Informations Sécurité

Les escroqueries aux faux ordres de virement (FOVI)

L'escroquerie aux faux ordres de virement consiste à tromper intentionnellement une personne ou une entreprise, en recourant à une usurpation d'identité (un dirigeant, un prestataire, un "expert"...) pour obtenir la remise volontaire de fonds par virement bancaire.

Ainsi, après s'être largement renseigné sur la situation de la future victime, l'escroc se fait passer pour un donneur d'ordre et avec force persuasion et pression psychologique, demande à un collaborateur le virement de sommes pour des "opérations exceptionnelles, confidentielles et extrêmement urgentes" sur un compte à l'étranger.

L'escroc se fait passer pour le fournisseur ou un prestataire de l'entreprise ou de l'association et fait croire à un changement de domiciliation bancaire pour les prochaines factures à régler. Le faux RIB est envoyé par mail, avec des caractéristiques de messagerie très proches de celles de l'interlocuteur habituel et officiel.
Ces types d'escroqueries peuvent entraîner le dépôt de bilan d'une entreprise ou d'une association. Il est donc primordial de suivre quelques règles de sécurité.

• Sensibilisez tous vos collaborateurs qui peuvent être susceptibles de recevoir des mails ou des appels pour exécuter des virements.
• Contrôlez toujours la demande par un contre appel auprès de vos interlocuteurs habituels.
• Instaurez des procédures de vérification et un système de contre-signatures multiples pour les paiements internationaux.
• Vérifiez le contenu des mails : fautes d'orthographes, problèmes de syntaxe, bon libellé de l'adresse mail de l'émetteur...

• Prévenez immédiatement votre agence bancaire et la banque destinataire pour demander le blocage des fonds.
• Avisez rapidement la Police Nationale ou la Gendarmerie et déposez plainte.

La fraude au faux supports techniques 

Les fraudeurs se présentent comme appartenant aux services techniques de la Banque. Ils vous contactent pour effectuer des tests, renforcer le niveau de sécurité, ou offrent des mises à jour de votre espace abonné. Ils vous proposent de prendre la main sur votre ordinateur, et/ou vous incitent à réaliser un virement pour tester des mises à jour. Vous pensez être en environnement de test et suivez les instructions qui vous sont données.  Malheureusement, vous venez de donner un accès aux informations et espace de transactions de votre entreprise.

• Soyez en alerte dès qu’un appel spontané de la Banque vous propose de réaliser des tests depuis votre espace client : votre banque ne vous contactera jamais de sa propre initiative pour ce motif. Si des tests peuvent être réalisés, ils sont toujours à votre initiative.
• Assurez-vous de l’identité du professionnel et de la destination des fonds avant d'effectuer un transfert d'argent, sachez que les banques ne font JAMAIS de test de virement.
• Soyez en alerte dès qu’une demande cumule les 4 caractéristiques typiques de la tentative de fraude : urgence de la demande, insistance de l’interlocuteur, montant élevé et virement vers un pays inhabituel.
• Mettez en place ou actualisez des procédures qui sécurisent vos informations et opérations.
• Sensibilisez régulièrement vos collaborateurs internes à la fraude, en leur rappelant les procédures et mesures de contrôle internes mises en place.
• Et surtout, faites-vous confiance : Si vous avez un doute, il est très probablement fondé, appelez en parallèle votre conseiller ou votre contact habituel et expliquez-lui la situation.

Les escroqueries via des petites annonces

Une personne met un bien en vente sur internet. Le vendeur est contacté par un acheteur potentiel et un accord est trouvé sur le prix d’acquisition. Au moment du règlement de la transaction, l’acheteur, sous un prétexte quelconque, paye par chèque un montant supérieur au prix de la vente et demande le remboursement de la différence par virement ou espèces. Le chèque reviendra impayé et le vendeur sera lésé.

• Se méfier des offres trop attractives ;
• n’accepter que des paiements correspondants au montant de la transaction ;
• n’accepter que des paiements respectant les modalités qui ont été définies ;
• ne pas oublier que le chèque, y compris le chèque de banque, n’est pas un moyen de paiement garanti : un rejet est toujours possible ;
• en cas de doute, ne pas se dessaisir du bien et se laisser le temps de procéder aux vérifications nécessaires en prenant contact avec son gestionnaire de compte ;

Le phishing (ou hameçonnage)

Le phishing est une technique par laquelle des personnes malveillantes se font passer pour des entreprises ou des organismes financiers qui vous sont familiers en envoyant des courriels frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.
L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne). Les messages évoquent souvent des factures, des impayés, des menaces de fermeture de service ou tout autre sujet sollicitant votre émotion.

Les banques et organismes sociaux (CAF, mutuelles, etc.) ou les entreprises commerciales ne demandent jamais à leurs clients de venir saisir leurs informations personnelles dans un courrier électronique.
Pour se connecter au site de sa banque il vaut mieux entrer manuellement l’adresse réticulaire (URL) du site dans votre navigateur.
Préférez saisir des informations personnelles (coordonnées bancaires, identifiants…) sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence par HTTPS au lieu de HTTP.
Ne cliquez pas sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux. En cas de doute, il est préférable de saisir manuellement l’adresse dans le navigateur.
Méfiez-vous des pages internet suspectes de validation d’opérations sensibles ou d’une lenteur inhabituelle de vos outils internet.

En cas de doute ou de problème, prenez contact rapidement avec votre agence bancaire ou l’organisme qui aurait envoyé ce courriel.

Les logiciels malveillants (virus, chevaux de Troie, vers informatiques)

• Les logiciels malveillants ont en commun la capacité d’exécuter une ou plusieurs des actions suivantes une fois qu’ils ont contaminé votre dispositif numérique :
• Endommager votre système
• Prendre les commandes de votre ordinateur
• Changer le fonctionnement de votre système. Un type courant de logiciels malveillants modifie votre navigateur vous laissant voir du contenu Web modifié (notamment des bannières publicitaires différentes) ou vous dirige vers de faux sites Web dans le but de recueillir vos données personnelles. La modification du contenu Web peut être difficilement repérable car le nom du site reste inchangé (url).
• Récupérer vos données personnelles. Certains types de programmes malveillants peuvent lire les données stockées dans votre système ou saisies au clavier, dont vos renseignements financiers ou vos noms d’utilisateur et vos mots de passe, puis les transmettre à leur concepteur.
• Chiffrer vos données pour vous extorquer des fonds en échange du déchiffrement

Il est préférable de ne jamais télécharger un fichier à moins d’avoir la certitude de sa légitimité et de celle de sa source. Lorsque vous téléchargez des fichiers, vous permettez à un autre ordinateur de sauvegarder quelque chose sur votre disque dur. Cela peut permettre l’installation d’un logiciel malveillant sur votre poste de travail, logiciel qui peut ne pas être détecté par des antivirus à jour, dans le cas où il s’agit d’une variante récente.
Il ne faut jamais ouvrir une pièce jointe sans que l’expéditeur ait confirmé son intention de vous l’envoyer car elle peut contenir un logiciel malveillant.
Avant de cliquer sur un lien, laissez-y votre curseur pendant un instant pour vous assurer que l’adresse URL (adresse Web) qui s’affiche y correspond. Car même si vous ne visitez pas de sites malveillants intentionnellement, cliquer sur le mauvais lien peut vous y conduire.
Il est également important d’équiper son poste de travail d’un anti-virus et de mettre régulièrement ses logiciels à jour.

Les attaques sur les mots de passe

Pour accéder à vos données personnelles et effectuer des opérations frauduleuses, les personnes malveillantes peuvent usurper votre identité en s’attaquant à vos mots de passe.
Plusieurs techniques sont connues :

• des logiciels permettent de générer tous les mots de passe possibles ;
• d’autres utilisent des mots issus de liste, notamment ceux du dictionnaire ;
• une autre méthode consiste simplement à deviner le mot de passe, en fonction d’éléments que l’attaquant aura pu obtenir sur le propriétaire du mot de passe et de ses proches (nom, prénom, date de naissance…).

Plus il y a de caractères et plus leur espace de départ (types de caractères) est grand, plus ces types d’attaques mettront du temps à aboutir : un mot de passe long (8 caractères minimum) utilisant trois types de caractères différents (parmi minuscule, majuscule, symbole et chiffre) ne peut ainsi être trouvé en un temps raisonnable par un attaquant ayant des moyens conventionnels.
Le choix d’un mot de passe ne faisant aucune référence à un mot connu du dictionnaire ou à des références personnelles rendra les attaques plus complexes.

Vous êtes une entreprise ou un organisme de l’économie sociale et institutionnelle ?

Aucun interlocuteur se présentant de notre établissement, ou comme l’un de nos prestataires, n’est autorisé à : 

• vous demander la modification ou la communication de vos données personnelles (numéro de téléphone, adresse mail, ...) ;
• vous demander vos identifiants et mot de passe pour accéder à votre banque en ligne ;
• vous demander de cliquer sur un lien pour réaliser une maintenance ou pour tout autre motif ;
• vous demander vos identifiants et mot de passe pour accéder à votre banque en ligne ou Ebics ;
• vous demander des éléments sur votre carte bancaire (numéro, date d’expiration, cryptogramme et/ou code confidentiel) ;
• vous demander la communication du code de validation d’une opération faite sur Internet qui vous est adressée par mail ou sms.

 
Vous êtes un Particulier ?

Aucun interlocuteur se présentant de notre établissement, ou comme l’un de nos prestataires, n’est autorisé à :

• vous demander la modification ou la communication de vos données personnelles (numéro de téléphone, adresse mail, ...) ;
• vous demander vos identifiants et mot de passe pour accéder à votre banque en ligne ;
• vous demander de cliquer sur un lien pour réaliser une maintenance ou pour tout autre motif ;
• vous demander des éléments sur votre carte bancaire (numéro, date d’expiration, cryptogramme et/ou code confidentiel) ;
• vous demander la communication du code de validation d’une opération faite sur Internet qui vous est adressée par mail ou sms.
   

 Vous pouvez également signaler un email frauduleux à l’adresse suivante : alerte-phishing@credit-cooperatif.coop.

1. Utiliser des mots de passe de qualité, « robustes », c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés, et difficiles à deviner par une tierce personne.
    
2. Avoir un système d’exploitation et des logiciels à jour : navigateur, antivirus, bureautique, etc. pour éviter que les attaquants n’utilisent les failles d’un ordinateur.
    
3. Effectuer des sauvegardes régulières afin de pouvoir réagir à une attaque ou un dysfonctionnement. La sauvegarde de vos données est une condition de la continuité de votre activité.
    
4. Ne pas cliquer trop vite sur des liens qui pourraient être trompeurs et malveillants. Il vaut mieux saisir soi-même l’adresse du site dans la barre d’adresse du navigateur. De nombreux problèmes seront ainsi évités.
    
5. Ne jamais utiliser un compte administrateur pour naviguer. Ces droits permettent de conduire des actions malveillantes sans restriction et ainsi d’accéder à certains fichiers d’un ordinateur. En limitant les droits d’un utilisateur on limite aussi les risques d’infection ou de compromission de l’ordinateur.
    
6. Contrôler la diffusion de vos informations personnelles. Elles peuvent être utilisées pour usurper votre identité et tenter des opérations frauduleuses.
    
7. Ne jamais saisir d'informations personnelles (coordonnées bancaires, identifiants…) sur des sites internet non sécurisés.
    
8. Ne jamais relayer des canulars, des messages de type chaînes de lettres, porte-bonheur ou pyramides financières, appel à solidarité, alertes virales, etc.
    
9. Soyez prudent ! Méfiez-vous des demandes inhabituelles ou à priori très urgentes même si elles proviennent – en apparence - d’une personne ou d’une organisation de confiance (banques, administration, etc.) : ne pas cliquer sur les pièces jointes ou sur les liens suspects, en particulier si les messages évoquent des factures, des changements de coordonnées bancaires, des relances d'impayés, des menaces de fermeture de service ou tout autre sujet sollicitant votre émotion ; vérifier auprès des émetteurs par voie directe l’authenticité de leurs messages et des pièces jointes ; supprimer les e-mails douteux.
    
10. Si vous êtes une entreprise ou une association, sensibilisez vos collaborateurs à la fraude au Dirigeant ou au virement et aux risques de cyber-sécurité, notamment en leur rappelant les règles ci-dessous :
    - résistez à la pression et faites preuve d'esprit critique en écoutant votre intuition, si une demande vous parait suspecte, c'est probablement qu'elle l'est !
    - respectez vos procédures internes: elles ont justement été établies afin d'empêcher les fraudes ;
    - vérifiez systématiquement l’identité de vos interlocuteurs en cas de demande urgente d’opération bancaire en opérant un contre-appel direct ;
    - si vous utilisez des certificats numériques (clés USB ou carte sécurisée permettant de valider des opérations), débranchez-les de vos PC dès que vous ne les utilisez plus ;
    - n’utilisez pas vos outils bancaires professionnels sur un PC personnel ou un téléphone privé.

La majorité des tentatives de fraude utilisent des failles de sécurité détectées par les personnes ou les programmes malveillants sur les postes de travail des utilisateurs. Pour limiter les risques, il est indispensable de bien sécuriser votre ordinateur ou votre réseau.

Installez un anti-virus

Un antivirus est un logiciel de protection dont le but est de détecter les virus ou logiciels malveillants. Pour cela, il inspecte la mémoire, les disques durs de l’ordinateur et les volumes amovibles (CD, DVD, clé USB, disque dur externe...) pour vérifier que les fichiers qui y sont présents ne contiennent pas de code malveillants connus. Il permet aussi d’effectuer régulièrement des analyses planifiées.
Attention : un antivirus ne constitue pas une protection intégrale contre tous les risques. La vigilance de l’utilisateur sur des comportements anormaux reste indispensable.
Comme toute application, l’anti-virus doit être mis à jour.

Mettez à jour régulièrement votre système d’exploitation et vos logiciels

Les logiciels et les systèmes d’exploitation comportent des défauts appelés bogues. Parmi ces défauts, on trouve des défauts portant atteinte à la sécurité. C’est ce que l’on appelle des vulnérabilités. Pour s’en protéger, il suffit de télécharger une "rustine" logicielle pour réparer le défaut de sécurité. Cette rustine s’appelle une mise à jour de sécurité, ou un correctif de sécurité ou un patch de sécurité.
En mettant à jour régulièrement vos logiciels et votre système d’exploitation, vous évitez qu’une personne malintentionnée tire profit de leurs vulnérabilités pour essayer de prendre le contrôle de votre ordinateur, vous voler des informations, provoquer le dysfonctionnement ou l’arrêt de votre machine, propager un ver, installer du contenu illicite, etc.
 

Adoptez les bonnes pratiques d’utilisation de votre poste de travail

Lorsque vous quittez votre poste de travail, pensez à verrouiller votre session, afin que personne ne puisse utiliser votre ordinateur en votre absence. Une clé USB peut rapidement être branchée, sur laquelle peuvent être copiées des documents. Celle-ci peut aussi être porteuse d’un virus.

Toutes les actions menées avec votre session sont de votre responsabilité. Il vous incombe donc d’empêcher un collaborateur d’accéder à vos applications, données ou mails.

N’utilisez pas d’applications bancaires professionnelles sur des ordinateurs publics ou sur votre téléphone portable personnel. Ceux-ci ne possèdent pas les sécurités nécessaires et mises en place par votre entreprise.

Utilisez un compte standard (non administrateur) pour naviguer sur Internet, écrire vos mails, documents et utiliser les applications professionnelles. Les droits de ce type d’utilisateur étant limités quant à l’installation d’applications, il empêchera un virus de se répandre dans votre ordinateur.

Choisissez bien vos mots de passe

Le mot de passe est un élément déterminant pour garantir l’accès à des données confidentielles mais son efficacité repose sur l’utilisateur. Il est donc très important de savoir choisir plusieurs mots de passe robustes, c’est-à-dire difficile à retrouver à l’aide d’outils automatisés, et difficile à deviner par une tierce personne. 

Quelques recommandations

• Choisissez un mot de passe d'au moins 8 caractères ;
• utilisez un mot de passe unique pour chaque service ;
• choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ; 
• ne demandez jamais à un tiers de générer pour vous un mot de passe ;
• modifiez systématiquement et au plus tôt les mots de passe par défaut ;
• renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
• ne diffusez pas vos mots de passe et ne les écrivez pas sur un papier volant qui peut être dérobé ou pris en photo.

Sans le vouloir, nous aidons bien souvent les personnes malveillantes dans leurs tentatives de fraudes et d’escroquerie. Pour limiter les risques, il faut éviter au maximum de diffuser ses données personnelles.
 

Gardez vos données personnelles confidentielles

Ne divulguez pas d’informations personnelles (code confidentiels, identifiants, mots de passe, données bancaires) par courriel ou sur des forums ou des réseaux sociaux et ne saisissez pas de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes les garanties requises. Ne diffusez jamais à l’oral ou par écrit un mot de passe permettant d’accéder à une application qui vous est personnelle (compte bancaire, application professionnelle…).

Les demandes d’informations confidentielles, lorsqu’elles sont légitimes, ne sont jamais faites par courriel (mots de passe, code PIN, coordonnées bancaires, etc.).

Méfiez-vous également des demandes effectuées par téléphone par une personne qui n’est pas votre interlocuteur habituel. En cas de doute, là encore, demandez à votre correspondant habituel de confirmer la demande.

La Crédit Coopératif vous propose de souscrire à certains de ses produits et services au moyen d’un dispositif de signature électronique. Il est donc nécessaire d'avoir toutes les informations relatives à la sécurité, la fiabilité et la valeur légale de ce procédé de souscription par voie électronique.