Quishing : attention à cette nouvelle forme de phishing

L'Inspection économique du SPF Economie continue de recevoir des signalements concernant de faux e-mails et de faux SMS. Les escrocs utilisent aussi le « quishing » (faux codes QR) et l'intelligence artificielle. Ils emploient ensuite les données dérobées pour de l'ingénierie sociale, une pratique frauduleuse destinée à vous approcher encore plus personnellement et à augmenter les chances de succès de l'escroquerie.

Phishing, smishing, vishing, et maintenant quishing

Le phishing est une forme bien connue d'escroquerie par e-mail. Son seul objectif est de vous faire cliquer sur des liens par le biais de toutes sortes de ruses et de vous soutirer ainsi de l'argent. Dans le cas du « smishing », cela se fait par SMS et dans le cas du « vishing », les fraudeurs vous appellent tout simplement.

Désormais, nous devons ajouter à cette liste le « quishing ». Il s'agit de la diffusion de codes QR par le biais d'e-mails, de SMS ou de messages WhatsApp, derrière lesquels se cachent des URL. Celles-ci semblent provenir d'organismes officiels et les victimes sont invitées à payer une amende ou une facture (fictive).

Lorsque les victimes scannent le code QR, elles tombent sur des sites de phishing ou doivent effectuer un paiement. Les codes QR peuvent également être utilisés pour tenter d'installer des logiciels malveillants chez les victimes, afin de voler des données personnelles telles que les identifiants bancaires.

J'ai reçu une lettre au nom du service Energie de ma commune pour recevoir une prime pour l’énergie de 250 euros. Pour recevoir cette prime, je devais confirmer mon compte en scannant le code QR figurant dans la lettre. Après avoir scanné le code QR, une notification est apparue pour ouvrir un site internet sous-jacent au code QR. J'ai cliqué sur la notification et je suis entré sur un site internet via un lien. J'ai donné mes coordonnées et confirmé mon numéro de compte. Le lendemain matin, ma banque m'a appelée pour me signaler une transaction suspecte. La banque a immédiatement bloqué ma carte.

— Sabine, victime Intelligence artificielle et ingénierie sociale

Les escrocs suivent les tendances actuelles et utilisent également l'intelligence artificielle. Ils s'en servent, par exemple, pour rédiger des messages trompeurs. Cela leur permet de rédiger des messages de meilleure qualité et de manière encore plus professionnelle, ce qui les rend plus difficiles à repérer. Ils combinent cette technologie avec des méthodes dites d'ingénierie sociale.

L'ingénierie sociale est une technique qui consiste à collecter d'abord des données personnelles, souvent par phishing, mais aussi par piratage. Les escrocs utilisent ensuite ces données pour vous cibler de manière encore plus efficace et personnelle, afin de vous tromper. Les victimes se voient alors présenter, par exemple, de fausses factures, des paiements en retard ou des avis d'imposition qui semblent très réalistes, mais qui sont faux.

Ces données sont conservées dans des bases de données, ce qui permet de vous contacter même des années après que vous ayez transmis vos données personnelles.

Diminution du nombre de signalements

En 2023, le nombre de signalements de cas de phishing lors duquel la victime a déclaré avoir perdu de l'argent a baissé. Le Point de contact a en effet enregistré 597 signalements en 2023 contre 1.059 en 2022. La perte moyenne déclarée par les victimes (qui ne correspond pas nécessairement la perte financière réelle) a également diminué, passant de 4.678 à 4.080 euros.

Cette baisse peut s'expliquer par différents facteurs. D’une part, les citoyens sont plus vigilants grâce aux campagnes de sensibilisation du SPF Economie et d'autres organismes publics. D’autre part, l'approche ciblée de l'Inspection économique du SPF Economie dans la lutte contre le phishing porte aussi ses fruits. Grâce à des actions spécifiques, elle tente d'identifier les titulaires des comptes bancaires sur lesquels des fonds ont été transférés. Les banques concernées sont alors informées en conséquence.

Il est encourageant de constater qu'en 2023, le nombre de signalements concernant le phishing a diminué de près de la moitié et que les pertes financières effectives sont de moins en moins nombreuses. Cela peut notamment s’expliquer par lutte active de l’Inspection économique contre le phishing par les diverses campagnes de sensibilisation. La problématique n’a cependant pas disparu et reste une priorité. Le suivi attentif du SPF Economie nous donne un aperçu du mode opératoire et de la capacité d'adaptation des fraudeurs qui se cachent derrière le phishing. En tant que citoyens, nous devons donc rester vigilants et, en tant que gouvernement, continuer à sensibiliser la population aux (nouvelles) formes de phishing.

— Pierre-Yves Dermagne, ministre de l'Economie

Les années d'efforts de sensibilisation commencent en effet à avoir des effets positifs. J'en remercie tout particulièrement le SPF Economie. Cependant, chaque cas de phishing reste un cas de trop et les fraudeurs restent particulièrement inventifs. Nous devons donc rester très vigilants et nous devons continuer à mettre les gens au courant. Durant la Présidence européenne, je ferai donc un effort particulier sur ce thème. Toute personne confrontée à des fraudeurs doit également pouvoir les signaler facilement. À cette fin, je lancerai prochainement la plateforme unique pour les consommateurs ConsumerConnect.

— Alexia Bertrand, secrétaire d'Etat à la Protection des consommateurs

Le 6 février marque la 21e édition du Safer Internet Day ! C’est une journée importante qui rappelle combien nous devons être vigilants lorsque l’on est sur la toile et surtout redoubler d’attention aux différentes annonces qui y sont véhiculées. Les derniers chiffres du SPF Economie sont assez encourageants concernant le nombre de signalements pour phishing et je m’en réjouis ! En effet, il y a une diminution très claire de près de la moitié de signalements avec préjudice financier par rapport à l’année précédente. Nous ne pouvons que nous féliciter des différentes campagnes de sensibilisation lancées, entre autres, par le SPF Economie. Néanmoins, nous devons toujours être attentifs, car les formes d’arnaques en ligne se multiplient et se diversifient toujours. Cette lutte doit rester notre priorité afin que l’utilisateur puisse bénéficier de cet outil incroyable qu’est Internet dans des conditions sécurisées et optimales. C’est pourquoi j’en ai fait un axe majeur lors de la Présidence belge du Conseil de l’Union européenne avec la proposition d’une mise en place d’une signalétique qui permettra de lutter contre l’apparition de faux profils. Cette signalétique permettrait d’apparaitre comme étant un profil vérifiable, vérifié ou anonyme. Il s’agit d’un outil optionnel sous forme d’une signalétique standardisée qui permettra tant à l’utilisateur qu’aux plateformes d’être informés ou d’informer sur la véracité des profils avec lesquels on interagit dans le monde digital.

Mathieu Michel, secrétaire d'Etat à la Digitalisation

Moins d’approche par message électronique

Les victimes de phishing peuvent indiquer via le Point de contact le mode d’approche mis en œuvre. Il est frappant de constater une forte baisse du phishing par messages électroniques (SMS, applications de messagerie et e-mail). Alors qu'il représentait la majeure partie des signalements en 2020 et 2021 (97 % en 2020 et 89 % en 2021), il n'était plus que de 56 % en 2022 et a encore chuté à 36 % en 2023. 15 % des déclarants ont été victimes d'une escroquerie par le biais d'un site web, tandis qu'un autre groupe de 15 % a été contacté par téléphone. Il s'agit d'augmentations très importantes par rapport à 2020 et 2021. En 2021, ces chiffres étaient respectivement de 7 % et 3 %.

Argent volé ? Dans de nombreux cas, vous avez droit à un remboursement

Beaucoup de gens ignorent qu’ils ont droit, dans de nombreux cas, à un remboursement de la part de leur institution financière.

La condition principale est qu’il s’agisse d’une opération de paiement non autorisée. Si vous avez effectué un paiement vous-même (par exemple, en payant une fausse facture) ou s'il y a eu négligence grave (par exemple si vous avez donné votre code PIN par téléphone), la banque ne vous remboursera pas.

En tant que victime, vous devez informer votre banque de la fraude présumée avec votre outil de paiement. Si votre banque décide de ne pas vous indemniser, elle est obligée de communiquer cette décision par écrit au SPF Economie.

Vous n'êtes pas d'accord ? Adressez-vous au Service de Médiation des services financiers. ​.

Mieux vaut prévenir que guérir

Pour éviter d’être victime de phishing, voici 5 conseils :

  1. La règle d’or : tentez d’obtenir des informations sur l’identité de la personne. Vous avez un doute ? Contactez sans tarder l’entreprise ou l’institution qui vous aurait envoyé un e-mail ou un SMS.
  2. Sachez que votre banque ou toute autre institution ne vous demandera jamais par e-mail, SMS ou téléphone de mettre à jour vos données personnelles ou vos mots de passe, noms d’utilisateur, données bancaires ou codes personnels. Ne communiquez donc jamais de données à caractère personnel par e-mail, téléphone ou SMS et ne cliquez jamais sur un lien vous renvoyant sur le site de paiement ou l’application mobile de votre banque.
  3. L’e-mail ou le SMS reçu est inattendu ou suspect ? Un e-mail envoyé à 1h du matin devrait vous mettre sur vos gardes. S’agit-il par ailleurs d’une adresse e-mail correcte ? Vérifiez si elle ne se termine pas par un nom de domaine inhabituel. Un e-mail des pouvoirs publics envoyé depuis un compte Gmail ou Hotmail est suspect. Faites toutefois attention au « spoofing ». Cette technique consiste à imiter une adresse électronique existante, si bien que le courrier reçu semble effectivement provenir de cette adresse.
  4. Ne cliquez jamais sur un lien ou ne scannez jamais un code QR dans un e-mail ou un SMS qui ne vous inspire pas confiance et contrôlez si le lien ou le code QR renvoie au site officiel de l’institution. Glissez votre souris sur le lien ou le bouton avant de cliquer dessus. L’URL ou le nom de domaine qui apparaît correspond-il à celui de l’institution publique ?
  5. Payez le plus souvent possible avec votre carte de crédit ou via des plateformes de paiement sécurisées qui ne transmettent pas vos coordonnées bancaires au bénéficiaire.

Trois actions à entreprendre si votre argent a disparu de votre compte

  1. Informez-en immédiatement votre banque et appelez Card Stop pour bloquer votre carte bancaire. Bloquez également votre compte bancaire, votre compte utilisateur et votre application bancaire (sinon l’escroc pourra continuer à opérer). En contactant rapidement votre banque, celle-ci peut également être en mesure d'arrêter ou de récupérer les montants qui n'ont pas encore été transférés.
  2. Vous avez payé avec une carte de crédit ? Contestez la transaction via macarte.be (Visa ou Mastercard).
  3. Faites une déposition auprès de votre bureau de police locale. Signalez également la fraude via le Point de contact (scénario « Phishing avec perte d’argent »). L'Inspection économique du SPF Economie analyse le signalement et peut décider d'ouvrir une enquête pour mettre fin à ces pratiques frauduleuses.

La banque refuse de vous rembourser ? Dans ce cas, vous pouvez également le signaler via le Point de contact (scénario « Remboursement par ma banque en cas de phishing »).

Vol de coordonnées bancaires (phishing) »

Source : SPF Economie, février 2024


Mots clés

Articles recommandés

Quels sont les revenus des ménages en 2022 ?

La répartition des revenus des ménages belges : une nouvelle approche pour une politique plus juste