Un email, un lien, un formulaire: en quelques minutes, il est possible de se faire vider une partie de ses comptes. Raison pour laquelle nous relayons la plupart des tentatives d'arnaque qui circulent auprès des clients de banques ou d'entreprises belges. Nous avons soumis la tentative de phishing à la banque belge Argenta, qui nous en dit plus sur ses moyens pour combattre ce phénomène.
Le phishing a encore de beaux jours devant lui. Malgré des initiatives à tous les niveaux (boite email plus intelligente, nœud de réseau des opérateurs plus surveillé, antivirus), des escrocs parviennent toujours à envoyer des courriers frauduleux, se faisant passer pour une entreprise, dans le but de voler de l'argent à des victimes pas assez prudentes.
La tentative de phishing (ou hameçonnage en français) dont on parle aujourd'hui a été signalée par Ekiz. "J'ai reçu cet email d'arnaque, il faut dire à tout le monde de faire attention", nous a-t-il écrit via le bouton orange Alertez-nous.
Tout part d'un email, soi-disant en provenance de la banque Argenta. Dans cet email, tout ce qu'il faut pour interpeller le client de cette banque belge. Le discours est classique: "Vous devez confirmer votre compte pour continuer à l'utiliser, etc, etc".
Toujours regarder l'URL…
Certains clients comme Ekiz cliquent sur le lien fourni pour en savoir plus, et on peut le comprendre. Rien de dangereux jusqu'ici: une page s'ouvre sur le navigateur internet. C'est à ce moment-là qu'il faut bien ouvrir les yeux pour ne pas tomber dans le piège.
C'est plutôt simple: il suffit de lire l'URL. Dans la copie d'écran fournie par Ekiz, qui a fermé la page juste après, on constate que l'adresse est www.argentahelp.be.nieuwsarg.info. Une savante combinaison du nom de la banque avec des mots rassurant: aide, actualité, information. Les moins attentifs sont en confiance:
Et ils peuvent alors se faire avoir de deux manières. La plus simple, c'est d'entrer dans un formulaire les numéros de carte de crédit, avec nom, date d'expiration, code de vérification. La plus complexe, c'est de démarrer à ce moment-là une communication téléphonique avec la victime, de lui faire insérer sa carte de banque dans le boitier (style Digipass), et enfin de lui demander les codes (challenges) indiqués sur le boitier. Heureusement, Ekiz a fermé la fenêtre dès qu'il a remarqué l'étrange URL.
Impossible de savoir qui se cache derrière, le nom de domaine n'est plus enregistré, le site n'est plus accessible. C'est que la banque Argenta, comme toutes les autres, veille au grain.
Argenta combat le phishing de plusieurs manières
La banque était au courant de cette tentative de phishing, qui n'est ni la première, ni la dernière. "Les gens qui reçoivent ce genre de mails de phishing nous les transmettent via l’adresse phishing@argenta.be, ou par le biais de notre Service clientèle ou de l’agent", nous a expliqué Mieke Winne, du service de communication d'Argenta.
La banque combat ce genre d'escroquerie de deux manières. En interne, "Argenta dispose d’un outil anti-fraude flexible évoluant en même temps que les techniques de fraude, car ces dernières se renouvellent constamment. L’outil détecte automatiquement les tentatives de phishing et il stoppe les transactions liées au phishing à la source en bloquant les sites frauduleux".
A destination de ses clients, la banque d'origine flamande communique le plus possible. "On place des informations en évidence sur la page d'accueil. En cliquant sur le lien, la personne peut apprendre comment reconnaître les mails de phishing, ainsi que des conseils pour effectuer ses opérations bancaires en toute sécurité".
La décision d’indemniser ou non le client concerné se fait au cas par cas
Et si le client manque de prudence ?
Si des clients suivent aveuglement les instructions suivant l'hameçonnage (phishing), ils peuvent se faire vider une partie de leurs comptes. Il y a des limites journalières et hebdomadaires, heureusement, mais des centaines voire des milliers d'euros peuvent s'évaporer en peu de temps. Et après ?
"Nous demandons à ces clients de contacter Argenta. Les clients disposent de différents moyens pour signaler les fraudes ou tentatives de fraude à Argenta: contacter son agent ou le Service clientèle, ou nous en informer via l’adresse phishing@argenta.be. Chez Argenta, le traitement de ces notifications de phishing est une priorité absolue, et nous essayons toujours de récupérer les fonds virés auprès d’autres banques. Pour chaque cas de fraude, nous examinons les circonstances réelles. La décision d’indemniser ou non le client concerné se fait donc au cas par cas".
Au cas par cas, c'est la règle générale des banques en matière de fraude, on l'a déjà constaté à plusieurs reprises. Il n'y a pas de critères précis, du moins aucun qui ne serait communiqué à la presse. D'après ce qu'on a pu déduire de nos derniers échanges, les banques évaluent généralement la responsabilité du client par rapport à son comportement. Si le manque de prudence est flagrant, si l'arnaque est évidente, la banque ne fera pas preuve de bonne volonté pour rembourser les sommes perdues.
Vos commentaires