Avez-vous reçu un contact, prétendument de votre banque, vous demandant des informations personnelles ? La Banque du Portugal (BdP) a publié un communiqué expliquant ce qu’il convient de faire.
« Vous recevez un e-mail, un message ou un appel téléphonique censé provenir de votre banque vous avertissant que votre compte pourrait être compromis ou bloqué et vous demandant de vous connecter pour récupérer l’accès ou de partager un code envoyé par SMS sur votre téléphone portable. Soyez vigilant ! Il est probable que vous soyez face à une forme courante de phishing, c’est-à-dire une attaque visant à obtenir vos informations personnelles« , prévient le régulateur bancaire.
Ce qui est en jeu
#1 Contact d’une entité supposément fiable
« Le hacker vous contacte par e-mail, par téléphone ou via les réseaux sociaux, se faisant passer, par exemple, pour une banque ou un autre prestataire de services de paiement, une entité publique ou un prestataire de services.
Parfois, les hackers utilisent le spoofing, c’est-à-dire qu’ils copient les numéros de téléphone ou les e-mails et l’apparence des entités officielles, pour être plus convaincants. »
#2 Création d’un scénario crédible
« Le hacker crée un motif apparemment légitime pour tenter de vous convaincre de fournir vos données personnelles, telles que les identifiants de homebanking, les informations de cartes de crédit ou un code envoyé par SMS sur votre portable (directement ou en vous fournissant un lien vers une page fausse, bien que d’apparence légitime).
Le motif peut être lié, par exemple, à la nécessité de mettre à jour vos données personnelles dans le homebanking, de débloquer votre compte en raison d’une activité suspecte détectée, ou de devoir confirmer vos informations pour recevoir un transfert/remboursement déterminé. »
#3 Personnalisation et connaissance de la victime
« Pour gagner votre confiance, le hacker peut, au cours de la conversation, montrer qu’il connaît certaines de vos informations personnelles, comme votre nom ou adresse. Ces données peuvent avoir été obtenues illicitement ou via vos réseaux sociaux, par exemple. »
#4 Ton d’urgence et intimidation
« Les contacts à des fins frauduleuses sont généralement établis sur un ton urgent pour vous inciter à divulguer rapidement des informations personnelles, sans avoir le temps de réfléchir à la meilleure façon d’agir. Parfois, des conséquences négatives, comme le blocage de votre compte bancaire, sont également mentionnées si vous n’agissez pas en conséquence. »
Comment se protéger ?
Selon la BdP, suivez ces étapes :
- Évaluez soigneusement les demandes d’informations que vous recevez – « Évaluez soigneusement toutes les demandes d’informations adressées à vous, quel que soit le canal utilisé pour le contact. Les tentatives de phishing peuvent se produire par e-mail, mais aussi par messages texte (smishing), appels téléphoniques (vishing) ou via les réseaux sociaux.
Soyez prudent, même si le numéro ou l’adresse e-mail qui vous a contacté semble légitime.
Vérifiez l’adresse de l’expéditeur (et pas seulement le nom), la langue, le type et le ton de langue utilisé, et la présentation graphique du message reçu. Les messages frauduleux adoptent souvent une présentation ou un langage moins formels, avec des erreurs orthographiques ou sémantiques, et sont rédigés pour transmettre au lecteur un sentiment d’urgence.
N’ouvrez pas et supprimez immédiatement les e-mails suspects. » - Protégez vos données – « Ne divulguez jamais d’informations personnelles ni d’identifiants d’accès à vos canaux numériques ou de codes d’authentification d’opérations. Une banque ou un autre prestataire de services de paiement ne vous demanderait jamais ce type d’informations par e-mail, SMS ou téléphone.
Ne divulguez pas d’informations personnelles ou confidentielles lors d’un appel téléphonique non sollicité.
N’inscrivez pas de données confidentielles et d’autres informations personnelles sur des sites dont l’authenticité n’est pas garantie.
Saisissez toujours l’adresse électronique du site Web de l’entité que vous souhaitez atteindre (par exemple, pour accéder à votre banque en ligne), au lieu d’utiliser un lien existant dans un message d’e-mail, des adresses enregistrées dans les « Favoris » ou l' »Historique » ou des résultats de recherche de moteurs de recherche. Cela évite l’accès à des programmes permettant l’appropriation de vos informations confidentielles ou vous redirigeant vers une page Internet ayant la même apparence que la page de l’institution financière, mais qui est fausse (« page miroir »). » - Réfléchissez avant de cliquer – « Ne cliquez pas sur des liens, n’ouvrez pas de codes QR, et ne téléchargez pas les pièces jointes incluses dans les messages sans être certain que la source est sécurisée. Certains de ces liens peuvent vous rediriger vers des pages fausses ou installer des logiciels malveillants sur votre appareil et compromettre la sécurité de vos données. »
- Contactez l’entité concernée par les contacts officiels – « Même si vous pensez qu’il s’agit d’un contact légitime, ne divulguez pas immédiatement d’informations et contactez l’entité en utilisant les contacts officiels (et jamais ceux fournis dans les e-mails, SMS ou appels téléphoniques reçus). En cas de suspicion de fraude, signalez immédiatement la situation à votre banque ou autre prestataire de services de paiement via les canaux habituels, et aux autorités policières. »
La BdP laisse également les conseils suivants :
- En cas de doute, ne partagez pas vos données personnelles ;
- Contactez immédiatement votre banque ou autre prestataire de services de paiement si vous détectez des mouvements non autorisés sur votre compte ;
- Si vous êtes victime de fraude, signalez la situation à l’autorité de police criminelle la plus proche (PSP, GNR ou PJ) ou au ministère public.