Des cybercriminels utilisent l’actualité du DSP2, une réglementation européenne qui renforce le niveau de sécurité bancaire, pour piéger leurs victimes via des campagnes de phishing. La plateforme gouvernementale cybermalveillance.gouv.fr alerte sur une explosion de ces attaques ces dernières semaines et rappelle les bonnes pratiques à adopter.
Cybermalveillance.gouv.fr, le dispositif national d’assistance aux victimes d’attaques informatiques, alerte dans un communiqué sur une explosion du phishing bancaire.
VOLER DES DONNÉES PERSONNELLES
Cette technique, qui reste l’un des principaux vecteurs de la cybercriminalité, vise à usurper l’identité d’une marque ou d’une organisation connue pour inciter la victime à lui fournir des données personnelles, telles d’un mot de passe ou des informations bancaires.
L’escroquerie débute par la réception d’un email ou d’un SMS semblant provenir d’une banque ou d’un service de paiement. Le message frauduleux a souvent pour objectif la réalisation d’une action par son destinataire.
UTILISER L’ACTUALITÉ
Le contenu du message reçu concerne le plus souvent la nécessité de mettre à jour certaines informations expliquant que la banque procède à un renforcement de la sécurité des accès aux comptes clients. Ainsi, les hackers exploitent des sujets d’actualités pour crédibiliser leur demande. En l’espèce, il s’agit de la Directive sur les services de paiement (DSP2) adoptée le 25 novembre 2015 par l’Union européenne
Ce texte rend obligatoire “l’authentification forte” qui nécessite la présentation de deux preuves d’identités distinctes pour accéder à un service en ligne. Cette double authentification s’applique pour les paiements en ligne de plus de 30 euros et au moins tous les 90 jours pour l’accès à une banque sur Internet ou via l’application bancaire mobile. Elle peut également être demandée pour l’ajout d’un compte bénéficiaire dans l’espace client.
La victime est invitée à suivre un lien frauduleux pour accéder à son compte en ligne. Elle est alors redirigée vers un site Internet créé de toutes pièces par les hackers. Le but est de tromper la victime pour qu’elle rentre ses identifiants. Une fois l’hameçonnage terminé, elle est généralement redirigée vers le véritable site Internet de sa banque.
ESCROQUERIE, USURPATION D’IDENTITÉ…
Les données aspirées par les hackers servent à mener des escroqueries liées au compte bancaire des victimes, des usurpations d’identités, des achats de biens ou de services, des paiements frauduleux…
Cybermaveillance.gouv.fr rappelle les bonnes pratiques à adopter. Il indique qu’une banque n’enverra jamais d’email contenant un lien direct vers la page de connexion d’un compte personnel. Au moindre doute, la banque doit être contactée. L’adresse du site frauduleux doit être signalée à “Phishing Initiative”, un projet lancé en 2012 et développé conjointement par le CERT-LEXSI, Microsoft et PayPal.
LA VICTIME DOIT DÉPOSER UNE PLAINTE
La victime du phishing doit prévenir sa banque, faire opposition et réinitialiser son mot de passe. Cybermaveillance.gouv.fr recommande également de déposer plainte car les hackers peuvent être poursuivis pour escroquerie, collecte de données personnelles par un moyen frauduleux, accès frauduleux à un système de traitement automatisé de données et/ou contrefaçon et usage frauduleux de moyen de paiement.
Pour en savoir plus:
VOLER DES DONNÉES PERSONNELLES
Cette technique, qui reste l’un des principaux vecteurs de la cybercriminalité, vise à usurper l’identité d’une marque ou d’une organisation connue pour inciter la victime à lui fournir des données personnelles, telles d’un mot de passe ou des informations bancaires.
L’escroquerie débute par la réception d’un email ou d’un SMS semblant provenir d’une banque ou d’un service de paiement. Le message frauduleux a souvent pour objectif la réalisation d’une action par son destinataire.
UTILISER L’ACTUALITÉ
Le contenu du message reçu concerne le plus souvent la nécessité de mettre à jour certaines informations expliquant que la banque procède à un renforcement de la sécurité des accès aux comptes clients. Ainsi, les hackers exploitent des sujets d’actualités pour crédibiliser leur demande. En l’espèce, il s’agit de la Directive sur les services de paiement (DSP2) adoptée le 25 novembre 2015 par l’Union européenne
Ce texte rend obligatoire “l’authentification forte” qui nécessite la présentation de deux preuves d’identités distinctes pour accéder à un service en ligne. Cette double authentification s’applique pour les paiements en ligne de plus de 30 euros et au moins tous les 90 jours pour l’accès à une banque sur Internet ou via l’application bancaire mobile. Elle peut également être demandée pour l’ajout d’un compte bénéficiaire dans l’espace client.
La victime est invitée à suivre un lien frauduleux pour accéder à son compte en ligne. Elle est alors redirigée vers un site Internet créé de toutes pièces par les hackers. Le but est de tromper la victime pour qu’elle rentre ses identifiants. Une fois l’hameçonnage terminé, elle est généralement redirigée vers le véritable site Internet de sa banque.
ESCROQUERIE, USURPATION D’IDENTITÉ…
Les données aspirées par les hackers servent à mener des escroqueries liées au compte bancaire des victimes, des usurpations d’identités, des achats de biens ou de services, des paiements frauduleux…
Cybermaveillance.gouv.fr rappelle les bonnes pratiques à adopter. Il indique qu’une banque n’enverra jamais d’email contenant un lien direct vers la page de connexion d’un compte personnel. Au moindre doute, la banque doit être contactée. L’adresse du site frauduleux doit être signalée à “Phishing Initiative”, un projet lancé en 2012 et développé conjointement par le CERT-LEXSI, Microsoft et PayPal.
LA VICTIME DOIT DÉPOSER UNE PLAINTE
La victime du phishing doit prévenir sa banque, faire opposition et réinitialiser son mot de passe. Cybermaveillance.gouv.fr recommande également de déposer plainte car les hackers peuvent être poursuivis pour escroquerie, collecte de données personnelles par un moyen frauduleux, accès frauduleux à un système de traitement automatisé de données et/ou contrefaçon et usage frauduleux de moyen de paiement.
Pour en savoir plus: