Carte bancaire sécurisée

Internet fourmille de pièges et d’arnaques diverses, l’imagination de ceux qui cherchent à vous soutirer de l’argent est sans limite. Cet article a bout but de vous aider à les déjouer et à ne pas tomber dedans.

Internet est comme le reste de l’activité humaine, il y a des gens et des entreprises honnêtes et également des voleurs et des escrocs. L’inconvénient du net est qu’il donne l’impression d’anonymat doublée d’une très grande difficulté à poursuivre des escrocs opérants depuis l’étranger. Il donne donc aux escrocs une sensation d’impunité. Cet article a pour but de vous aider à vous repérer un peu mieux dans cette jungle et de vous fournir quelques conseils de base pour éviter de tomber dans les pièges que vous ne manquerez pas de rencontrer en naviguant sur Internet. Il n’a absolument pas la prétention d’être exhaustif et de vous fournir une protection à 100 %. Les voleurs sont très inventifs et innovent en permanence pour essayer de faire de nouvelles victimes.

Pour simplifier on peut regrouper les arnaques en grandes catégories:

Il y a encore d’autres méthodes mais pour ce premier article nous nous limiterons à ces 6 catégories qui couvrent déjà une bonne partie des escroqueries que vous êtes susceptible de rencontrer. Quelques conseils très généraux pour commencer:

– Installez un antivirus et veillez à ce que la base de données des menaces soit très régulièrement mise à jour.

– Veillez à ce que vos programmes soient à jour et que toutes les mises à jour de sécurité des éditeurs de vos logiciels soient installées.

– Sachez lire une adresse Internet. (Voir l’article sur le blog)

 

1) L’hameçonnage ou phishing

Dés lors que vous avez un compte email, vous recevrez un jour ou l’autre un mail de phishing. Ces mails semblent venir d’organismes très officiels (impôts, banques, opérateurs téléphoniques, fournisseurs d’électricité, etc.). Pour information, 2,2 millions de Français ont été victimes de phishing en 2015. C’est à dire cent fois plus de personnes qui se font piéger que deux ans auparavant. Ces courriers vous informent au choix:

  • Que votre dernier prélèvement a été refusé par votre banque
  • Qu’une erreur sur votre compte a été constatée et qu’on veut vous rembourser de l’argent
  • Qu’une nouvelle procédure de sécurité client est mise en place.
  • Etc.

A partir de là on vous demande soit de cliquer sur un lien qui a toutes les apparences d’un lien vers le site de l’organisme qui vous écrit, soit d’ouvrir la pièce jointe attachée et de suivre les instructions qui vous seront données.

Les deux méthodes poursuivent un but différent. La première essaie de vous amener sur un site contrefait où on vous demandera et volera vos identifiants. La seconde a pour but d’installer un virus sur votre ordinateur. Ce virus est contenu dans la pièce jointe que vous allez ouvrir.

Comment se protéger et ne pas tomber dans le piège?

Tout d’abord, beaucoup de clients mail modernes (Outlook et Thunderbird par exemple) détectent une bonne partie des mails de phishing et vous avertissent. C’est loin d’être le cas des webmails, les sites des opérateurs qui vous permettent de consulter vos mails dans votre navigateur Internet. Mon premier conseil sera donc d’installer un véritable client mail. Ça ne coûte pas forcément cher, Thunderbird est un logiciel libre et gratuit. Dans le cas d’une pièce jointe un bon antivirus à jour détectera très probablement le problème dès l’arrivée du mail ou au pire quand vous essaierez de l’ouvrir. Donc ayez un antivirus et veillez à ce que la mise à jour de la base de données des menaces soit faite régulièrement.

Ensuite soyez vigilant et attentif, il est extrêmement rare que ces mails ne comportent pas de fautes d’orthographe voire de tournures de phrase pas françaises du tout. C’est un premier signal d’alerte, un organisme officiel ne laisserait pas diffuser un mail avec des fautes d’orthographe à ses clients. En outre le mail utilisera souvent un ton pressant et vous indiquera que vous n’avez qu’un délai très court pour réagir. Si c’est le cas, ignorez le mail ou contactez l’organisme en question pour vous assurer de son origine.

Cela peut être grossier comme dans l’exemple suivant:

 

 

Ou plus subtil comme dans cet exemple ci:

 

 

Dans le cas où il s’agit d’un lien à cliquer, si vous passez votre souris sur le lien, la véritable adresse où le lien va vous conduire s’affiche en bas à gauche de votre écran. Et là vous allez constater qu’elle n’a rien à voir avec l’adresse portée dans le mail. Ne cliquez pas c’est du phishing à coup sûr et cela va vous conduire sur un site où on va vous demander vos identifiants pour vous les voler.

Si vous avez cliqué trop vite ce n’est pas encore grave. Si votre navigateur Internet est à jour, il y a toutes les chances qu’il détecte que c’est un site de phishing et refuse de l’ouvrir à moins que vous ne passiez outre ses recommandations de sécurité. Et donc j’insiste une fois de plus maintenez vos logiciels à jour! Si malgré tout cela vous avez ouvert le site en question, ce n’est encore pas bien grave.

TANT QUE VOUS NE DONNEZ PAS VOS IDENTIFIANTS VOUS NE CRAIGNEZ RIEN.

Et souvenez-vous en permanence que jamais une banque ou les impôts ou n’importe quel organisme officiel ne vous demandera sur Internet vos identifiants ou le code secret de votre carte de crédit.

Une bonne habitude à prendre pour vous connecter à vos espaces clients (banque en ligne, opérateurs et fournisseurs divers) est de ne jamais cliquer sur un lien dans un email. Mettez les plutôt dans vos favoris et ressaisissez vous-même l’adresse ou cliquez sur vos favoris.

S’il s’agit d’une pièce jointe, soyez bien sûr de l’émetteur du mail et n’ouvrez les pièces jointes que dans les mails venant de personnes que vous connaissez. Là encore si votre antivirus est à jour, il jouera son rôle et vous alertera.

2) Le vol d’identité et le piratage de compte

Un jour au hasard de votre consultation de Facebook ou de Twitter vous découvrez des messages qui ne sont pas de vous. Ou encore un ami vous parle d’un mail bizarre qu’il a reçu via votre mail Google ou Yahoo. Cela peut être n’importe quoi: des messages étranges, de la pub, etc. Votre compte a très probablement été piraté! Un hacker (pirate) ou un groupe de hackers a pris le contrôle de votre compte et s’en sert pour diffuser de fausses informations ou de la publicité pour quelque chose qui va lui rapporter. Mais cela peut être plus grave si la personne en question s’en sert pour détruire votre image et votre réputation.

Il est indispensable de réagir très vite!

On touche à des choses graves qui peuvent vous être très dommageables. Imaginez que l’on se serve de votre compte pour promouvoir de faux produits de luxe. Sans réaction de votre part et si la marque dépose plainte, vous pouvez être accusé de complicité.

Donc prenez les devants et déposez plainte. La loi de 2011 sur l’usurpation numérique vous le permet. La procédure est assez simple, vous commencez par le faire sur le site du ministère de l’intérieur. Vous devrez ensuite aller signer votre plainte au commissariat ou à la gendarmerie selon votre domicile. N’oubliez pas de constituer un dossier afin d’apporter la preuve de vos dires. Faites des copies d’écran des messages concernés.

La deuxième chose à faire est de modifier vos mots de passe. Pas juste le mot de passe du compte concerné mais les mots de passe de tous vos comptes. Tout d’abord vous ne savez pas jusqu’où a été le piratage et ensuite comme de très nombreuses personnes vous utilisez le même pour plusieurs comptes, non?

C’est le moment de vous rappeler ce que recommande l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information):

  • 12 caractères ou plus contenant majuscules, minuscules, chiffres et caractères spéciaux.
  • 1 mot de passe différent pour chaque compte.
  • Changer de mot de passe fréquemment (tous les 3 mois est un minimum)

Il y a encore d’autres conseils sur le site de l’ANSSI et si tout cela vous intéresse vous pouvez télécharger leur guide technique à ce sujet. Il est un peu technique comme son nom l’indique mais fort intéressant.

Vos mots de passe sont votre seule sécurité en la matière, choisissez-les donc avec soin. Et pour détendre l’atmosphère et vous donner des exemples de ce qu’il ne faut pas faire voici une liste des plus mauvais mots de passe pour 2017. C’est une liste anglo-saxonne mais elle donne une bonne idée. Elle est compilée tous les ans par Splashdata, une entreprise qui justement vend des solutions de gestion des mots de passe.

1) 123456

2)  password

3) 12345678

4) qwerty

5) 12345

6)   123456789

7)  letmein

8)  234567

9)  football

10) iloveyou

10) admin

12) welcome

13) monkey

14) login

15) abc123

 16) starwars

17) 123123

18) dragon

19) passw0rd

20) master

Oui si on veut se protéger efficacement la gestion des mots de passe devient vite un véritable casse-tête. Mais il existe aussi des solutions automatisées avec les gestionnaires de mots de passe. J’aurai l’occasion de vous en reparler.

3) Les ventes ou locations truquées

Donc vous avez repéré ce superbe sac à main dont vous rêviez à un prix que vous n’imaginiez même pas possible (en fait vous aviez raison ce n’était pas possible) ou encore ça y est, vous avez trouvé la maison idéale avec terrasse ombragée, piscine, spa, barbecue et vue sur la mer, sur la Côte d’Azur pour les prochaines vacances.

Le vendeur de sac à main est charmant sur Internet et répond avec courtoisie à tous vos messages. Il vous demande de payer avant l’expédition. “Normal il y a tellement d’arnaques sur Internet, vous comprenez?” Le loueur de maison, lui, vous demande des arrhes. Là encore rien de plus normal, c’est une démarche courante pour une location de vacances.

Et puis tout bascule. Comme par hasard dès que vous avez payez le sac à main plus moyen de joindre le vendeur et il ne répond plus à vos mails. Bien évidemment vous ne recevrez jamais le sac. Pour la location de vacances c’est pire. Le propriétaire continue de vous répondre jusqu’à la fin et ce n’est qu’une fois sur place que vous comprendrez que la maison n’existe pas. Et bien entendu lui aussi va disparaître dans la nature.

Pour la vente, attention ça se fait dans les deux sens. Gare aux offres d’achat trop alléchantes que vous recevez après avoir mis en vente un objet sur “Le bon coin”. Et pour la location de vacances, certains véritables “pros” de l’arnaque sophistiquent la méthode pour vous mettre en confiance. Ils vous proposent de bloquer la caution via un mandat postal. Vous déposez la caution et vous recevez un code secret à transmettre au bénéficiaire au moment de l’entrée dans les lieux. Un peu plus tard vous recevez un mail de la poste vous demandant de confirmer votre mandat. Le lien renvoie sur un faux site de la poste qui vous demande le code secret… Et vous venez de donner le fameux code à votre arnaqueur!

Pour vous protéger pas grand chose d’autre que votre bon sens.

Vérifiez tout ce que vous pouvez sur Internet avant l’envoi d’argent (email, nom, adresse) et assurez-vous que toutes ces données sont cohérentes.

Pour les achats/reventes d’objets d’occasion privilégiez la proximité avec la remise et le paiement au cours d’une rencontre.

Privilégiez des moyens de paiement dont on peut assurer la traçabilité comme PayPal (oui ça coûte un peu plus cher mais bon), les virements bancaires ou le chèque de banque si le montant le justifie.

Méfiez vous des sites comme “Le bon coin” qui ne vérifie aucune annonce, au contraire d’ebay qui vous offre des garanties.

Et souvenez-vous toujours qu’Internet c’est comme la vraie vie, si l’affaire est trop belle…

4) Les faux profils

Vous avez reçu une demande d’ami sur Facebook vous engageant à répondre à une charmante créature qui a pris la peine de joindre une photo d’elle qui, on va dire, met en évidence ses avantages. Allons, allons, ne soyez pas naïf… Comment et pourquoi vous aurait-elle repéré et aurait porté son choix sur vous ?

Je vous raconte la suite alors. Bien souvent après quelques échanges elle va vous expliquer qu’elle a besoin d’une aide urgente et va vous demander d’acheter une carte prépayée, ou d’envoyer un mandat postal, puis de lui transmettre le code d’activation. Plein d’espoir vous le faites par mail ou par Messenger. Et là, étrange coïncidence, dès que l’argent est retiré le profil de la charmante personne disparaît comme par enchantement. Au passage il n’y a pas que Facebook, les sites de rencontres ne sont pas en reste de ce type d’arnaque.

Vous l’avez compris, votre seule protection dans ce cas-là c’est vous. Et de toute façon ne fournissez jamais de données personnelles par mail, SMS, ou autre messagerie instantanée. Et n’oubliez pas que la photo n’est jamais une preuve, elle peut avoir été récupérée n’importe où sur Internet.

5) Les alertes d’infections de votre ordinateur

Ces attaques sont assez courantes et sont en général provoquées par un malware que vous avez installé sans le savoir sur votre ordinateur. Vous naviguez tranquillement sur Internet et brutalement une fenêtre popup s’affiche sur votre écran, souvent accompagnée d’une voix métallique et de synthèse qui énonce le même message que celui affiché. De plus en général vous ne pouvez plus faire grand chose sur votre ordinateur. Il en existe plusieurs variantes mais voici un exemple :

Malware aletre appeler Microsoft

Cet exemple est d’ailleurs tout à fait intéressant, on notera plusieurs choses:

  • Français loin d’être parfait
  • Message inquiétant et pressant : vos informations de carte bancaire ont été volées et votre ordinateur va être bloqué si vous n’appelez pas.
  • On vous rassure en vous affichant en même temps une “page de support Microsoft” qui vous donne le même numéro de téléphone que celui du message d’alerte et donc va vous rassurer sur l’authenticité de celui-ci

Regardons donc de plus près, car de nombreux indices de fraude sont accumulés en fait.

  • Tout d’abord la synthèse vocale quand il y en a une est vraiment de mauvaise qualité, croyez-moi Microsoft et tous les grands noms du numérique fournissent aujourd’hui des synthèses vocales autrement plus performantes et ceci depuis bien longtemps. Il suffit d’écouter la voix de votre GPS pour vous en convaincre.
  • Le message d’alerte, ensuite, vous donne en fait tous les éléments pour savoir que c’est une arnaque.
    • L’erreur elle-même: essayez donc de taper “erreur DWB6VB36” dans Google ou un autre moteur de recherche et vous allez voir par vous-même quel est le résultat.
    • Le texte du message lui-même. Vous pensez vraiment que chez Microsoft on écrit de cette façon?
    • Le numéro de téléphone du support Microsoft. En fait il n’y a pas de téléphone spécifiquement dédié au support en général chez Microsoft. Et le vrai numéro pour contacter Microsoft est un numéro générique de service client : 09 70 01 90 90.

 

 

  • Et pour couronner le tout regardez bien la supposée page de support Microsoft vers laquelle votre navigateur a été redirigé pour vous rassurer sur l’authenticité du numéro de téléphone. Mais regardez mieux, et surtout regardez à un endroit où vous ne regardez peut-être jamais : la barre d’adresse du navigateur.  Cette barre, tout en haut de votre navigateur affiche l’adresse du site internet où vous vous trouvez ainsi que d’autres informations utiles.

 

 

Si vous lisez attentivement, l’adresse du site n’est pas celle de Microsoft contrairement au apparences. Elle commence bien par www.support.microsoft mais la ressemblance s’arrête là. Il s’agit d’un sous-domaine du domaine amazonaws.com qui n’a donc rien à voir avec Microsoft. En réalité vous êtes sur un site qui a été créé de toutes pièces pour imiter le site Microsoft et vous rassurer sur l’authenticité du message d’alerte. Je vous engage à savoir lire une adresse internet. Si ce n’est pas le cas consultez mon article à ce sujet.

6) Les sites de vente ou de placement bidons

Et pour conclure la méthode, la plus bête pour se faire avoir. Vous achetez quelque chose sur un site internet qui semble avoir pignon sur rue et vous ne recevez jamais votre commande. Pourtant la page de paiement par carte bancaire avait l’air parfaitement conforme et sécurisée. En fait cette page appartenait à l’arnaqueur et non à un organisme bancaire. Vous ne craignez pas grand chose sur les sites d’entreprises reconnues mais quand vous cherchez le mouton à 5 pattes difficile à trouver vous pouvez avoir affaire à des petites entreprises beaucoup moins connues. La grande majorité de ces e-commerces sont parfaitement honnêtes et légaux mais il arrive que…

Quand vous êtes chez un e-commerçant vous pouvez faire quelques vérifications malgré tout:

  • L’adresse de la page de paiement doit impérativement commencer par https:// et le petit cadenas vert devant le https doit être présent.
  • Méfiez vous des sites situés en Europe centrale. De nombreuses arnaques transitent par ces pays.
  • Si le site est français vous pouvez vérifier l’existence de l’entreprise sur infogreffe ou societe.com.
  • N’oubliez pas que certaines informations légales doivent impérativement être présentes sur un site français. Vous pouvez consulter mon article à ce sujet.
  • Enfin le propriétaire d’un nom de domaine en .fr ne peut pas rester anonyme et vous pourrez avoir accès à ces informations en faisant un “whois” sur le site de l’AFNIC

Une autre arnaque florissante en ces temps de taux d’intérêt très bas, ce sont les placements sur les marchés financiers et le FOREX (marché des changes de devises internationales).

Soyez très prudent, déjà dès le départ et même sans arnaque, ces placements sont à haut risque et la possibilité de perdre la totalité du capital investit est bien réelle. Mais il y a pire avec certains sites; vous êtes assuré de perdre ce capital.

Un premier placement sera gagnant pour vous appâter, puis un second et éventuellement un troisième. Et au suivant plus rien, plus personne et le site devient injoignable. Avant toute chose renseignez-vous sur le site de l’AMF (Autorité des Marchés Financiers) mais cette protection reste peu faible car de nouveaux sites fleurissent tous les jours. Et souvenez-vous que doubler son capital en 3 jours c’est plus probable en jouant au loto (et pourtant la probabilité est très faible) qu’en se laissant séduire par ces offres mirobolantes.

Voilà j’espère que cet article vous a plu et vous évitera un certain nombre de pièges. N’hésitez pas à le partager sur les réseaux sociaux et à vos proches si vous pensez qu’il peut être utile à d’autres.


Mise à jour: Depuis l’écriture de cet article je suis tombé chez un client sur une version que je ne connaissais pas de la fausse alerte virus histoire de varier les plaisirs. Cette fois-ci elle ne fait plus semblant de venir de chez Microsoft mais de chez Orange. Je vous mets une copie de l’écran qu’elle présente:

Share Button

Articles similaires