"Allo ? Je suis l'agent anti-fraude de votre banque..." Comment déceler l'arnaque derrière un coup de téléphone qui prétend vous sauver ?

C'est la dernière escroquerie à la mode : mail ou coup de téléphone, vous avez toutes les raisons de penser que c'est votre banque qui vous contacte pour vous prévenir que vous êtes victime d'un piratage informatique. En réalité, l'arnaque ne fait que commencer. Témoignages, et conseils pour éviter le pire.

Marc Belmont s'en veut encore de s'être laissé berner. Agé d'une quarantaine d'années, ce commercial installé à Villeneuve-Loubet (Alpes-Maritimes) n'est pourtant pas né de la dernière pluie en matière d'outils numériques, et a toujours été très méfiant quant aux mails et messages douteux.

Mais cette fois-ci, il n'a rien vu. Et a failli le payer cher. 4 990 euros.

  • ARNAQUE, ETAPE NUMERO 1 : LE SMS D'AMELI

Ce matin-là Marc reçoit un SMS -encore un- qui parait venir de la Sécurité Sociale. Mais cette fois-ci, c'est la dernière relance : Ameli le prévient que s'il ne commande pas sa nouvelle carte Vitale, ses droits d'assuré social seront suspendus. Fatigué, stressé entre deux rendez-vous, il clique sur le lien, et commet l'erreur originelle : il renseigne ses coordonnées bancaires pour payer les soi-disant 40 centimes de frais d'envoi.

  • ARNAQUE, ETAPE NUMERO 2 : LE COUP DE FIL DU FAUX BANQUIER

Quelques heures plus tard, sans aucun lien apparent, Marc reçoit un coup de fil. "Allo, Monsieur Belmont ? Je suis Pierre Lefèvre, le directeur anti-fraude de votre banque. Il y a des mouvements suspects sur votre compte à Abidjan en ce moment-même. Je vois un virement de 2 500 euros. Là, un autre de 7 000 euros." Après avoir mis Marc Belmont dans un état de stress maximal, son interlocuteur passe à la phase suivante : "Ne vous inquiétez pas, nos allons bloquer vos comptes ensemble." 

Il parlait bien, il me rassurait. Il connaissait parfaitement l'application de ma banque dans laquelle il me guidait pas à pas.

Marc Belmont, cible du pirate

Tout en le déculpabilisant -"ne vous en voulez pas, il y a des milliers d'arnaques comme celle-là par jour, vous n'êtes pas le seul, nous allons vous aider", son interlocuteur invite Marc à valider des opérations via son application Sécuripass.

"Je reçois des notifications de ma banque, pour valider un virement à un nouveau bénéficiaire que je ne connais pas". Mais l'interlocuteur de Marc Belmont a réponse à tout : "C'est normal, c'est un contrordre. En cliquant, vous allez en fait le désactiver."

Marc clique, en pensant désactiver ce virement de 4 990 euros à une personne qu'il ne connait pas. Et raccroche, sûr d'avoir échappé au pire.

  • ARNAQUE, ETAPE NUMERO 3 : LE VRAI APPEL DE LA BANQUE

En fin d'après-midi, Marc reçoit un autre appel : "Allo ? Je suis le responsable anti-fraude de votre banque...vous avez été victime d'une tentative d'arnaque". "Oui je sais, j'ai déjà eu quelqu'un en ligne". "Ah non, c'était précisément le pirate". Panique sous un crâne.

Le vrai responsable anti-fraude de sa banque l'informe alors que le système informatique de l'établissement a bloqué le virement de 4 990 euros que Marc avait bel et bien personnellement validé en croyant le contrer.

  • ARNAQUE, ETAPE NUMERO 4 : LE PIRATE INSISTE

A 20h30 ce soir-là, Pierre Lefèvre, le faux-banquier, visiblement contrarié par l'échec du virement, rappelle.

"Monsieur Belmont ? Il y a apparemment eu un problème dans le renouvellement de votre mot de passe, il faut recommencer." Marc Belmont, visiblement énervé : "Elle est belle ton arnaque !" S'engage alors une conversation surréaliste avec le pirate qui ne raccroche pas... et cherche à comprendre : "Est-ce que tu sais pourquoi mon virement a été bloqué ?"

Une arnaque qui peut coûter très cher

Si la mésaventure de Marc Belmont a finalement été sans conséquence, ce n'est pas le cas pour les parents de Rebecca Lagoutte, elle aussi installée à Villeneuve-Loubet dans les Alpes-Maritimes.

Agés de 75 ans, ces derniers viennent d'être victimes d'un piratage malheureusement réussi de leur compte bancaire, avec un mode opératoire assez semblable.

Leur interlocuteur s'est fait passer pour l'inspecteur anti-fraude de leur banque. Il leur a donné le nom de leur conseiller habituel... Il leur a paru tellement convaincant ! Ils avaient 1.702,02 euros sur leur compte. Les pirates leur ont tout pris.

Rebecca Lagoutte

Le pirate a convaincu la mère de Rebecca de valider dans son application Sécuripass un virement sur un compte qui portait son propre nom, Nicole Lagoutte ; il s'agissait en réalité d'un compte extérieur ouvert à l'étranger.

"Le pirate a appelé avec le numéro de téléphone fixe de la banque. Il avait accès à toutes les données bancaires de mes parents, comme s'il avait leurs comptes devant ses yeux !"

Les parents de Rebecca ont porté plainte. Clairement victimes, ils se sont pourtant vu refuser le remboursement des fonds par la banque. Cette dernière arguant que Madame Lagoutte avait bel et bien validé personnellement l'opération.

C'est malheureusement le cas de nombreuses victimes de ce type d'arnaque. Rebecca, elle, a décidé d'engager un combat contre la banque, estimant "qu'il y a bien eu défaillance au niveau des comptes".


 Ne jamais faire confiance à son interlocuteur

C'est un type d'arnaque qui s'est beaucoup perfectionnée, parce qu'elle est facile à faire.

Pierre Penalba, consultant en cybercriminalité

Ancien policier à la PJ de Nice, Pierre Penalba est aujourd'hui réserviste, et consultant en cybercriminalité.

Si les parents de Rebecca Lagoutte n'ont aucun souvenir d'avoir un jour commis l'erreur de donner leurs coordonnées bancaires, il y a pourtant toujours, au départ, une opération de phishing. Pas forcément par Internet :

"Quand vous faites un achat dans une grande enseigne avec votre carte bancaire, cette dernière est enregistrée quelque part. Ou quand vous prenez un abonnement téléphonique, vos coordonnées bancaires sont enregistrées dans la base de données de l'opérateur. Et des vols de données, il y en a tous les jours..." nous explique Pierre Penalba.

Selon l'expert, sur le Darknet, une base de données de 10.000 noms se revend environ 20.000 euros. Pour les pirates, il faut alors rentabiliser l'investissement.

Toute une organisation est mise en place avec des gens qui vous appellent. Les équipes sont en général basées à l'étranger, mais ils vous appellent avec des numéros en 06 français, ou des fixes français, qui sont en fait des sous-lignes louées par des opérateurs.

Pierre Penalba

Et les escrocs ne sont évidemment pas à court d'imagination pour crédibiliser leur démarche : "Récemment, nous avons vu un cas où les pirates avaient mis en place la même musique d'attente que celle du site officiel des centres de carte bancaire".

Le conseil du spécialiste ?

"Lorsque vous avez un appel d'un soi-disant centre de contrôle anti-fraude, raccrochez. Appelez vous-même le centre dont le numéro est inscrit sur votre carte bancaire, jamais celui qui vous a été envoyé dans le mail ou sms douteux. Votre centre pourra alors vous dire ce qu'il se passe vraiment sur notre compte."