A propos du spoofing : « ces faux conseillers bancaires qui vous veulent du bien ».
Vous avez été arnaqués par un faux conseiller bancaire ?
Vous souhaitez comprendre comment cela a pu se produire, vous qui êtes d’ordinaire si vigilant.
Vous souhaitez éviter cela et surtout vous faire rembourser. C’est possible.
Chez SOLENT AVOCATS, nous savons comment vous défendre.
1. Quels sont les signes d’une arnaque ?
Le terme anglais provient du mot spoof qui signifie en anglais « Parodie ». Et de fait, il s’agit précisément pour l’escroc de parodier, de se faire passer pour un conseiller bancaire pour vous inciter à vous rendre sur votre application bancaire et utiliser vos moyens de paiement.
La technique des escrocs spécialisés dans le spoofing est particulièrement éprouvée. Ils ont appris à tromper votre vigilance.
Comment reconnaître un faux conseiller bancaire ?
Il formule des demandes suspectes : Un conseiller bancaire légitime ne demandera jamais des informations sensibles (mot de passe, code PIN, etc.) par téléphone ou par e-mail. Si vous recevez une telle demande, soyez extrêmement vigilant.
Il crée un sentiment d’urgence : Les faux conseillers insistent souvent sur la nécessité de répondre immédiatement, créant ainsi un sentiment de panique chez la victime. Il est essentiel de rester calme et de vérifier les informations.
Il fait des offres alléchantes : Certains fraudeurs proposent des prêts à des conditions « exceptionnelles » ou des investissements soi-disant sûrs. Ne tombez pas dans le piège des promesses de gains rapides.
Vérifiez toujours les coordonnées : Si vous êtes contacté par un conseiller bancaire, prenez le temps de vérifier son identité en appelant directement votre banque via un numéro officiel.
Illustration d’un spoofing téléphonique
R. reçoit un appel suspect d’un individu qui se présente comme le conseiller financier de son agence. R. n’a aucune raison de se méfier puisque sur l’écran de son téléphone, c’est bien le nom de la banque qui s’affiche (grâce à un procédé technique redoutable permettant de se faire attribuer un numéro de téléphone renommé).
Le faux conseiller se montre dans un premier temps vigilant. L’interlocuteur prétexte avoir repéré une usurpation ou un piratage de compte. Le client est averti, il fait l’objet d’une tentative de fraude. Pour l’éviter, il doit ré-enregistrer les coordonnées de certains bénéficiaires de virement.
Le faux conseiller est ensuite rassurant. L’alerte a été donnée. Il suffit que l’utilisateur se rende sur son espace personnel et qu’il valider une ou plusieurs opérations de modification. La validation est effectuée par la composition du code de sécurité. L’escroc sait qu’il a besoin de la pleine confiance de son interlocuteur. Il joue le conseiller bienveillant. Il s’agit d’une opération parfaitement sécurisée.
Il pourrait presque ajouter dans son discours qu’il reste en ligne le temps de la modification. Le fraudeur demande le code confidentiel. R. reçoit un message et lui transmet les informations qu’il contient. La manœuvre est réussie. Les nouvelles données bancaires sont enregistrées.
R. raccroche, soulagé d’avoir évité une escroquerie. Avant de découvrir quelques jours plus tard, qu’en réalité la fraude a bien eu lieu, à son insu. Plusieurs virements ont été effectués. Ses comptes sont vides. R. contacte immédiatement la banque, mais la réponse de celle-ci est sans appel.
R. a utilisé ses données personnelles de sécurité. C’est un manquement aux règles de la convention de compte courant et de l’espace personnel numérique. Sa banque refuse de le rembourser.
Cette histoire est probablement la votre.
Que le montant de la fraude s’élève à 3.000 ou 50.000 euros, c’est toujours un drame pour la victime qui ne parvient pas à obtenir justice.
2. Quelles sont les techniques des fraudeurs ?
L’exemple de R. est le plus fréquent, mais il ne permet pas de comprendre comment le faux conseiller réussit à se faire passer pour un faux support technique de la banque.
On imagine volontiers qu’il a pu suivre une formation, lui permettant de maîtriser le vocabulaire bancaire.
Mais la manœuvre ne peut réussir sans l’usurpation du numéro de téléphone de l’établissement bancaire de la victime.
C’est en effet l’affichage de l’identité de la banque lors de l’appel téléphonique qui permet de tromper l’utilisateur.
Le spoofing téléphonique et le spoofing bancaire ne sont pas les seuls procédés utilisés par les fraudeurs, loin s’en faut. Voici un rapide tour d’horizon des méthodes employées.
Spoofing email et spoofing par usurpation d’alias
Ces deux techniques ont en commun d’utiliser le mail pour entrer en contact avec les victimes.
Le spoofing email est l’une des formes les plus fréquentes. Le fraudeur imite une adresse e-mail légitime. Il change une lettre ou un symbole dans l’adresse d’origine.
Les victimes ne remarquent pas ces petits changements. Elles pensent communiquer avec une personne de confiance. Cela facilite les arnaques. Le fraudeur peut extorquer des données ou de l’argent.
Avec l’usurpation d’alias, le fraudeur ne modifie pas l’adresse e-mail. Il modifie uniquement le nom affiché dans la boîte de réception.
Il cible un public précis qui reçoit une quantité significative de courriels et n’a pas le temps de se pencher sur l’identité du fraudeur. Les cabinets d’avocats sont particulièrement concernés.
Chez Solent Avocats, nous recevons près d’une dizaine de messages chaque mois des alias suivants « Gestion locative » ; « Loyer impayé » ; « Location-Habitat ».
L’objet du mail débute comme s’il s’agissait d’une réponse « RE : RAPPEL DE PAIEMENT DE JANVIER 2025 ». Le fraudeur prétend nous relancer sur le paiement du loyer. Aimable, il nous souhaite une bonne année et nous informe de la mise à jour de ses coordonnées bancaires. Il n’en dit pas plus et nous invite à régulariser la situation, en confirmant la date de règlement. Un coup d’oeil rapide suir l’adresse mail permet d’identifier l’auteur du mail. Son adresse mail n’a généralement aucun rapport avec l’activité qu’il prétend exercer.
Spoofing IP et ARP spoofing
Le spoofing IP consiste à dissimuler l’adresse IP d’un pirate. Il utilise une autre adresse pour masquer son identité réelle.
Cette technique est souvent utilisée pour des attaques DDoS. Les hackers peuvent surcharger un site internet ou accéder à des données sensibles.
L’ARP spoofing se concentre sur les réseaux internes. Le pirate intercepte les flux de données d’une entreprise sans se faire détecter.
Cela lui permet d’obtenir des informations confidentielles. Les entreprises doivent être particulièrement vigilantes face à ce type d’attaque.
Spoofing crypto et spoofing Pokémon Go
Le spoofing crypto concerne les plateformes d’échange de cryptomonnaies.
Les pirates cherchent à récupérer vos identifiants. Leur but est de vider vos portefeuilles numériques. Cette pratique s’est répandue avec la popularité des cryptomonnaies.
Le spoofing Pokémon Go est une technique différente. Elle cible un public plus jeune : vos enfants. Elle ne repose pas sur le vol de données et ne poursuit d’ailleurs pas cet objectif.
Elle consiste à modifier les données GPS pour accéder à des zones spécifiques du jeu. Bien que non malveillant, ce spoofing est interdit par les règles du jeu.
3. Que faire après une arnaque au faux conseiller ?
Face à cette situation, il est essentiel de connaître les recours disponibles pour réagir efficacement et récupérer les sommes perdues.
Identifier l’arnaque et agir rapidement
La première étape pour les victimes est de réagir dès qu’elles soupçonnent une fraude. Elle doit suivre la marche suivante :
Faire opposition à la carte bancaire. Si des paiements ou virements frauduleux ont été effectués, contactez immédiatement votre banque pour faire opposition à la carte. N’oubliez pas de refuser systématiquement lorsqu’on vous demande de valider des opérations destinées à résoudre l’arnaque.
Contacter sa banque. En vertu du Code monétaire et financier, les banques sont tenues de rembourser les transactions non autorisées sous certaines conditions. Déposez une réclamation dès que possible. Conservez une copie de la réclamation et transmettez-la par pli recommandé.
Conserver les preuves de l’arnaque. Conservez les e-mails, SMS ou captures d’écran liés à l’arnaque. Ces éléments seront indispensables si votre banque refuse votre demande de remboursement
Comment obtenir un remboursement après fraude ?
Les deux premiers recours ne permettent pas nécessairement d’obtenir le remboursement des sommes frauduleusement extorquées. Mais ils sont néanmoins nécessaires et complémentaires à une action en justice.
1. Saisir la Banque de France. Votre banque refuse de rembourser ? Faites appel au médiateur bancaire.
Il n’est pas certain qu’il vous donnera raison, notre retour d’expérience nous montre que le temps de réponse est plutôt long et que les consommateurs obtiennent rarement gain de cause.
Mais ce recours préalable a le mérite de démontrer que vous avez tenté une conciliation.
2. Le dépôt de plainte : Déposez une plainte auprès des services de police ou de gendarmerie. Signalez en outre l’escroquerie sur la plateforme Pharos.
Cela ne vous ramènera pas les fonds perdus, mais cela peut permettre d’interpeller les pirates et de prévenir les autres utilisateurs des nouveaux scripts utilisés par les escrocs.
3. L’action en justice : En cas de litige persistant avec votre banque, vous devez saisir la juridiction compétente.
Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.
De ces deux textes, il faut retenir deux choses :
La rapidité de la réclamation compte. Pour espérer être remboursé, vous devez signalez la fraude dans les délais imposés par la convention qui régit votre compte bancaire.
Il ne suffit pas de ne pas être négligent, il faut le prouver. Assurez-vous de présenter les preuves que vous avez pris toutes les précautions raisonnables. Conservez toutes les preuves, nous ferons le tri ensemble.
La Cour de cassation considère que les banques ont une obligation de sécurité renforcée pour protéger leurs clients.
Depuis un arrêt du 18 janvier 2017, la chambre commerciale retient qu’il leur incombe, « par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés jurisprudence« .
Tout récemment, la chambre commerciale a rendu un arrêt important, signalé par sa publication au Bulletin :
« Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client, l’arrêt constate que le numéro d’appel apparaissant sur le téléphone portable de M. [J] s’était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu’il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu’il a cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Il ajoute que le mode opératoire par l’utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.
6. De ces constatations et appréciations, la cour d’appel a pu déduire que la négligence grave de M. [J] n’était pas caractérisée. »
Nous comptons bien utiliser cette jurisprudence favorable aux victimes dans le cadre de nos divers recours.
4. Comment se protéger contre les faux conseillers ?
Les conséquences de la fraude au faux conseiller peuvent être dramatiques.
On a vu que les escrocs utilisent des stratégies d’hameçonnage (phishing) pour tromper la victime et obtenir des informations confidentielles.
Cette manipulation est susceptible d’entraîner pour nos clients des pertes financières colossales.
Plus encore, les escrocs parviennent à usurper votre identité et à ouvrir de nouveaux comptes bancaires ou à commander des cartes de crédit au nom de la victime.
Les acteurs économiques ont été sommés de participer à la lutte contre les faux conseillers. Depuis le 1er octobre 2024, les opérateurs téléphoniques ont l’obligation d’interrompre les communications malveillantes. Ils doivent sécuriser les appels en mettant en place une authentification forte des numéros appelants.
Mais à l’heure où nous écrivez cet article, seuls les téléphones fixes sont concernés. Autant dire que les escrocs ont encore un vaste territoire devant eux ! Par conséquent, il demeure nécessaire de s’informer et de se protéger.
5 moyens de se protéger efficacement
1. Protégez vos informations bancaires. On ne le répètera jamais assez. Une banque ne demande jamais vos informations personnelles par téléphone, par e-mail ou sur des sites non sécurisés.
2. Utilisez des numéros officiels.: Si vous avez le moindre doute sur l’identité de votre interlocuteur, raccrochez. Puis contactez directement votre banque par les numéros indiqués sur leurs documents officiels.
3. Installez des protections sur vos comptes. Activez les alertes par SMS ou par e-mail pour être averti de toute activité suspecte sur vos comptes bancaires.
4. Soyez vigilants sur les e-mails et SMS. Ne cliquez pas sur les liens ou pièces jointes dans des messages suspects. Vérifiez toujours l’adresse de l’expéditeur pour vous assurer qu’il s’agit bien de votre banque.
5. Signalez toute tentative de fraude. Si vous avez été contacté par un faux conseiller bancaire, il est important de signaler l’incident à votre banque et aux autorités compétentes pour éviter que d’autres personnes soient victimes du même piège.
Foire aux questions
Que faire si je reçois un appel suspect de ma banque ?
Ne donnez jamais vos informations sensibles. Notez les détails de l’appel et contactez votre banque directement via un numéro officiel.
Comment savoir si un e-mail provient vraiment de ma banque ?
Vérifiez l’adresse de l’expéditeur. Les banques utilisent des domaines officiels et ne demandent jamais vos identifiants par e-mail.
Que faire si j’ai partagé mes informations par erreur ?
Contactez immédiatement votre banque pour bloquer vos comptes et signalez la fraude aux autorités.
Comment signaler une fraude au conseiller bancaire ?
Pour signaler une fraude, la victime doit alerter sa banque, effectuer un signalement en ligne, et déposer plainte auprès de la gendarmerie ou du tribunal judiciaire, conformément au Code pénal.
Puis-je me faire rembourser en cas de fraude ?
Cela dépend des conditions de votre banque et de votre assurance. Agissez rapidement pour augmenter vos chances.
Quels signes indiquent un faux conseiller ?
Des demandes urgentes, des promesses alléchantes, ou un langage menaçant sont des signaux d’alerte.
