Partager:
Malgré nos articles et les efforts de prévention des banques, de nombreuses personnes continuent à se faire avoir par l'arnaque dite "au Digipass". Il s'agit de ce petit boitier dans lequel vous glissez votre carte de banque et introduisez chiffres et code PIN afin de réaliser des opérations bancaires en ligne.
Et si vous pensiez qu'il n'y a que les seniors qui se font avoir, lisez le témoignage de Géraldine, une Bruxelloise qui a bien les pieds sur terre, et qui s'estime même "une personne prudente en ligne".
Elle a frôlé la banqueroute: un arnaqueur lui a soutiré des codes pour vider ses comptes. Sans l'intervention étonnamment rapide et efficace de sa banque, cette mère de famille aurait "tous les comptes à zéro".
Pour vendre quatre pneus hiver
Les arnaqueurs l'ont compris: le meilleur moyen d'entrer en contact avec une victime est de se présenter comme un acheteur intéressé par ce qu'elle a à vendre. "On a 4 pneus hiver qui faisaient double emploi car on a changé de voiture. Et on voulait donc les vendre, 100€".
Dans les premières heures, Géraldine reçoit "deux demandes, mais ce n'était pas les bons modèles, ou alors l'acheteur voulait faire baisser le prix plus que ce que j'avais prévu". Des personnes qu'elle ne connait pas, car sur le Marketplace de Facebook, où elle a choisi de mettre en vente ses pneus, tous les utilisateurs du plus grand réseau social peuvent voir les annonces (selon des critères géographiques).
Quelques heures plus tard, elle reçoit un message d'une autre personne intéressée. "Quelqu'un m'a contactée, en dessous de mon annonce, en disant: 'envoyez-moi un MP (message personnel)'. Il ne m'a posé aucune question par rapport aux pneus, il m'a demandé uniquement si c'était le prix définitif".
Elle jette un œil à son profil Facebook. "J'ai vu qu'il travaillait chez Saoudia Airlines, ça m'avait mis en confiance, c'est une grosse boîte". Via Messenger (l'outil de messagerie très populaire de Facebook), "je lui demande le prix qu'il peut mettre, et il me dit: 'Non, quel est votre prix?'. Je dis alors 80€ et il me dit 'ok', mais toujours sans rien demander sur les pneus".
J'ai reçu un mail un peu 'fait maison', avec une drôle de mise en page
Une "inscription" auprès du transporteur GLS
L'acheteur intéressé prétend habiter Ostende. "Il me dit qu'il se fait toujours livrer via GLS", qui est effectivement une société de transport néerlandaise mais active en Belgique également. Comme toutes les sociétés de transport, elle propose un outil en ligne de gestion et de suivi des colis envoyés ou reçus.
"Il me dit qu'une fois que j'aurai l'argent sur mon compte, GLS viendra chercher le colis". A ce moment, notre témoin est en confiance. "J'ai été voir si GLS existait, car je suis plutôt prudente, et effectivement, cette société à un siège à Bruxelles".
Sans le savoir, alors qu'elle "pensait être bien informée", Géraldine vient de tomber dans le piège de l'arnaque devenue classique, via une soi-disant inscription obligatoire à une société de transport (souvent DHL, UPS, DPD, etc) afin de recevoir l'argent. Elle communique via Messenger une série d'informations personnelles utiles pour se faire livrer et se faire payer: numéro de compte, adresse et adresse email, etc.
Et souvent, comme les victimes sont heureuses d'avoir enfin trouvé le bon acheteur, elles sont moins lucides, moins prudents, moins regardantes. "J'ai reçu peu après un mail un peu 'fait maison', avec une drôle de mise en page. Mais l'adresse de l'expéditeur avait l'air fiable, en général je regarde ça. Soit… Le mail disait que je devais ouvrir un compte premium sur le site de GLS. Par Messenger, l'acheteur me promet que ça ne coute rien. Je suis allée sur le site web de GLS pour vérifier mais je ne pouvais pas ouvrir un compte directement sur le site".
C'est donc par email, avec soi-disant GLS, que Géraldine communique d'autres données personnelles, dont "mon numéro de carte bancaire, issue d'un compte Bancontact, donc pas une carte de crédit".
L'arnaque 'au Digipass'
A celle de la société de livraison qui a besoin d'une inscription premium pour pouvoir recevoir de l'argent, s'ajoute l'arnaque tout aussi classique 'au Digipass'.
"L'acheteur me prévient pas Messenger que j'aurai très peu de temps pour envoyer les codes pour l'inscription sur le site". Ces codes, en réalité, Géraldine les donnera à partir de sa carte de banque et de son boitier pour les opérations en ligne, parfois appelé Digipass.
"Une personne me téléphone alors, mais je ne comprenais pas grand-chose. J'entendais à son accent qu'il était Africain. Il me parlait en français mais j'avais beaucoup de mal à le comprendre, et j'étais très embarrassée de devoir lui demander à chaque fois de répéter ce qu'il disait".
Durant "10 minutes", Géraldine exécute les demandes de l'escroc. "Il m'a dit d'entrer mon code PIN, et m'a communiqué un chiffre à rentrer. Je me dis alors que ce ne peut être qu'un professionnel qui sait quels chiffres il faut rentrer". En réalité, sans le savoir, notre témoin fournit tous les codes et 'response' nécessaire pour réaliser des opérations bancaires en ligne. L'arnaqueur était connecté sur le 'Home Banking' de ING, avait introduit le numéro de carte bancaire de Géraldine et lui vidait ses comptes en répétant des opérations de virement, qui nécessitent l'introduction de chiffres sur le boitier puis sur la page du site.
Mon mari me dit que tous nos comptes épargne sont à 0
"ING m'appelle et me demande si c'est bien moi qui fait un virement de 8.000€"
Au milieu de sa conversation se résumant à un échange de séries de chiffres, Géraldine reçoit un appel qu'elle ne prend pas. Après avoir raccroché, elle écoute le message. "C'était ING qui me demandait si c'était moi qui faisait un virement de 8.000€, et sinon d'appeler très vite le département fraude".
Le château de cartes s'effondre pour Géraldine, qui comprend d'un seul coup qu'elle a été victime d'une arnaque, qui explique toutes les bizarreries qu'elle vient de connaître. "Ça me parait surréaliste quand je le raconte maintenant, mais à ce moment-là, j'étais dans le truc".
Heureusement, elle a pu compter sur la réactivité d'ING, qui a "bloqué toutes les opérations en attendant d'avoir de mes nouvelles". Les 8.000€ étaient donc en transit, mais pas encore complètement transférés. "Mon mari a été voir sur notre Home Banking, et il m'a dit que tous nos comptes épargne étaient à 0. Ils avaient déplacé tous les montants de nos comptes épargne, même ceux des enfants, pour lesquels on met de l'argent chaque mois depuis 12 ans".
Vu le nombre de codes transmis par Géraldine, l'escroc avait eu le temps de faire son marché. "Un autre compte à vue avait été débité, en négatif, de 1.260€, la somme était déjà partie de notre compte". Mais comme il s'agissait "d'un autre compte ING belge, on voyait le nom du titulaire du compte". Je ne sais pas si l'argent était encore sur ce compte, mais la banque "nous a remboursé anticipativement de 1.210€, car il y a 50€ de franchise".
Tout se termine donc très, très bien pour Géraldine et sa famille, qui sont passés tout près de la banqueroute. Sans l'intervention d'ING, "on avait 0 centime sur nos comptes, donc les 50€ perdus, on s'estime fou de joie".
Comment s'y prend ING ?
La banque ING était plutôt ravie de notre appel. Alors que d'habitude, les banques tentent d'expliquer pourquoi il est impossible de récupérer de l'argent transféré après avoir communiqué des codes 'Digipass' par téléphone sans aucune contrainte, ING reçoit des félicitations pour sa vigilance qui a fait économiser presque 10.000€ à Géraldine.
Hélas, "nous ne pouvons pas donner beaucoup de détails sur nos techniques de détection de fraude ou de phishing, afin de ne pas donner d'idées aux fraudeurs" nous a expliqué Joëlle Neeb, du service communication.
Une certitude, cependant: les choses ont changé en quelques années, car nous avons déjà évoqué des cas similaires et les banques n'intervenaient pas systématiquement, ne détectaient pas automatiquement les mouvements suspects et évoquaient un "défaut de prévoyance" de la part de l'utilisateur, justifiant le non-remboursement des sommes perdues.
ING nous a confirmé que ses services de cybersécurité "travaillent constamment à l'amélioration de la sécurité et respectent les législations en place".
Quant aux blocages des virements, "la rapidité est un élément crucial. En cas de réaction rapide, il est possible de bloquer un paiement et parfois de récupérer les fonds". Cependant, "il n’y a pas de règle ou de comportement uniforme car cela dépend du type de fraude".
Autre interrogation de notre part: comment un escroc ose-t-il virer de l'argent sur un compte belge, alors que ce dernier est légalement relié à une identité ? C'est le phénomène des 'mules'. "Certaines personnes prêtent (souvent contre une rétribution) leur compte bancaire (carte et code PIN) à des fraudeurs, parfois sans se rendre compte des risques qu’ils prennent. Ces personnes deviennent des mules financières inconscientes que leur compte est utilisé pour transférer de l’argent criminel".
La banque rappelle les règles essentielles: "ne jamais communiquer par téléphone ou email des données confidentielles ou des codes", "accéder toujours à Home Bank via www.ing.be", "téléphoner au helpdesk ING en cas de doute, le numéro se trouve au dos de la carte bancaire".
Quant à Géraldine, qui s'en sort donc très bien, elle se demande toujours comment elle a pu se faire avoir de manière si évidente. "Je pensais qu'avec une carte Bancontact, sans le code PIN, on ne pouvait rien faire. Et je pensais aussi que seules les cartes MasterCard/Visa pouvaient être piratées". Une erreur de jugement qui aurait pu lui rendre la vie très difficile pendant quelques années…