Se méfier du phishing, du pharming, du scamming, etc.

 

Un sac à main grand luxe à prix irrésistible, des sneakers de marque quasi offerts, une villa de rêve pour des clopinettes, un vol long-courrier x fois moins cher qu’ailleurs, des rendements incroyables pour des placements, un gain de loterie aussi inouï qu’inattendu, le grand amour sur Internet, ou encore un héritage monumental d’un parent inconnu. Presque trop beau pour être vrai. Et justement, c’est presque toujours une arnaque ! Ces «offres» visent généralement soit à déclencher un paiement indu direct de la part de la victime, soit de lui soutirer autant d’informations personnelles que possible, telles que nom, date de naissance, numéro de carte de crédit, date d’échéance de la carte ou code de vérification (CVC). Ensuite, les voleurs de données utilisent la carte pour faire des achats en ligne.

En plus de faire miroiter des offres irrésistibles ou de l’argent facile, les escrocs recourent souvent aussi à l’ingénierie sociale pour leurs desseins criminels. Il s’agit d’exploiter sournoisement des traits comme la serviabilité, la crédulité, l’incertitude, la honte, la peur ou le respect des autorités. L’auteur manipule sa victime pour la pousser à faire des paiements, divulguer des informations sensibles (p. ex. données de cartes de crédit), contourner des fonctions de sécurité ou installer des logiciels malveillants (ou maliciels) sur un appareil.

Les escrocs développent sans cesse de nouvelles méthodes et se servent de l’intelligence artificielle pour rendre leurs attaques plus professionnelles et plus personnelles. Les arnaques deviennent de plus en plus délicates à reconnaître. Mais une bonne portion de méfiance et suffisamment de prudence permettent de détecter la grande majorité des tentatives de fraude. Vous trouverez des informations actuelles à ce sujet sur le site web de Card Security.

Phishing

Le phishing consiste à soutirer des informations personnelles ou des données de carte de crédit aux victimes, p. ex. en les attirant sur des sites web falsifiés. À cette fin, les criminels envoient des e-mails, des SMS ou des messages de chat contenant des liens intégrés. Les victimes sont invitées à cliquer sur le lien et à saisir leurs données de carte de crédit dans un formulaire en ligne sur le site web frauduleux. Les escrocs imitent souvent des sites web entiers d’entreprises réputées ou d’émetteurs de carte, de manière très professionnelle. Ensuite, les auteurs utilisent les données obtenues pour faire des achats en ligne.

Vishing

Un procédé semblable au phising est le «vishing» (pour «voice phishing», phishing vocal). Il s’agit de soustraire des données sensibles aux victimes à l’aide d’appels automatisés. Cette arnaque peut prendre la forme de l’escroquerie à l’assistance technique, dans le cadre de laquelle une personne se faisant passer pour un représentant d’une entreprise de technologie vous appelle pour résoudre immédiatement de prétendus problèmes informatiques dangereux. Dans le meilleur des cas, la victime n’est amenée «que» à payer pour l’élimination d’un problème inexistant. Dans le pire des cas, les escrocs obtiennent un accès à distance à l’appareil de la victime et peuvent y installer des maliciels. Cela leur permet d’endommager des données ou de les crypter, de rediriger les accès web sur des sites frauduleux et, surtout, de voler des informations confidentielles comme des mots de passe et des données sensibles sur les paiements et les moyens de paiement.

Pharming

Dans le cas du pharming, les titulaires de carte saisissent une adresse Internet correcte, mais sont ensuite redirigés à leur insu sur un site web frauduleux, souvent très bien imité. Cela est dû à un virus (cheval de Troie) que la/le titulaire de carte a téléchargé sans le savoir auparavant. Un cheval de Troie est un maliciel qui se fait souvent passer pour un programme légitime, un PDF sans danger, ou autre. Les victimes sont amenées à télécharger et exécuter sur leur système le cheval de Troie, souvent par le biais de l’ingénierie sociale. Comme en cas de phishing, les victimes de pharming sont invitées à saisir des données personnelles et des informations de carte sensibles sur le site web frauduleux. Grâce à ces informations, les escrocs dépouillent les titulaires de carte. Le terme «pharming» est un mot-valise composé de «phishing» et de «farming», utilisé car les escrocs exploitent souvent des fermes entières de serveurs faisant tourner des sites web falsifiés.

Scamming

Le scamming consiste à appâter les victimes par des offres particulièrement alléchantes: le grand amour, l’argent facile, le nouveau logement ou le job de rêve. Par force de prétextes et de promesses vides, les escrocs tentent de pousser leurs victimes à opérer des paiements anticipés ou à divulguer des données sensibles (p. ex. charger en ligne la carte d’identité ou le passeport). Le scamming s’exerce sous différentes formes. Il peut s’agir de prétendus gains de loterie (arnaque à la loterie), des promesses de rendement sur placement imaginaires (arnaque au placement), d’offres de logement ou de vacances inexistantes (arnaque au colocataire ou aux vacances), de jobs de rêve fictifs (arnaque à l’emploi) ou du grand amour (arnaque à la romance).

Manipulation de distributeurs automatiques et de terminaux de paiement.

Par ces méthodes, les auteurs se procurent des informations sensibles sur les cartes de débit ou de crédit en manipulant les distributeurs automatiques ou les terminaux de paiement. Il s’agit surtout de voler les codes PIN. Cela peut se faire par de faux claviers ou par des minicaméras cachées près des appareils de saisie. Ensuite, la carte est volée et utilisée abusivement, par exemple pour retirer de l’argent.

Le bon sens et une bonne dose de méfiance permettent de se protéger des escroqueries

Grâce à des technologies ultramodernes et hautement complexes (qui recourent aussi à l’intelligence artificielle), à des dizaines d’années d’expérience de l’industrie des cartes de crédit et au développement constant de la lutte contre les fraudes, les paiements par carte de crédit sont sécurisés sur le plan technique. Cependant, comme dans de nombreux autres domaines, l’être humain peut être le maillon faible. Le risque est néanmoins tout à fait gérable si l’on observe quelques règles de principe:

  • Ne jamais se fier aux messages par e-mail, SMS ou chat ni aux appels de personnes inconnues.
  • Ne jamais cliquer sur les liens ni ouvrir les pièces jointes, dans les messages envoyés par des personnes inconnues ou suspectes. Se connecter uniquement via les adresses officielles des sites web.
  • Examiner attentivement les expéditeurs d’e-mails et les URL (adresses) des sites web. Les adresses frauduleuses se distinguent souvent des vraies seulement par un détail (p. ex. une lettre supplémentaire).
    • Faire attention aux adresses d’expéditeurs atypiques ou artificielles. Contrairement aux adresses professionnelles officielles, les escrocs utilisent souvent des services gratuits, p. ex. @gmail.com, @hotmail.com ou @yahoo.com, etc.
    • Ne se rendre que sur des sites web de confiance, dont l’adresse commence avec https:// ou qui sont identifiés par une icône en forme de cadenas (placer le curseur de la souris sur le lien pour voir toute l’adresse).
  • Ne pas se laisser tromper par une grammaire juste, un logo impeccable ou un site web parfait. Tout cela peut être facilement imité de nos jours. Il faut par contre faire attention à la tonalité et à l’intention d’un message ou d’un site web: est-ce que cela correspond à ce qu’on attendrait d’un message ou site web légitime? De plus, les sites web corrects contiennent généralement des informations de contact («contact» / «Mentions légales») et une page d’information (p. ex. «À propos de nous»). En cas de doute, il convient de téléphoner. Si le site ne mentionne pas de numéro, ou seulement un numéro mobile, ou si l’appel n’est pas pris, il faut faire particulièrement attention.
  • Ne jamais donner suite aux invitations à communiquer des données sur la carte de crédit ou des identifiants de connexion. Ne charger en ligne des documents d’identité (carte d’identité, passeport) qu’après mûre réflexion, uniquement à notre propre initiative et sur des sites web sûrs (adresse commençant par https:// ou icône en forme de cadenas).
  • Ignorer les e-mails des émetteurs de cartes ou d’autres établissements financiers qui prétendent concerner des mouvements de compte inhabituels, des comptes fermés ou le blocage imminent de moyens de paiement. Les prestataires de services financiers n’informent jamais par e-mail à propos des irrégularités et ne vous inviteront jamais à saisir ou à modifier des données sensibles sur vos comptes ou vos moyens de paiement. En cas de doute, il faut contacter votre prestataire de services financiers via ses canaux de communication officiels (jamais par les liens ou coordonnées figurant dans le message).
  • En cas de contact par des personnes ou des institutions inconnues, ne jamais leur transférer de l’argent et ne jamais leur communiquer de données de carte de crédit.
  • Ne jamais transmettre à des tiers les codes ou mots de passe à usage unique reçus dans le cadre de l’authentification à deux facteurs.
  • Garder secrets les accès aux applications bancaires et aux applications des émetteurs de cartes.
  • Se méfier tout particulièrement quand quelqu’un essaie de vous pousser à faire quelque chose rapidement. Si quelqu’un essaie de faire pression, c’est suspect. Idem quand quelqu’un essaie de vous faire peur en prétextant que vous risquez de subir des désavantages.
  • Se méfier tout particulièrement quand quelqu’un essaie de vous pousser à faire quelque chose rapidement. Si quelqu’un essaie de faire pression, c’est suspect. Idem quand quelqu’un essaie de vous faire peur en prétextant que vous risquez de subir des désavantages.
  • Activer les notifications pour recevoir une information à chaque utilisation de la carte de crédit.
  • Si l’émetteur de carte propose ce service, définir les possibilités d’utilisation de la carte de crédit en fonction de votre situation et de votre comportement (p. ex. restreindre à l’Europe ou désactiver les paiements en ligne).
  • Garder son PIN secret et cacher le clavier lors de l’utilisation des distributeurs et des terminaux de paiement.
  • Vérifier rapidement le décompte mensuel de la carte de crédit pour découvrir à temps les irrégularités (elles doivent être signalées dans un délai de 30 jours).
  • Tenir à jour les navigateurs web et les systèmes d’exploitation des appareils électroniques (programmes antivirus et pare-feux).
  • Utiliser des mots de passe forts et l’authentification à deux facteurs.

Adresse

Secrétariat
Swiss Payment Association
Richtiplatz 3
8304 Wallisellen

Contact

Dr Thomas Hodel
Directeur
Téléphone: +41 58 426 25 55
E-Mail: office@swiss-p-a.ch

Langue

Liens

© 2025 Swiss Payment Association — Website by SteckDesign