To be phished or not to be phished?

14/12/2023

Aujourd'hui, tout se fait de manière digitale : nous faisons des achats et des paiements en ligne, nous envoyons des e-mails, etc. Notre vie se partage désormais sur les plateformes en ligne et malheureusement, la criminalité évolue elle aussi avec son temps. Le phishing semble à cet égard être la forme de cybercriminalité la plus fulgurante au monde. Vous savez ce que c'est : des cybercriminels qui envoient des messages frauduleux pour vous soutirer vos données bancaires et essayer, avec ces données, de vous dérober de l'argent.

Il suffit d'être distrait et de cliquer une fois de trop par accident. Un clic qui peut avoir de graves conséquences. Les titres des journaux ne mentent pas : les montants volés peuvent être considérables. Si vous n'avez vraiment pas de chance, vous perdrez toutes les économies pour lesquelles vous aurez travaillé toutes ces années.

En outre, le nombre de victimes de phishing ne cesse d'augmenter chaque année. Selon Test Achats, par exemple, il semblerait que 4 Belges sur 5 aient déjà été confrontés au phishing à un moment ou à un autre. Des chiffres inquiétants, si vous voulez notre avis. Mais quelles mesures légales pouvez-vous prendre si vous en êtes victime ? Et qui est responsable de l'argent volé ?

Quelles sont les formes de phishing à surveiller ?

En général, les cybercriminels utilisent le nom de quelqu'un d'autre pour obtenir par SMS, e-mail ou téléphone des données personnelles telles que des numéros de cartes bancaires, des codes PIN ou des mots de passe.

Il se peut qu'ils utilisent le nom d'une grande entreprise, comme bpost, Telenet, Elia, etc., pour soutirer des données bancaires. Circulent ainsi par exemple des e-mails frauduleux ayant pour objet "Échec du prélèvement". Les cybercriminels vous demandent alors de lier à nouveau votre compte via un site web et si ce n'est pas fait dans les 48 h, vous recevrez une amende de 5 euros. Ce site web est une fausse page Internet visant à récupérer vos données bancaires et à ainsi pouvoir ponctionner de l'argent sur votre compte.

Une deuxième forme de phishing concerne les e-mails ou SMS au nom d'organismes publics (par exemple MyPension, My eBox ou itsme) que les cybercriminels utilisent pour obtenir vos données bancaires. Ici, par exemple, vous recevez un texte ou un courriel indiquant que vous avez reçu un courriel dans votre application et que vous pouvez le lire en accédant à l'application via un certain lien. Ce lien vous redirige ensuite vers un site web où vous devez confirmer votre identité (vous inscrire auprès de l'administration en ligne) pour ouvrir votre application, et ce en utilisant vos coordonnées bancaires. Un site web qui, malheureusement, est également faux et sert uniquement à collecter vos coordonnées bancaires pour vider votre compte.

Pour terminer, les faux messages peuvent sembler provenir de banques. La fraude aux comptes à sécurité renforcée en est un exemple récent. Les escrocs vous approchent généralement en deux étapes : ils vous envoient d'abord un message de phishing pour vous dérober vos codes bancaires, essayant ainsi d'avoir accès à votre compte. Ensuite, ils vous appellent. Ils se font alors passer pour des employés de votre banque, vous expliquent que des transactions suspectes ont été effectuées sur votre compte et vous proposent de transférer de l'argent sur un soi-disant nouveau compte sécurisé. Ils feront tout pour gagner votre confiance, n'hésitant pas à se référer à des transactions antérieures pour renforcer leur crédibilité.

Comment reconnaître le phishing et éviter d'en devenir la victime ?

Toujours vérifier l'expéditeur et les liens d'un e-mail

Pour commencer, il est important de vérifier soigneusement l'identité de l'expéditeur du courrier. L'expéditeur du courriel a-t-il une adresse électronique étrange ? Dans ce cas, il se peut qu'il soit immédiatement mis à la corbeille. Vous savez donc que le nom de domaine de Telenet se termine toujours par "telenet.be" et que les e-mails provenant de "info@detelenetgroupprovider.be" ont de grandes chances d'être des faux.

Si l'e-mail contient un lien, vous pouvez également le vérifier facilement sans cliquer dessus en passant votre souris sur le lien. Ce faisant, vérifiez soigneusement que le lien ne semble pas suspect, par exemple s'il contient un "0" qui devrait en fait être un "o". Ne cliquez donc jamais sur des liens qui ne renvoient pas au site officiel d'une entreprise de confiance.

Passez toujours par l'application ou le site web (de la banque ou du gouvernement) lui-même et jamais par un lien.

Vous recevez un message de "votre banque" ou "d'une agence gouvernementale" (par ex. Itsme) contenant un lien pour transmettre vos codes ou réactiver votre compte ? Dans ce cas, une lumière devrait s'allumer car les banques et les agences gouvernementales ne vous enverront JAMAIS un message avec un lien vous demandant de faire certaines actions et de remplir vos coordonnées bancaires. Ni par courriel, ni par SMS, ni par messagerie, etc. Il est donc très important de ne jamais cliquer sur un lien et de toujours agir via l'application (de la banque ou de l'organisme) elle-même, ou en tapant vous-même l'adresse du site web (de la banque) dans votre navigateur.

Sécurisez vos comptes

Il est important de sécuriser au maximum vos comptes existants. Ainsi, dans My eBox, vous pouvez personnaliser vos notifications par courrier électronique en choisissant une image personnelle (une couleur et une icône). Cette image personnelle sera toujours présente dans tous les courriers électroniques de My ebox ainsi que sur le portail. De cette manière, vous pouvez facilement distinguer les notifications par courriel de My eBox des courriels frauduleux. Seuls les e-mails et notifications authentiques contiennent votre image personnelle.

Quelles sont les mesures à prendre si vous êtes victime du phishing ?

Si vous êtes victime d'une attaque de ce type, vous pouvez faire plusieurs choses :

1) Informez votre banque au plus vite de transactions illégitimes et faites bloquer votre compte (card stop).

2) Faites une déclaration à la police. Cela peut être important, surtout si plusieurs victimes le font. De cette manière, une enquête plus approfondie pourra être menée.

3) Transmettez les messages suspects à . Cette adresse e-mail est une initiative du Centre pour la Cybersécurité Belgique. Les liens suspects pourront ainsi être bloqués. Conseil : vous pouvez le faire même si vous n'avez pas été victime de phishing, mais si vous pensez simplement que quelque chose est suspect. Vous aiderez ainsi d'autres personnes à ne plus recevoir ces communications.

4) Rassemblez toutes les données dans un dossier pour prouver les faits et dommages subis. 

Qui est responsable de l'argent volé ?

Malheureusement, dans la plupart des cas, il est impossible d'aller récupérer l'argent auprès des cybercriminels qui ont vidé votre compte.

Heureusement, le législateur a apporté une solution : suite à une modification de la loi en 2018, les banques sont responsables des dommages en cas de phishing. Étant donné qu'il leur incombe de mettre sur pied des structures garantissant des transactions sécurisées, elles sont les premières à être tenues responsables.

Conformément à l'article 44 du Code de droit économique, une victime de phishing peut en principe demander des comptes à sa banque : << L'article VII. 44 du CDE offre une protection en cas d'opérations de paiement non autorisées avec un instrument de paiement >>. Étant donné que le phishing est considéré comme une opération de paiement non autorisée, cet article est d'application.

Il est crucial d'avertir à temps votre banque de ce problème de phishing. En général, on ne remarque que plus tard qu'on a été escroqué et victime de phishing du fait que de l'argent a déjà été prélevé de notre compte.

Pour les transactions effectuées avant notification à la banque, le client est lui-même responsable, mais cette responsabilité se limite à un montant de 50 euros, ce qui signifie que la banque devra rembourser tout le reste. (art. VII.44, § 1, alinéa 1 du CDÉ)

Votre responsabilité ne sera pas engagée si vous avez averti votre banque de la situation avant que de l'argent ne soit retiré de votre compte.

MAIS, et c'est important de le souligner : la responsabilité du client est toutefois illimitée s'il a agi frauduleusement, intentionnellement ou a fait preuve d'une négligence grave. (art. VII. 44, § 1, alinéa 4 du CDÉ).

Et c'est souvent là que le bât blesse : le principe de négligence grave n'est en effet pas défini par le législateur et est donc sujet à interprétation par les banques elles-mêmes quant à ce qu'implique exactement une négligence grave. Les cours et tribunaux interprètent par conséquent ce critère de négligence grave également à leur manière. Pour le principe de "négligence grave", les tribunaux prennent comme critère "le comportement présumé d'un payeur normalement prudent et diligent, placé dans les mêmes circonstances extérieures concrètes, sans que ne soient prises en compte les caractéristiques propres au payeur, telles que l'âge, etc." En d'autres mots, il faudra toujours évaluer au cas par cas si un acte est considéré comme une négligence grave ou non.

Voici quelques exemples de négligence grave :

- Le fait de communiquer par téléphone votre code PIN ou le code de réponse pour les opérations bancaires en ligne à des tiers ;
- Le fait d'écrire votre code PIN sur votre carte de banque ;
- Le fait de laisser votre carte ou vos données sans surveillance dans un lieu accessible à des tiers (par ex. chambre d'hôpital) ;

Le fait de remarquer que quelqu'un regarde par-dessus votre épaule lorsque vous retirez de l'argent à un distributeur, mais saisir tout de même votre code.

Dans tous les cas, il est très important que vous conserviez le plus de preuves possible des faits et que vous notiez toutes les coordonnées des escrocs (numéros de téléphone, noms, adresse du site web,...) afin de pouvoir prouver que n'importe qui a pu être victime de l'escroquerie.

Que se passe-t-il si votre banque refuse de vous rembourser l'argent perdu ?

Selon vous, vous n'avez pas du tout agi de manière frauduleuse, intentionnelle ou avec une négligence grave et votre banque refuse d'intervenir ? Dans ce cas, vous pouvez décider de déclarer votre banque en défaut. Il s'agit d'envoyer une communication écrite à votre banque pour l'informer qu'elle n'honore pas les accords. Vous indiquez ainsi à la banque ce que l'on attend (encore) d'elle et vous lui donnez une dernière chance de respecter les accords avant de prendre d'autres mesures. Si elle ne le fait pas, elle se trouve en situation de défaut, une condition importante pour prendre d'autres mesures. Si vous avez souscrit une assurance protection juridique, vous pouvez confier ces soucis à des juristes spécialisés qui se chargeront non seulement de la rédaction et de l'envoi de la mise en demeure, mais qui seront également à vos côtés si d'autres mesures doivent être prises.

La mise en demeure n'aboutit pas et l'affaire doit être portée devant un tribunal ? Dans ce cas, votre assureur protection juridique prend en charge - dans les limites contractuelles - les frais (de justice et d'avocat) nécessaires pour récupérer l'argent perdu auprès de votre banque.

Plus d'informations sur la manière dont la protection juridique peut vous aider dans de telles situations ? Consultez notre site web : Webactive (arag.be)

Attention :
Web@ctive, objet de cette publicité, est un produit d’assurance Protection Juridique soumis au droit belge et est soumis à certaines restrictions et exclusions. Ainsi, certaines formes de phishing peuvent ne pas être couvertes (par exemple, le phishing dans le cadre d’une activité indépendante ou commerciale ou dans le cadre de paris, de jeux ou de loteries). Le contrat d’assurance relatif à ce produit est conclu pour une durée d’un an. Il est reconduit tacitement chaque année et peut être résilié par l’envoi d’un courrier recommandé à ARAG SE-Branch Belgium au moins 3 mois avant la date d’échéance du contrat. Pour toute plainte, prenez en priorité contact avec notre service interne . Votre plainte peut aussi être adressée à l’Ombudsman des Assurances, Square de Meeûs 35 à 1000 Bruxelles, https://www.ombudsman-insurance.be/fr.

ll est en tout état de cause nécessaire de prendre connaissance des conditions générales communes, des conditions spéciales et du document d’information (IPID) du produit, avant d’y souscrire. Tous ces documents peuvent être envoyés gratuitement sur simple demande.

Sources :
• Test-Achats: 80 % des Belges ont déjà été confrontés au phishing. (2021, Juillet 13).
• De Tijd: Wat zijn uw rechten als slachtoffer van phishing? (2021, Juni 22).
• FOD Economie: Phishing – opérations de paiement non autorisées. (n.d.).
• Fabelfin: Fraude au compte à sécurité renforcée (n.d.).