Méfiez-vous de ce type de harponnage bancaire plus convaincant que jamais

Si les tentatives d’hameçonnage et de harponnage sont monnaie courante par courriel, elles existent aussi par téléphone. Découvrez un exemple de ce type d'arnaque téléphonique qui prouve à quel point celles-ci sont extrêmement sournoises et bien ficelées histoire de ne pas vous faire prendre aussi facilement que ces fraudeurs l’espéreraient.

De nos jours, on est habitué de se méfier des courriels et des textos que l’on reçoit parce que les tentatives d’hameçonnage y sont omniprésentes.

Cependant, quand on reçoit un appel, on est un peu moins sur nos gardes puisque les tentatives de fraudes y sont moins fréquentes.

Malheureusement, non seulement elles existent, mais elles sont souvent plus soutenues, mieux ficelées et conçues pour qu’on tombe complètement dans le panneau. On vous explique.

Miser sur le spoofing et le manque d’attention pour nous piéger

C’est un consultant réseaux et sécurité qui a partagé son témoignage sur LinkedIn. Heureusement, celui-ci a su reconnaître les signes pour ne pas se faire piéger, mais il n’en aurait certainement pas été de même pour tout le monde.

Ce dernier a reçu un appel en provenance du numéro du service client de la Banque Nationale chez laquelle il est client. Il s’agissait du vrai numéro de la succursale, si bien que son téléphone l’a correctement affiché.

Au bout du fil, le harponneur connait son nom et son prénom, et l’informe que sa carte de débit a été piratée et veut donc valider les informations pour bloquer les transactions.

Il est au courant également que sa carte de crédit a été piratée il y a 10 jours et lui donne même le numéro de celle-ci.

Bref, avec toutes les informations que connait le fraudeur à son sujet, difficile de douter de lui au premier abord. La victime lui donne donc son numéro de carte de débit et sa date d’expiration.

Il reçoit alors un courriel qui donne un code d’accès pour activer une carte de débit dans un portefeuille mobile, ce qui lui met finalement la puce à l’oreille.

Malgré un numéro de téléphone et un courriel convainquant, attention de ne pas vous faire berner.

En gros, le fraudeur au bout du fil a tenté d’ajouter la carte de crédit de monsieur à son application portefeuille Google ou Apple et voulait le numéro de confirmation pour pouvoir compléter l’inscription et faire des transactions à sa guise.

Si la victime n’avait pas été perplexe et ultraattentive, il aurait pu croire qu’il s’agissait d’un code pour confirmer son identité. S’il l’avait dit à la personne au bout du fil, il aurait été dans de beaux draps.

Quant au numéro de téléphone sur l’afficheur, c’est malheureusement plutôt simple et explicable: il s’agit d’une tactique appelée le spoofing qui permet à des fraudeurs d'effectuer des appels sous l'identité de quelqu'un d'autre, ici la Banque Nationale.

Comment reconnaître le harponnage téléphonique

C’est certain que c’est difficile de reconnaître une tentative de fraude par téléphone, surtout quand le numéro sur l’afficheur nous indique une institution que l’on connait.

Par contre, ce qui trahit l’affaire à tous coups, c’est quand les fraudeurs nous demandent de leur donner des informations confidentielles.

On ne donne jamais un code unique et secret et on lit les courriels que l’on reçoit avant pour comprendre ce qu’ils impliquent.

D’ailleurs, quand on y pense, pourquoi un client devrait-il valider son identité alors que c’est lui qui se fait contacter par son institution financière? Règle générale, c’est la personne qui initie la communication qui doit s’authentifier, jamais l’inverse.

Puis, comme dans un courriel d’hameçonnage, on se méfie du sentiment d’urgence que les fraudeurs essaient de nous faire ressentir.

Par exemple, dans cette histoire, la victime raconte que la personne au bout du fil était pressée et prétendait qu’à partir d’une certaine heure, les transactions frauduleuses seraient passées et inchangeables.

Encore une fois, ce ne sont pas des procédures courantes.

Finalement, même si ça peut avoir l’air lourd, on ne perd rien à essayer de valider l’identité et la fonction de la personne qui nous appelle.

On peut lui demander un courriel, un numéro auquel on pourra la rappeler, bref, une solution pour tenter d’identifier l’employé quelconque.

Le mieux, c'est carrément de dire qu'on va la rappeler. On ne lui demande pas son numéro à elle, mais plutôt le poste qu'elle occupe, et on trouve le numéro de notre banque ou de notre caisse nous-même en ligne.

Quand il s’agit d’hameçonnage ou de harponnage, l’auteur risque de nous mettre de la pression, de perdre patience, voire de raccrocher!