Fraude et cyberattaques : soyez vigilants face à la recrudescence des tentatives

Les réseaux sociaux peuvent être le lieu de nombreuses escroqueries et sont le 2^ème canal préféré des fraudeurs, derrière l'e-mail. Une vigilance est de mise face aux diverses bannières publicitaires et il est important de vérifier l'identité des interlocuteurs avec qui vous interagissez. 

Soyez prudent, des faux profils peuvent tenter de vous manipuler afin de vous soutirer des informations privées.

Sur les réseaux sociaux, La Banque Postale et ses collaborateurs ne vous demanderont jamais votre mot de passe, identifiant Banque en Ligne ou code que vous pourriez recevoir par SMS.

De même, nous ne vous proposerons jamais de passer par les réseaux sociaux pour obtenir un financement ou échanger sur vos besoins bancaires.

L’arnaque au faux technicien est une forme d’escroquerie qui consiste à effrayer la victime en lui faisant croire à un problème technique grave pouvant impliquer un risque de perte de données. Le fraudeur usurpe l’identité d’un technicien de l’entreprise ou d’une personne mandatée et cherche à accéder à des données confidentielles et/ou à soutirer de l’argent à sa victime. Il peut l’inciter à prendre le contrôle du poste informatique à distance et/ou lui faire souscrire à des abonnements payants.

Ne laissez jamais prendre le contrôle de vos appareils par quiconque sauf si vous avez initié la demande. Enfin, ne répondez jamais aux éventuelles sollicitations inhabituelles et ne rappelez jamais les numéros proposés, même d’un soi-disant nouveau collègue vérifiez sa présence dans l’annuaire interne.

Dans certains cas, les fraudeurs peuvent usurper l'identité d'un des fournisseurs de l'entreprise, dans le but de soutirer de l'argent à leur victime. Dans un premier temps, ils collectent des données sur les fournisseurs par le biais de l'ingénierie sociale, ce qui leur permet de gagner la confiance de leur interlocuteur qui ne se doute pas être face à une tentative de fraude. 

Les fraudeurs usurpent par la suite l'identité du fournisseur et procèdent alors à des changements de RIB lors de règlements de facture afin d'obtenir les versements sur un nouveau compte. Pour ce faire, ils contactent l'entreprise (parfois via mail suite au piratage de la boîte mail du fournisseur) afin de l'avertir que leurs coordonnées bancaires ont changé, et qu'il faudra désormais régler les prochaines factures sur ce nouveau compte. Un mécanisme de double vérification pour les virements bancaires ou des actions engageantes telle que la modification de coordonnées bancaires, peut permettre de se prémunir contre ces tentatives de fraude. 

De la même manière, des tiers mal intentionnés peuvent se faire passer pour de faux prestataires. Ne répondez jamais aux sollicitations inhabituelles sans avoir effectué une vérification de l'identité de votre interlocuteur, et ne rappelez jamais les numéros proposés.

Les attaques par malwares connaissent une forte augmentation depuis le début de l’année et cela quelle que soit la taille de l’entreprise.

Ce fléau se répand par e-mail. Les messages sont accompagnés d’une pièce jointe ou d'un lien, parfois présentés comme un fax, qui en réalité contient un programme malveillant.

De manière générale, La Banque Postale ne demande jamais à ses clients de fournir des informations personnelles et bancaires (numéro de carte bancaire, numéro de compte, …) ni de codes personnels que vous auriez reçus par SMS ou courrier (codes pour valider une opération ou activer une fonctionnalité), et ce, que ce soit par e-mail, par SMS ou par téléphone. 

De faux e-mails circulent sur Internet. Sous couvert de sécurité, d’une nouveauté ou d’une alerte en cours, ils vous invitent à consulter votre Espace Client Business en vous connectant via un lien dans l’e-mail.

ATTENTION, ces messages ne proviennent pas de La Banque Postale, il s’agit de messages de Phishing qui vous incitent à vous connecter à un faux site et y saisir vos codes personnels. Souvent, un caractère d’urgence est invoqué. Ne cédez pas à la panique car une fois vos coordonnées dans les mains des fraudeurs, ceux-ci pourront effectuer des transactions. Il convient donc de ne pas y donner suite et d'en alerter La Banque Postale par transfert d’e-mail vers la boîte alertespam@labanquepostale.fr.

Si vous avez répondu à ce type d'e-mail ou cliqué sur un lien proposé dans l'e-mail, demandez l’opposition sur votre carte depuis la page Contact de votre Espace Client Business ou de votre Application Business et contactez votre interlocuteur habituel.

Vous pouvez recevoir des SMS frauduleux de la banque ou d’autres sociétés. Voici quelques exemples et les comportements à adopter en présence de tels scénarios :

• Réception d’un SMS dont le nom de l’expéditeur semble être votre banque et contenant un lien

Si vous recevez ce SMS sur votre téléphone professionnel vous demandant de valider une opération ou d’activer un service pour le compte de l’entreprise via un lien, alors il peut s’agir d’une fraude.

Sur Internet ou sur votre mobile, les techniques « d’hameçonnage » sont répandues. A travers le lien contenu dans ces messages, les fraudeurs peuvent chercher à récupérer vos identifiants de connexion et codes personnels via des faux sites usurpant celui de votre banque, à vous faire télécharger un virus, vous soutirer de l’argent ou des informations confidentielles sur votre entreprise.

• Réception d’un SMS avec un code sécurité

Si vous recevez ce type de SMS alors que vous n’êtes pas en train d’effectuer un achat en ligne ou une opération sensible (comme l’ajout d’un nouveau bénéficiaire) sur votre Espace Client Business, il peut s’agir d’une tentative de fraude ou d’une erreur de coordonnées téléphoniques.

Contactez immédiatement votre interlocuteur habituel ou rendez-vous dans la rubrique « Contact » de votre espace client Business.

Nous vous rappelons qu’en aucun cas, ce code ne vous sera demandé y compris par les conseillers ou collaborateurs de La Banque Postale, ni même par un service Fraude. Veillez à ne jamais divulguer vos codes reçus par SMS, même à tiers de confiance. Ces codes sont strictement confidentiels.

Pour plus de sécurité pour l’ensemble de vos opérations (paiements en ligne avec votre Carte Bancaire Visa Business ou actions à partir de votre banque en ligne), nous vous invitons à activer le service gratuit Certicode Plus sur votre espace client Business.

Le phishing est une technique de fraude qui consiste à dérober les données personnelles ou bancaires. Cet instrument phare des fraudeurs ne cesse de se démultiplier sous plusieurs formes au gré des nouvelles technologies dans nos mails, par SMS, sur nos téléphones ou sur Internet. Afin de préserver chaque personne, les Clés de la banque, le programme d'éducation financière de la Fédération Bancaire Française, et la Police Nationale expliquent, comment être vigilants, détecter et lutter contre cette technique de fraude très discrète. Pour en savoir plus sur le phishing, s'en protéger, le signaler et sécuriser vos données sur Internet, rendez-vous sur le site des Clés de la banque et www.phishing‑initiative.fr. 

Il s'agit d'un paiement ayant été effectué sans le consentement de son titulaire. Consultez très régulièrement vos comptes pour observer si des opérations inconnues apparaissent. A la réception de SMS vous indiquant un achat effectué, si vous n'en êtes pas à l'origine, contactez immédiatement votre conseiller habituel pour faire opposition sur cette opération. N'appelez pas le numéro indiqué dans le SMS et ne cliquez pas sur le lien.

Cela signifie qu'un fraudeur a récupéré vos données de carte bancaire et tente de faire un achat. Si une personne (se présentant comme un agent au sein de La Banque Postale, collaborateur du service Fraude, Juridique...) vous demande de lui fournir le code figurant dans le SMS, il ne faut, en aucun cas, le lui communiquer, et ce, quelle que soit la raison invoquée (même pour une annulation du paiement ou autre subterefuge). La Banque Postale ne vous demandera jamais ce code. La personne qui vous appelle est un fraudeur, sans ce code elle peut valider le paiement. La personne qui vous appelle est un fraudeur, sans ce code elle ne peut valider le paiement. Pour vous protéger, veuillez raccrocher et appeler le centre de mise en opposition des cartes bancaires. 

Si vous avez activé Certicode Plus, vous recevrez une notification afin de valider votre paiement. Si vous n’êtes pas à l’initiative de l’opération, ne saisissez pas votre code, afin d’annuler la transaction. Si un collaborateur de La Banque Postale vous appelle pour valider le paiement en saisissant votre code, il s’agit d’une tentative de fraude. La Banque Postale ne vous demandera jamais de saisir ce code, quelle que soit la raison invoquée.

En aucun cas, la saisie de ce code ne permettra une annulation du paiement, en revanche il validera votre paiement. Il est recommandé de raccrocher et d’appeler immédiatement le centre de mise en opposition des cartes bancaires, car cela signifie que le fraudeur est en possession de vos données. 

L’utilisation par un tiers de sa carte bancaire peut être réalisée par le piratage des distributeurs de billets en copiant des données de la piste magnétique de la CB. Le code confidentiel peut aussi être intercepté grâce à une caméra ou via un détournement du clavier numérique. Privilégiez les distributeurs dans les agences et veillez à masquer votre saisie de code confidentiel. Une variante peut aussi bloquer votre carte dans le distributeur. Le fraudeur attend que le porteur se déplace pour demander de l’aide pour récupérer la carte.

Ne vous laissez pas distraire par une personne qui vous pose une question lors de votre retrait. Si la carte est restée bloquée dans le distributeur de billets, mettez-là en opposition. N’écoutez pas les conseils des personnes aux alentours.

Lors d’achat en ligne (fausse annonce, faux site, bonnes affaires) des « pirates » peuvent récupérer les identifiants de la carte et s'en servir pour effectuer des achats. Une alternative peut être réalisée par l’envoi d’un e-mail de phishing, en usurpant l’identité d’une entreprise, des banques ou bien des sociétés habituées à recourir au prélèvement automatique. Bien que ce faux mail soit copie conforme du site original de la société́, il vous informe du besoin de mettre à̀ jour diverses coordonnées (bancaires ou d’accès à votre messagerie)… Ne répondez pas et ne cliquez pas sur un lien, ne téléchargez pas de pièce jointe et transférez le message à votre interlocuteur habituel (conseiller, …). S’il s’agit d’un faux mail La Banque Postale transférez-le à alertespam@labanquepostale.fr puis supprimez-le.

Si vous recevez un appel d’une personne prétendant être le président de votre entreprise, un collaborateur d’un de vos partenaires, un collaborateur ou un conseiller de La Banque Postale :

1. Demandez des précisions sur votre interlocuteur (nom, fonction, objet de son appel) et pensez à bien vérifier que le numéro de téléphone est celui de votre interlocuteur habituel. N’hésitez pas à ajourner l’appel et à réaliser un contre appel sur le numéro présent dans votre base de contact avant d’initier toute action.
2. Ne communiquez jamais vos codes personnels d’accès à votre Espace Client Business, ni aucune autre information bancaire ou personnelle, et surtout référez-vous à vos procédures/à votre organisation.
3. S’il devient insistant, il convient bien entendu de ne pas y donner suite, d’alerter dans votre entreprise et également La Banque Postale,
4. Si vous avez donné des informations, contactez immédiatement votre interlocuteur habituel.

L’ingénierie sociale est la collecte d’information détenue par toute entreprise, qu’elle soit sur ses clients (coordonnées, factures...), ses fournisseurs ou sur ses collaborateurs.

Beaucoup d’escroqueries ont recours à l’ingénierie sociale, puisqu’il s’agit d’une technique de manipulation pouvant se faire de diverses manières : par téléphone, e-mail, réseaux sociaux et Internet, voir même dans la sphère privée. 

L’objectif est de récupérer le plus d’informations pour mieux gagner la confiance de tiers, et se faire passer pour un collaborateur de l’entreprise, des fournisseurs ou prestataires, ou des clients. 

Veillez à ne pas diffuser d’information même anodine sur votre entreprise (structure et organisation interne), vos absences (congés, déplacement…), le nom d’un dossier sur lequel vous êtes retenu, lors d’une conversation téléphonique à l’extérieur de votre entreprise ou sur les réseaux sociaux.