ? Le problème c’est que dans la même journée, avant le mail Belfius, la victime avait reçu un e-mail de Mondial Relay, aussi un faux, qui lui disait que son colis n’était pas arrivé, alors qu’elle attendait vraiment un colis. Cet e-mail lui disait qu’ils allaient reprogrammer une livraison, mais pour ça, qu’elle devait payer 1,50€ en cliquant sur un lien. Et ce lien lui a demandé d’encoder les données de sa carte bancaire… »
Les escrocs n’avaient alors pas encore accès à celui-ci, puisqu’il leur fallait une identification via l’application Itsme… Ce que la victime leur a offert après le faux e-mail de Belfius et le coup de téléphone.
Au téléphone avec l’escroc, tout est plausible et il met la pression
« C’est une escroquerie quand même très bien rodée, on est au-delà du numéro de téléphone un peu aléatoire. C‘est quand même bien organisé », note Caroline Sury. « Son appel téléphonique a duré très longtemps avec le fraudeur et une fois qu’il vous a au téléphone, il a réponse à tout, il a un scénario construit, il peut vraiment vous emmener dans plein de domaines. Toutes les demandes qu’il formule sont orchestrées pour que ce soit crédible. »
Par exemple, si vous lui dites que vous ne voulez pas valider la demande sur Itsme « car vous ne le sentez pas, il va vous dire : écoutez, vous ne voulez pas que je vous aide, je comprends, je respecte. Mais vous savez, il y a plein de gens qui ont été arnaqués, il y en a quatre qui sont en attente et moi je veux les aider. Il faut savoir que cet appel est enregistré, donc si vous refusez notre aide, nous, on est couverts », lui a expliqué Alexandre Pluvinage, un expert cybersécurité.
Un deuxième exemple de pression est arrivé quand une personne s’est rendu compte qu’elle allait transférer 2000 euros à un compte inconnu, car c’était affiché sur Itsme, et a refusé. La personne au téléphone lui a dit « écoutez, j’ai déjà aidé 15 personnes ce matin et il y en a quatre qui m’ont dit qu’ils avaient un problème d’affichage sur Itsme. Mais le problème est chez Itsme et nous, on n’est pas Itsme. Donc il faudra voir ça avec eux après, mais là il faut se dépêcher sinon l’argent va partir », lui a-t-il encore expliqué.
Comment ne pas se laisser arnaquer ?
Caroline Sury liste les bonnes pratiques à se rappeler et respecter pour éviter les arnaques de ce type :
- Règle n°1 : On se méfie de tous les messages, e-mails et SMS alarmants qui demandent une action rapide. Jamais votre banque, jamais Itsme, jamais Card Stop ne vous demandera d’utiliser Itsme pour arrêter quelque chose en urgence. Jamais.
- Règle n°2 : N‘utilisez jamais Itsme si ce n’est pas une action que vous avez initiée vous-même.
- Règle n°3 : Ne vous précipitez pas. Lisez bien. Si vous initiez une action sur Itsme, vérifiez bien que c’est bien le service que vous avez demandé, par exemple pour vous authentifier sur le service du SPF Finance. Si vous devez payer un montant, vérifiez bien que c’est le montant que vous vouliez payer. S‘il y a un doute : vous arrêtez, vous recommencez à la limite.
- Règle n°4 : Il faut surtout bien sécuriser votre présence en ligne en mettant des mots de passe différents sur tous les sites qu’on visite. Que ce soit l’appli de Delhaize, Kruidvat, Netflix…, on change à chaque fois parce que si on est hacké, comme ce qui s’est passé la semaine dernière avec Orange, les escrocs peuvent utiliser votre mot de passe ailleurs. Et enfin, on utilise l’authentification à deux facteurs, c’est-à-dire on a un mot de passe, mais on utilise aussi les systèmes où il faut utiliser Itsme, où il faut recevoir un SMS, pour se protéger un maximum.
- Règle n°5… si on vient de se faire arnaquer et qu’on en est conscient : Si on réagit dans les 10 minutes après l’arnaque, la banque peut parfois récupérer l’argent. Si vous l’appelez tout de suite et que vous dites que vous pensez que vous avez été arnaqué, ils savent récupérer des centaines voire des milliers d’euros tout de suite. Mais n’attendez pas une heure. Allez très vite.
