Les fraudes courantes

Les principaux types de risques

• Le phishing ou hameçonnage, s'appuie sur des e-mails à l'apparence souvent convaincante et semblant provenir d'expéditeurs légitimes. Le fraudeur va utiliser des e-mails frauduleux pour convaincre les utilisateurs de cliquer sur une pièce jointe ou sur un lien malveillant (site Web d'apparence authentique). Ceux-ci peuvent alors infecter l'ordinateur de la victime avec un malware (logiciel malveillant en français) qui récupère les informations personnelles sensibles, voire confidentielles, permettant aux attaquants de détourner des fonds, perturber des opérations commerciales ou détruire des données.

De simples SMS et appels téléphoniques peuvent aujourd'hui servir à des tentatives de fraude et de détournement.

• Le vishing (ou « hameçonnage vocal » en français), technique de phishing par téléphone, consiste à faire peur à la victime pour l'inciter à effectuer des paiements ou fournir des informations financières confidentielles. Par exemple, les fraudeurs peuvent vous appeler directement en se faisant passer pour des collaborateurs de la banque. Généralement, ils évoquent un problème sur votre compte ou sur votre carte bancaire. En prétextant une possible utilisation frauduleuse de vos moyens de paiement, ils vous demandent alors de dévoiler vos coordonnées bancaires. Toutes les données récupérées par les fraudeurs leur permettent d'accéder à vos comptes bancaires ou d'effectuer des achats sur internet.
• Le smishing (ou « hameçonnage par SMS » en français) a pour but d'inciter les cibles à cliquer sur des liens malveillants, en activant des chevaux de Troie capables de voler des mots de passe et d'autres données de grande valeur.
• Les malwares (ou maliciels en français) sont des logiciels malveillants, programmés dans le but de vous nuire, téléchargés à votre insu. Ils sont transmis par le biais d'un email avec une pièce jointe à télécharger ou via un logiciel téléchargé sur un site frauduleux. Ils ont pour but de dérober vos informations confidentielles telles que vos identifiants de connexion à la banque à distance ou bien vos coordonnées bancaires. Ils sont capables de vous soustraire des informations, d'endommager vos données, de pirater les visites d'un site Web et d'espionner votre activité sur Internet ou sur le réseau.
• Le ransomware est un virus dérivé du malware. Il a pour but de bloquer l'accès à vos appareils électroniques (ordinateur, tablette, smartphone…) et/ou de chiffrer vos fichiers pour vous demander de l'argent. Lorsque le logiciel se lance, il chiffre généralement des documents personnels et rend impossible l'accès à toutes les informations. Vous êtes alors redirigé vers un écran vous demandant de verser une somme d'argent au fraudeur pour obtenir la clé de déchiffrement ou pour éviter la suppression de l'ensemble des données. En fonction de la connectivité du poste de travail et du fonctionnement du système, le virus peut se propager à l'ensemble du réseau.
• Les attaques par déni de service ont pour but de rendre indisponible un service ou empêcher les utilisateurs de l'utiliser. Elles peuvent toucher toute entreprise avec des serveurs reliés à Internet. De telles attaques peuvent nuire à votre réputation.

Le fonctionnement d’une fraude par Ingénierie Sociale

Un fraudeur envoie un e-mail (ou réalise un appel) au service financier d'une entreprise en imitant un sous-traitant, un fournisseur, un créancier ou même un membre de la direction et demande qu'un paiement urgent soit effectué ou que les paiements futurs passent par un nouveau compte. À noter qu'il est souvent précisé au destinataire que cette transaction est urgente, exceptionnelle et doit rester confidentielle.

L'adresse électronique de l'expéditeur correspondant à une adresse connue ou s'en approchant fortement, ce type de fraude passe souvent inaperçu… jusqu'à ce qu'il soit trop tard. Les cybercriminels peuvent même pirater un véritable compte de messagerie à partir duquel les communications frauduleuses sont particulièrement difficiles à identifier.

Ce type de fraude peut engendrer des pertes financières conséquentes et porter atteinte à la réputation de l'entreprise.

Si le virement reste le moyen de paiement le moins fraudé en proportion, celui-ci véhicule toutefois les montants globaux de pertes les plus importants dans le cadre de la fraude par Ingénierie Sociale.

Les formes d'Ingénierie Sociale courantes

• Fraude au président :
  Via un appel téléphonique, fax ou e-mail, un escroc se fait passer pour un des dirigeants auprès d'un collaborateur pour obtenir de lui une transaction exceptionnelle et confidentielle sur un compte généralement domicilié à l'étranger.
• Fraude aux changements de coordonnées bancaires :
  Un escroc fait croire à un changement de domiciliation bancaire du bailleur, d'un fournisseur ou de tout autre créancier légitime de l'entreprise pour les prochains règlements des loyers ou des factures. Il envoie les nouvelles coordonnées bancaires par courrier électronique, avec des caractéristiques de messagerie très proches de celles de l'interlocuteur habituel.
  Comme pour l'escroquerie « au faux président », les coordonnées bancaires sont en général domiciliées à l'étranger.
• Fraude au faux service fraude :
  Des fraudeurs se font passer pour la banque (Service de lutte contre la fraude ou service d’assistance technique) ou les services de Police. Ils vous demandent vos identifiants de connexion banque à distance ou un code qui vous aurait été envoyé par SMS sur votre téléphone portable.
  Ils prennent très souvent le prétexte d’annuler des opérations frauduleuses ou effectuer des tests sur votre accès Ma banque en ligne à la suite problèmes techniques rencontrés.
  Leur objectif est de récupérer vos identifiants Ma banque en ligne et / ou vos informations cartes bancaires.
  Dans certains cas, les fraudeurs peuvent également vous proposer d’envoyer un coursier à votre domicile pour récupérer votre carte bancaire qui aurait fait l’objet de transactions frauduleuses.
• Fraude au faux technicien :
  L'escroc se fait passer pour un technicien prestataire de l'entreprise visée et tente d'obtenir par le collaborateur l'exécution de « virements tests ». Il peut aussi demander l'installation de logiciels qui permettront de récupérer des informations de sécurité ou de pirater le système informatique de l'entreprise.
  Ce type de fraude s'est particulièrement développé dans le cadre de la migration des moyens de paiement au SEPA : les virements dits « tests » sont en fait de vrais virements à destination de comptes étrangers.

Chèques

• Le vol de chèque
  

  Un voleur tentera de voler votre chéquier dans vos bagages, vos vêtements ou votre voiture. La récupération d'un chèque par un fraudeur aboutira à l'émission d'un chèque falsifié.

• La falsification de chèque
  

  A partir d'un chèque ou d'un chéquier récupéré, le fraudeur pourra émettre un chèque falsifié :

  • Emission à partir de chèques vierges : le fraudeur imite votre signature
  • Modification d'un chèque déjà complété : changement du bénéficiaire, montant, etc…

Carte bancaire

Concernant ce moyen de paiement, nous pouvons distinguer deux types de fraude :

La fraude sur le porteur

• L'utilisation d'une carte bancaire perdue ou volée : Même sans avoir récupéré le code confidentiel, les fraudeurs peuvent utiliser une carte bancaire volée pour des achats à distance, dans les pays où seule la signature suffit ou via le paiement sans contact. Dans les cas où les fraudeurs ont pu avoir accès à votre code, ils peuvent alors effectuer des paiements ou des retraits en toute liberté dans la limite des plafonds, jusqu'à la mise en opposition ou la détection par nos systèmes de lutte anti-fraude,
• La falsification d'une carte bancaire : Pour cela, les fraudeurs vont utiliser la méthode du skimming qui vise à copier les données enregistrées sur la bande magnétique de votre carte bancaire et à récupérer le code confidentiel. Cela peut se réaliser à l'aide d'un dispositif placé dans la fente du lecteur carte dans les terminaux de paiement ou les distributeurs de billets ou chez un commerçant malveillant. Les informations récupérées seront ensuite utilisées pour créer une carte contrefaite,

Bon à savoir : Dans certains cas, il n'est pas nécessaire pour le fraudeur de récupérer votre code confidentiel. Une carte contrefaite peut aussi être utilisée avec seulement une copie de la piste magnétique et de la signature.

• Vol des informations d'une carte bancaire : Même sans avoir physiquement volé votre carte, le fraudeur peut utiliser les informations qu'il aurait récupérées chez un commerçant, lors d'un achat à distance ou via email et téléphone (phishing ou vishing).

La fraude sur le commerçant

Les fraudeurs profiteront de failles de sécurité sur les sites internet des commerçants pour subtiliser et récupérer les données bancaires de vos clients voulant effectuer des transactions. Les fraudeurs pourront également réaliser des paiements avec des cartes volées ou falsifiées dans des points de vente ou sur internet.

Prélèvements

Le détournement de coordonnées bancaires

Un fraudeur peut récupérer vos coordonnées bancaires pour tenter de mettre en place un mandat de prélèvement et ainsi bénéficier d'un bien ou d'un service comme par exemple un abonnement téléphonique, sans avoir à honorer les règlements prévus.

Emission de prélèvements SEPA par un créancier mal intentionné

Un créancier mal intentionné peut émettre un prélèvement sur vos comptes sans avoir obtenu les mandats, puis émettre des virements vers des comptes étranger.

Generative AI

L'intelligence artificielle (IA) générative est une technologie qui permet aux ordinateurs de réaliser des tâches complexes et de générer du contenu écrit, audio, ou encore vidéo. Ces outils d'IA peuvent également prendre des décisions en analysant de grandes quantités de données et s’appuyant sur des modèles avancés, donnant ainsi l’impression d’interagir avec des humains.

Cela facilite grandement les activités frauduleuses, car elle permet aux fraudeurs de se faire passer plus aisément pour des personnes ou des entreprises. Par exemple en améliorant les modes opératoires des fraudeurs, en usurpant la voix durant des appels téléphoniques, ou en manipulant le visage et la voix via des vidéos truquées (deepfake).

Pour s’en protéger, voici quelques recommandations :

• Mettre à jour régulièrement les contrôles anti-fraude.
• Utiliser des codes d’authentification sécurisés et des processus de vérification renforcés.
• Mettre en place une surveillance active et proposer des formations régulières, notamment sur les risques liés aux deepfakes et aux tentatives de phishing.

Pour demander l’opposition d’une carte Business :

Ou le +33 800 970 188 depuis l’étranger

Pour contester une transaction sur carte Business :

Ou le +33 800 000 477 depuis l’étranger

Pour contactez le Support Client HSBCnet :

Du lundi au vendredi de 8h00 à 18h00

Ou le +48 123 993 981 depuis l’étranger

Pour reporter une fraude, contactez votre agence ou le Centre de Relations Clients.

Du lundi au vendredi de 8h30 à 18h00

Ou le +33 (0)1 55 69 74 53 depuis l’étranger