Les services bancaires en ligne sont devenus de plus en plus répandus, tout comme la fraude bancaire en ligne. En fait, les escroqueries bancaires par phishing sont devenues l’un des types d’activités criminelles les plus courantes sur Internet. Outre le vol des identifiants de connexion aux comptes bancaires, les cybercriminels volent également des données de cartes de crédit et de débit pour leur propre profit financier. Mais en quoi ces cybercrimes consistent-ils exactement et quelles sont leurs implications pour les utilisateurs ?
Qu’est-ce que la fraude bancaire en ligne ?
La fraude bancaire en ligne se produit essentiellement lorsqu’un cybercriminel parvient à voler les coordonnées bancaires numériques d’un individu ou d’une entreprise et à accéder aux cartes de crédit ou aux comptes bancaires associés. Le criminel en profite ensuite pour siphonner directement l’argent du compte ou pour perpétrer d’autres types de fraudes financières. D’un point de vue juridique, la fraude bancaire en ligne couvre toutes sortes d’activités criminelles menées via l’application ou le site Web d’une banque. Il s’agit notamment d’accéder illégalement aux comptes d’une autre personne pour gérer ou transférer son argent.
Les services bancaires modernes hautement numérisés offrent aux pirates informatiques de nombreuses possibilités de commettre ces crimes. Bien que les banques prennent de plus en plus de mesures pour sécuriser leurs services numériques et protéger les comptes de leurs clients, identifier le moment où ces fraudes sont commises et les prévenir est extrêmement compliqué en raison de la sophistication croissante de ces attaques.
En quoi consiste l’escroquerie bancaire ?
Les cybercriminels déploient des moyens de plus en plus sophistiqués pour inciter des victimes peu méfiantes à communiquer par inadvertance leurs coordonnées bancaires et commettre des fraudes bancaires en ligne. Souvent, ces attaques sont multidimensionnelles et intègrent différentes techniques, si bien qu’il devient difficile de les identifier. C’est pourquoi il est essentiel que tous les utilisateurs de services bancaires en ligne comprennent ces attaques afin de pouvoir s’en prémunir. Il existe deux principaux types de fraudes bancaires en ligne : le piratage de compte (ATO) et les systèmes de transfert automatique (ATS).
Piratage de compte
Les piratages de compte sont des escroqueries bancaires numériques dans lesquelles le cybercriminel prend le contrôle d’un compte bancaire à l’aide d’informations volées. Ces attaques font souvent appel à des techniques d’ingénierie sociale ou à des programmes malveillants, et les plus avancées utilisent les deux. Voici quelques-unes des méthodes les plus courantes utilisées par les cybercriminels pour mettre en place des escroqueries bancaires en ligne et des piratages de compte :
- Le phishing : Dans les escroqueries bancaires par phishing, l’escroc se fait passer pour l’institution bancaire légitime de la victime et lui envoie un email lui demandant de confirmer ses identifiants de connexion. Habituellement, l’email contient un lien vers un site Web frauduleux qui imite le véritable site de la banque, et l’escroc peut voler les données de connexion lorsqu’elles sont saisies sur cette page. C’est pourquoi les banques rappellent régulièrement à leurs clients qu’elles ne leur demanderont jamais d’informations confidentielles, comme des mots de passe ou des numéros d’identification personnels (code PIN). Pour augmenter les chances de réussite, l’email de phishing indique souvent que le compte bancaire sera suspendu ou bloqué si le client ne clique pas pour confirmer ses coordonnées.
- Le vishing : Ces attaques ressemblent au phishing, mais sont menées par téléphone plutôt que par email. L’escroc se fait passer pour la banque de la victime lors d’un appel téléphonique et l’incite à lui communiquer les détails de son compte et ses identifiants par téléphone. Il peut ainsi accéder à l’ensemble du compte et le contrôler. Parfois, le pirate tente d’obtenir certaines données personnelles pour les utiliser ultérieurement dans le cadre de ses systèmes de fraude bancaire en ligne ou incite la victime à lui transférer directement de l’argent.
- Les enregistreurs de frappe : Il s’agit d’un type particulier de programmes malveillants, des chevaux de Troie, qui surveille l’utilisation du clavier de l’ordinateur. Lorsque ces programmes détectent que l’utilisateur accède à un site Web bancaire figurant sur une liste prédéfinie, ils enregistrent les frappes au clavier, dérobant ainsi les identifiants de connexion du compte bancaire pour permettre au pirate d’accéder ultérieurement à ce compte et d’y dérober des fonds.
- Les programmes malveillants : Les cybercriminels utilisent divers programmes malveillants pour voler les informations convoitées. Il s’agit souvent d’escroqueries bancaires par email qui obligent la victime à télécharger des pièces jointes truffées de virus sur son appareil, souvent à son insu. Le programme malveillant imite alors des sessions bancaires authentiques et incite la victime à saisir ses coordonnées, qui sont ensuite volées par le pirate pour perpétrer ses escroqueries. Parmi les programmes malveillants les plus utilisés dans les escroqueries bancaires en ligne figurent les chevaux de Troie d’accès à distance (RAT) qui permettent aux pirates informatiques de contrôler un appareil à distance, l’homme dans le navigateur (MitB) qui intercepte les données entre un navigateur et une application bancaire, les interfaces qui volent également des informations sensibles par le biais d’un site Web ou d’une application, et les renifleurs de SMS qui surveillent les messages SMS à la recherche de mots de passe à usage unique.
- Le vol de mots de passe : Dans certains cas, les escroqueries aux identifiants bancaires peuvent être réalisées par des attaques par force brute ou par dictionnaire. Ces dernières consistent à deviner au hasard les mots de passe jusqu’à trouver le bon, que le pirate peut alors utiliser pour accéder au compte bancaire lié.
- Le piratage des réseaux Wi-Fi : De nombreuses connexions Internet sont susceptibles d’être piratées par des cybercriminels. C’est particulièrement vrai pour les réseaux Wi-Fi publics non sécurisés, peu protégés. En piratant ces réseaux, les escrocs peuvent voler toutes les informations transmises, y compris les données bancaires.
- L’échange de cartes SIM : Ce cybercrime en particulier consiste à utiliser des techniques d’ingénierie sociale pour voler le numéro de téléphone de la victime et le transférer sur une carte SIM en possession du pirate informatique. De cette façon, ce dernier a accès à tout ce qui est lié au numéro de téléphone en question et peut souvent accéder à des comptes bancaires en recevant des mots de passe à usage unique dans le cadre du processus d’authentification à plusieurs facteurs d’une banque.
Les systèmes de transfert automatique
Les progrès de la technologie et de la cybersécurité ont rendu les piratages de compte beaucoup plus difficiles à exécuter. Pour contourner ce problème et continuer à perpétrer des fraudes bancaires en ligne, les cybercriminels ont développé de nouvelles techniques automatisées pour exécuter leurs attaques de manière efficace et en réduisant le risque de détection de l’usurpation d’identité. Il s’agit de systèmes de transfert automatique (ATS) qui ne nécessitent pas le recours à des escroqueries aux identifiants bancaires. À la place, ces systèmes automatisés surveillent l’activité de l’utilisateur de l’ordinateur. Lorsque l’utilisateur se connecte à son compte bancaire, ce programme malveillant injecte un script dans le site légitime et lance des transferts d’argent que l’utilisateur ne remarque que trop tard. Le pirate n’a donc pas besoin de recueillir des informations sur l’utilisateur et de déjouer les protocoles d’authentification à plusieurs facteurs.
Piratage de compte ou systèmes de transfert automatique
Bien que ces deux types d’escroqueries bancaires en ligne soient différents, elles partagent un même objectif, voler des fonds et perpétrer des fraudes financières, mais fonctionnent de manière très différente.
- Les attaques par systèmes de transfert automatique sont exécutées automatiquement par des programmes malveillants. Les escroqueries par piratage de compte nécessitent un certain travail manuel de la part du cybercriminel, car elles font appel à l’ingénierie sociale.
- Les programmes malveillants de systèmes de transfert automatique nécessitent un calibrage minutieux et doivent être adaptés à l’application bancaire concernée. Ces attaques sont donc beaucoup plus complexes, mais aussi plus difficiles à détecter.
- Étant donné qu’elles fonctionnent au sein d’applications et de sites Web bancaires légitimes, les attaques par systèmes de transfert automatique attendent simplement que les utilisateurs fournissent leurs identifiants de connexion. Elles ne nécessitent donc pas de voler ces informations ni de se préoccuper de franchir des authentifications à plusieurs facteurs.
L’usurpation d’identité expliquée
L’usurpation d’identité bancaire implique que le cybercriminel vole l’identité d’une personne pour perpétrer une fraude financière. En obtenant des données personnelles comme les noms, les dates de naissance et les numéros de sécurité sociale, les pirates informatiques peuvent entreprendre toute une série d’actions. L’usurpation d’identité bancaire (et l’usurpation d’identité à plus grande échelle) peut avoir des conséquences graves et durables pour les victimes de ces attaques. En voici quelques-unes :
- Voler des fonds sur des comptes bancaires existants.
- Ouvrir de nouveaux comptes bancaires, obtenir de nouvelles cartes de crédit ou contracter de nouveaux prêts au nom de la victime.
- Accéder aux prestations sociales liées aux numéros de sécurité sociale, comme les soins de santé, les paiements de sécurité sociale et le chômage.
- Détruire les scores de crédit.
- Commettre une fraude fiscale ou voler les remboursements d’impôts.
- Ne pas rembourser des prêts bancaires, comme les prêts hypothécaires.
- Prendre le contrôle de n’importe quel compte en ligne, y compris les messageries électroniques et les profils de réseaux sociaux, et se faire passer pour la victime à des fins préjudiciables.
- Obliger la victime à consacrer beaucoup de temps et d’argent pour tenter de retrouver son identité et de laver son nom.
- Faire en sorte que les informations personnelles de la victime restent sur le Dark Web.
- Causer un stress émotionnel et financier important.
Quelles sont les conséquences personnelles des escroqueries bancaires en ligne ?
Malheureusement, l’usurpation d’identité bancaire peut avoir des répercussions majeures pour la personne ou l’entreprise visée par ces attaques. Bien sûr, l’impact financier en fait partie, mais d’autres conséquences sont également importantes à prendre en compte.
Les escroqueries bancaires en ligne peuvent avoir des répercussions financières considérables, potentiellement dévastatrices pour les particuliers comme pour les organisations. En fonction des informations volées, le pirate informatique peut vider les comptes bancaires, fermer et ouvrir de nouveaux comptes, détruire les scores de crédit, commettre des fraudes fiscales, voler les fonds de retraite et avoir une incidence sur les hypothèques. En gérant les répercussions de ces attaques, les victimes peuvent subir des pertes financières encore plus importantes, notamment avec les frais de justice.
L’usurpation d’identité bancaire peut affecter la santé mentale des victimes. Prendre conscience d’une fraude bancaire en ligne peut provoquer toute une gamme d’émotions, allant du choc et de la colère à la peur, en passant par l’impuissance. Essayer de recoller les morceaux peut s’avérer extrêmement stressant, et les victimes ressentent souvent le besoin de désigner le coupable qui a permis à l’arnaque d’aboutir.
Peut-on prévenir la fraude bancaire en ligne ?
En réalité, il n’est jamais possible d’éviter totalement le phishing bancaire et les autres escroqueries en ligne. Bien entendu, certaines mesures peuvent être prises pour réduire la probabilité de leur succès ou atténuer leurs effets. Voici quelques recommandations à garder à l’esprit :
- Utilisez toujours des identifiants de connexion uniques pour vos différents comptes bancaires.
- Activez l’authentification à plusieurs facteurs ou biométrique pour un niveau de sécurité supplémentaire.
- Ne cliquez jamais sur les liens figurant dans les emails, accédez plutôt directement au site Web légitime de la banque en tapant l’adresse dans le navigateur.
- Assurez-vous que les applications bancaires sur vos appareils sont authentiques, téléchargez-les à partir du site Web de la banque ou de boutiques d’applications de confiance et maintenez-les à jour.
- Familiarisez-vous avec les protocoles de sécurité et de confidentialité de la banque. La plupart des banques indiquent par exemple clairement qu’elles ne demanderont jamais de code PIN.
- Ne vous connectez à vos comptes bancaires que par le biais de connexions Internet ou Wi-Fi sécurisées, comme les réseaux domestiques privés sécurisés par WEP, WPA ou WPA2.
- Examinez régulièrement vos relevés de banque et de carte de crédit, et vérifiez immédiatement les transactions suspectes auprès de la banque.
- Utilisez des réseaux privés virtuels (VPN) pour sécuriser les connexions Internet avant de vous connecter aux systèmes bancaires numériques.
- Protégez vos appareils à l’aide de logiciels antivirus et assurez-vous qu’ils sont toujours à jour et qu’ils utilisent les derniers correctifs de sécurité.
Éviter l’usurpation d’identité bancaire
Le vol de services bancaires en ligne devient de plus en plus sophistiqué et difficile à détecter. Mais ces attaques peuvent avoir des conséquences financières, sociales et émotionnelles importantes pour les personnes et les entreprises ciblées. En comprenant à quoi ressemblent les escroqueries bancaires en ligne et en mettant en place des dispositifs de sécurité numérique ainsi que des mesures de protection de bon sens, on peut réduire le risque que des cybercriminels piratent un compte ou infectent des appareils avec des programmes malveillants de systèmes de transfert automatique.
Obtenez Kaspersky Premium et profitez d’UN AN GRATUIT de Kaspersky Safe Kids. Kaspersky Premium a reçu cinq prix AV-TEST pour la meilleure protection, les meilleures performances, le VPN le plus rapide, le contrôle parental approuvé pour Windows ainsi que le meilleur classement pour le contrôle parental Android.
Produits et services connexes :