1700 € volatilisés en un seul appel. Sylvain Deshayes a été victime de fraude au faux conseiller bancaire. Une pratique de plus en plus courante qui mêle usurpation de numéro de téléphone voire d'identité (spoofing) et manipulation de la victime grâce à une collecte de données préalable.
Le crime est presque parfait. Tout commence par un SMS ou un mail, provenant généralement d’un organisme de l’État. “J’ai reçu un mail du site public des amendes me demandant de régler une amende de stationnement, de 35 €”, raconte Sylvain Deshayes, un habitant de Castres-sur-Gironde.
"Il avait plein d'informations sur moi"
À Bordeaux, quelques jours avant, il avait en effet reçu une amende pour stationnement gênant. Le Girondin s'exécute, mais le paiement ne passe pas. Il reçoit alors un appel “de quelqu'un qui m'explique être mon conseiller bancaire”. L'homme se présente et m’explique que j’ai été arnaqué. Les fraudeurs auraient déjà eu le temps d’effectuer quatre virements”, témoigne Sylvain. Pris de panique, il suit les conseils de son interlocuteur : faire des virements, sur un compte temporaire à son nom, spécialement créé pour protéger les fonds restants. Problème : ce compte est en réalité celui de son faux-conseiller.
Depuis plusieurs années, les victimes de ces fraudes se comptent par dizaines, abusées par des procédés très élaborés. “Il avait plein d’informations sur mon identité, ma carte bleue, mon numéro de téléphone. Il parlait bien, la voix claire, sûr de lui. Il connaissait la plateforme”, énumère Sylvain Deshayes.
Et pour cause, ces informations, les fraudeurs les ont sous les yeux lors de l’appel. “Ils vont obtenir vos données bancaires par phishing. La victime reçoit un mail qui proposait de cliquer sur un lien. Vous arrivez sur ce que vous croyez être le portail web de votre banque et là, le fraudeur a accès à toutes vos informations de compte”, détaille Bernard Larrivière, président comité des banques de la Fédération bancaire Française (FBF), des Landes.
Des informations qui vont, comme dans le cas de Sylvain, jusqu’au numéro de téléphone qui s'affiche sur l'écran de la victime, lui aussi usurpé.
Ce qui ne m’a pas alerté, c’est qu’en faisant des recherches sur Internet, le numéro qui s’affichait était celui du service anti-fraude de ma banque.
Sylvain Deshayes, victime de fraude bancaireà rédaction web France 3 Aquitaine
Nouvelle étape
En effet, impossible pour l'arnaqueur de subtiliser l’argent directement après l'obtention des données bancaires. Le système d'“authentifications fortes” envoie systématiquement une confirmation sur un “appareil de confiance” tiers. “Il est donc obligé de vous appeler, pour vous faire valider une notification qu’il présente comme une manipulation de mise en sûreté de votre argent. En réalité, c’est la notification de validation du virement ou du paiement”, détaille Bernard Larrivière.
Sylvain ne réalise l’arnaque que plusieurs minutes après avoir effectué trois virements vers le compte qu’il pense être son compte de secours. “Il m'a demandé de refaire un virement qui ne serait pas passé depuis un autre compte, mon compte joint”, se souvient Sylvain Deshayes.
Problème, le standard de sa banque est fermé. Sylvain devra attendre le lendemain pour apprendre la mauvaise nouvelle. “ Mon argent est perdu. Ce que je ne comprends pas, c’est qu’il n’y a pas eu de délais de vérification”, lâche, dépité, Sylvain Deshayes.
Vite porter plainte
Le Girondin a rapidement déposé une plainte à la gendarmerie. Le bon réflexe, selon Jean-Christophe Fedherbe. Chef du groupe des enquêteurs en nouvelles technologies au sein de la section opérationnelle de lutte contre les cybermenaces, ces plaintes sont sa spécialité. Sa mission : retrouver un maximum d’éléments qui permettront de constituer des preuves de cybercrime.
En Gironde, 150 gendarmes sont formés pour prendre en charge ces plaintes. “Ils prennent la plainte et peuvent commencer à identifier des éléments de preuves. S’ils sont confrontés à un problème de compréhension technique, ils peuvent se rapprocher de leurs collègues formés, puis de nous”, explique Jean-Christophe Fedherbe. Nous, ce sont trois enquêteurs, dans la cellule spécialisée dans les nouvelles technologies. Dans les cas les plus complexes, la section de recherches de Bouliac peut être saisie, ainsi que le Commandement de la gendarmerie dans le cyberespace, en dernier recours.
“Il faut agir immédiatement, pour qu’on puisse collecter un maximum d’éléments et geler, lors de gros montants, les fonds avec l'aide de Tracfin”, prévient le gendarme. Tout peut dévoiler l’identité du fraudeur. “Son adresse IP, son en-tête de mail, sa manière d’écrire numériquement. On va chercher des similitudes avec d’autres cas, la présence de fautes”, énumère Jean-Christophe Fedherbe.
Hygiène numérique
Face à des méthodes toujours plus complexes, la sensibilisation joue un rôle central. “Il y a une forme de lassitude à force d’entendre ces messages et pourtant, on a une hygiène numérique qui est loin d’être satisfaisante”, regrette Jean-Christophe Fedherbe. Mots de passe peu complexes, “basés sur le personnel” et répétés sur plusieurs comptes, la présence de prénom ou nom dans les adresses mails, ces informations sont autant de portes d’entrée pour les fraudeurs.
À l’occasion du #cybermois, la FBF dévoile les résultats de la seconde édition de son étude menée avec @harrisint_fr sur les perceptions et les comportements des Français en matière de #cybersécurité.
— FBF (@FBFFrance) October 2, 2023
👉 https://t.co/6F5trjSNIj pic.twitter.com/5pRHuldlWy
De son côté, Bernard Larrivière martèle “les règles de bases”. “Un conseiller ne demandera jamais d’information, tout simplement parce qu’il les a déjà. Et en cas de doute, il faut raccrocher et rappeler immédiatement le numéro de votre conseiller, dans le meilleur des cas, il y verra un bon réflexe”, sourit le président de la FBF des Landes.
Le mois d’octobre devenu le Cybermoi(s), la gendarmerie se mobilise également toute l’année pour sensibiliser la population. L’application Safe N’tech permet ainsi d’évaluer sa sécurité numérique. Des supports imaginés notamment en coordination avec l’université de Bordeaux au sein d’un projet d’éducation au numérique et aux médias.