L’ère du web et des courriers électroniques a développé l’imagination sans limite des pirates informatiques. Hackers, fraudeurs, et autres cyber criminels, sont toujours novateurs quand il s’agit de soutirer de l’argent et de monter des escroqueries.
Tous, nous pouvons en être victime – en toute bonne foi – dans l’entreprise ! Que faire devant ces escroqueries en tout genre ? Valoxy, cabinet d’expertise comptable dans les Hauts de France, fait le tour de quelques-unes des fraudes les plus « classiques ».
L’arnaque à la carte bancaire
L’arnaque à la carte bancaire, si elle touche les particuliers, peut également toucher votre entreprise :
Votre relevé de compte comporte des paiements dont vous n’êtes pas à l’origine. (parfois même vers un compte dans une banque à l’étranger). Les numéros de votre carte bancaire ont vraisemblablement été piratés, le plus souvent suite à un achat sur Internet (piratage). Il arrive aussi que votre carte ait pu être clonée sur un terminal de paiement ou un distributeur (clonage, ou skimming).
Si les données de votre carte bancaire ont été utilisées à votre insu, votre responsabilité ne peut être engagée, à de très rares exceptions près.
Dès lors :
- contestez par écrit (Lettre Recommandée avec Accusé de Réception) les débits frauduleux à votre banque dans les meilleurs délais,
- faites immédiatement opposition à votre carte bancaire,
- et portez plainte (éventuellement) au commissariat dont vous dépendez.
La loi est claire : les montants débités frauduleusement AVANT l’opposition à la carte sont remboursables au delà d’une franchise, qui a été portée à 50 euros depuis le 13 Janvier 2018. Ainsi, dès réception de votre courrier, et après un délai raisonnable pour vérifications, l’établissement bancaire est dans l’obligation de vous re créditer les sommes litigieuses (au delà de la franchise).
Quant aux sommes débitées APRES avoir informé votre banque de l’utilisation frauduleuse de votre carte et/ou avoir fait « opposition », elles doivent vous être remboursées intégralement.
Pour vous prémunir de ce type de fraude, consultez régulièrement vos relevés de compte. De même, avant tout paiement sur internet par carte bancaire, vérifiez que le site ou l’intermédiaire de paiement est bien sécurisé, et utilisez toujours les dispositifs de sécurité ( codes, numéros de sécurité, etc.).
Les abonnements cachés
Une publicité, un sondage sur Internet, une enquête vous proposent gratuitement un cadeau, un échantillon pour une valeur symbolique, et seuls des frais de port minimes sont à votre charge. Or, quelques semaines plus tard, vous découvrez que votre compte bancaire a été débité d’une somme bien plus importante. Vous avez sans doute, sans le vouloir, accepté un service d’abonnement (parfois fictif) qui n’était pas clairement explicité, pour lequel des prélèvements mensuels seront effectués.
Contactez par lettre recommandée avec accusé de réception le site en question et demandez la résiliation du service (abonnement, etc.) ainsi que l’annulation des livraisons futures.
Au cas où vous estimez ne pas avoir été suffisamment informé du caractère payant de cet abonnement, ou victime d’un texte volontairement flou, contestez en la validité, et demandez le remboursement des sommes déjà versées. Faites jouer, si vous le pouvez, votre droit de rétractation (14 jours) et renvoyez les colis reçus à l’adresse mentionnée.
En cas de litige, n’hésitez pas à contacter le Centre Européen des Consommateurs France.
D’une manière générale, il faut se méfier des offres trop alléchantes. Au moment de votre achat ou de votre « inscription », vérifiez qu’aucune case n’est déjà cochée. Lors de l’apparition de « fenêtres surgissantes » (pop-up) sur votre écran, ne cliquez jamais sur les boutons qui vous sont proposés : votre clic peut signifier l’acceptation d’un service ou d’un abonnement payant. Enfin, lisez attentivement les CGV (conditions générales de vente), – ce qu’en général personne ne fait ! – et gardez-en une copie.
L’achat bloqué en Douane
Vous avez effectué un achat en ligne mais votre commande, provenant d’un pays hors UE, « se retrouve bloquée en douane ». Des frais supplémentaires vous sont demandés.
Ne payez pas les frais supplémentaires, demandez par écrit l’annulation de la commande et le remboursement des sommes versées au vendeur. S’ils n’ont pas été spécifiquement indiqués lors de votre commande, ou insuffisamment explicités (pas de valeur précise) vous n’avez pas à payer ces frais.
Pour vous assurer de l’origine du produit commandé, vérifiez l’identité et les coordonnées de votre vendeur dans l’onglet « mentions légales » du site marchand, ou, à défaut, recherchez ces informations via des sites comme WHOIS, DENIC, AFNIC (pour les noms de domaine en .fr).
Les spams
Vous recevez des courriels non sollicités, provenant d’expéditeurs inconnus, et vantant les mérites d’un produit ou service, appelant à un don pour quelque cause que ce soit, ou encore vous incitant à un abonnement, l’accès à un site, etc.
Supprimez systématiquement ces messages non désirés.
Placez-les dans le dossier « courrier indésirable » de votre messagerie.
N’ouvrez jamais les pièces jointes et, surtout, ne cliquez jamais sur les liens affichés. (Voir notre article Spams, du bon usage des courriels.) Utilisez une autre adresse courriel pour commander en ligne, et installez un filtre anti-spam.
Le piratage de compte internet ou d’adresse courriel
Vous recevez un courriel provenant d’une adresse amie ou connue vous demandant une aide financière. Votre profil professionnel sur un réseau social est modifié ou envoie des messages sans votre accord.
Vous constatez une connexion sur votre compte par un inconnu ? Ou la création d’un compte à partir de votre adresse courriel ? Signalez-le directement auprès du réseau social en question ! Et modifiez le mot de passe de votre boîte courriel… Choisissez un « bon » mot de passe. Minimum 8 caractères, avec des chiffres, des lettres majuscules et minuscules, voire des symboles s’ils sont autorisés. N’y mettez aucune information personnelle de type date de naissance, et surtout, des mots de passe différents pour chacune de vos applications, que vous penserez à changer régulièrement.
Sécurisez également votre connexion Internet.
Les annuaires « professionnels »
Qui n’a jamais reçu, dans son entreprise, une facture ou un courrier de relance classique d’un annuaire dont le nom ressemble à s’y méprendre au sigle ou au nom commercial original, à une différence imperceptible près ? (Répértoire de l’INSE, Pages Vertes, Annuaire (International ou Européen, ou autre) des Métiers, Annuaire des Professionnels, etc.). Les cibles privilégiées sont le plus souvent les sociétés nouvellement créées, fraîchement inscrites, dont le besoin de se faire connaître empêche parfois tout esprit critique sur le besoin réel de la publicité ou de l’inscription proposée.
D’ailleurs, la demande d’un virement sur un compte à Genève ou Londres devrait attirer votre attention : pourquoi, puisqu’il s’agit le plus souvent d’un service 100% français, devrait on payer en Suisse ou en Angleterre ?
Déposez systématiquement plainte auprès des instances compétentes et prenez les conseils d’un avocat (en cas d’action de la société d’annuaire professionnel devant un tribunal européen). Si l’annuaire a son adresse en France, adressez-vous à la Direction Générale de la Répression des Fraudes. Alertez votre chambre des métiers, de commerce ou d’agriculture, votre ordre professionnel et tout autre organisme d’affiliation.
Informez vos employés de ce type d’escroquerie, vérifiez toujours l’identité et le logo des sociétés et comparez-les avec ceux des sites officiels. Enfin, recherchez le prix caché dans les conditions générales écrites (généralement en petits caractères en bas ou au verso du formulaire).
L’arnaque nigériane
Les courriers manuscrits, adressés à titre strictement personnels, et en provenance « d’un fonctionnaire d’une banque centrale africaine qui préfère pour le moment garder l’anonymat », mais vous demande en échange d’un pourcentage de la somme des « virements réguliers pour récupérer les sommes importantes qu’il a cachées et dont vous serez bénéficiaires plus tard avec lui » ont par le passé fait le malheur de certains crédules, mais ont maintenant à peu près disparu.
Aujourd’hui, c’est par courriel qu’une personne (qui se présente comme un fonctionnaire de la banque centrale, par exemple) demande votre aide – à titre strictement personnel – pour effectuer un transfert d’argent pour des raisons soi-disant d’ordre diplomatique ou familial. En échange, elle vous offre un pourcentage sur le montant transféré. Si vous acceptez, vous devrez avancer de l’argent censé couvrir divers frais avant le transfert (qui n’aura finalement jamais lieu).
Bien sûr, il ne faut jamais répondre à ces courriels, ni en accuser réception ! Les placer en « indésirables » ou les détruire est la seule option raisonnable !
Le hameçonnage
Le hameçonnage est une technique utilisée pour obtenir de vous des renseignements personnels. Il s’agit de vos mots de passe, numéro de carte de crédit, date de naissance, etc. Le but d’usurper votre identité. Basé sur l’envoi d’un message générique à un grand nombre de destinataires, le hameçonnage consiste à vous faire croire que c’est un tiers de confiance qui vous écrit (votre banque, une administration, un fournisseur d’accès internet, etc.), en prétextant la perte de vos données ou la nécessité d’une actualisation de votre dossier ou de votre compte.
Le plus souvent, vous recevrez un lien vers un site strictement conforme à celui du « tiers de confiance ». Le message vous fait croire que vous vous trouvez bien sur le site officiel où vous pensiez vous connecter. Vous allez ainsi rentrer vos codes personnels. Les fraudeurs (ceux qui ont créé le faux site) vont les récupérer. Ils auront donc accès à votre compte.
Sachez que les banques ne demandent JAMAIS d’informations de ce type. Et ce, ni par courriel, ni par téléphone (type « appel d’un conseiller bancaire »).
Vérifiez toujours :
- l’adresse courriel de l’émetteur (qui n’utilise jamais de messageries gratuites, de type @gmail ou @hotmail).
- le libellé du nom de l’entreprise, souvent mal orthographié. La différence d’une lettre, un accent, etc. sont des indices à ne pas négliger.
- le texte que vous avez reçu comporte fréquemment des fautes de grammaire et d’orthographe. Il est parfois écrit dans un français approximatif. Il s’agit d’erreurs récurrentes dans ce type d’arnaque.
- le vrai site de l’entreprise (ou de l’administration). Il aura bien souvent communiqué sur les cas de fraudes dont elle est victime.
Voir notre article Phishing: comment détecter un message malveillant ? Lorsque cette technique utilise les SMS pour obtenir des renseignements personnels, cela s’appelle le smishing.
Le spear phishing
Ce terme désigne une variante du hameçonnage traditionnel (voir paragraphe précédent). Le spear phishing se focalise sur un nombre limité d’utilisateurs (voire un seul), auxquels est envoyé un message fortement personnalisé.
Votre attaquant aura au préalable rassemblé un maximum d’informations sur vous au travers de sources publiques et disponibles. (greffe, registres publics, réseaux sociaux). Il peut aussi utiliser des sources privées piratées. À partir de ces informations, il créera un message de « hameçonnage » personnalisé, incluant des informations spécifiques qui vous marqueront. La forte personnalisation du message sera susceptible de le rendre très convaincant et d’en augmenter la probabilité de succès. (Envoi de messages à partir de comptes amis, ou de personnes connues de vous, faisant référence à des affaires en cours, ou maîtrisant parfaitement votre langage et votre culture professionnelle).
L’utilisation de techniques « d’ingénierie sociale », c’est à dire de pratiques de manipulations psychologiques à des fins d’escroquerie. Cette forme d’escroquerie exploite les faiblesses (psychologiques, sociales ou organisationnelles) des destinataires. Et ce, afin d’obtenir le bien, le service, le virement bancaire, l’accès physique ou informatique, la divulgation d’informations confidentielles, etc. En utilisant ses connaissances, son charisme, et le culot, « l’attaquant » cherchera à abuser de la confiance, de l’ignorance ou de la crédulité des personnes visées.
Il existe encore de nombreuses autres formes d’escroquerie liées à Internet et aux courriers électroniques. Différents sites permettent de vérifier et de signaler un site frauduleux. Le Centre Européen des Consommateurs, recense une partie de ces arnaques.