Particuliers

Tout savoir sur le phishing pour mieux s'en prémunir

Une personne se présentant comme un conseiller ou un membre du service fraude de votre banque vous appelle et vous demande les identifiant et mot de passe de votre espace client, les coordonnées de votre carte bancaire, un numéro de carte de clés personnelle ou votre code de confirmation mobile ? C'est que ce n'est pas lui, raccrochez !

phishing

1 - L'objectif du fraudeur : récupérer vos données personnelles de sécurité

Voici la technique de phishing actuellement la plus répandue : vous avez fait l'objet, sans vous en rendre compte, d'un phishing qui a permis à un fraudeur d'obtenir les données de votre carte bancaire (numéro de carte, date de validité, cryptogramme visuel). Le fraudeur effectue donc un achat sur internet en saisissant ces informations.

Suite à cet achat, et conformément aux mesures sécuritaires mises en place par votre banque pour sécuriser ces opérations, vous recevez, sur votre téléphone, un code de confirmation par SMS, étape qui sert à s'assurer que vous êtes bien à l'origine de la transaction.

A ce moment, le fraudeur vous appelle sur votre téléphone en se faisant passer pour votre conseiller bancaire ou le service fraude de votre banque.

Sous prétexte d'avoir détecté une transaction suspecte, il vous demande si vous êtes à l'origine de l'achat (non, bien-sûr). Il vous indique que pour rejeter l'opération, vous devez lui transmettre le code de confirmation que vous venez de recevoir par SMS. En réalité, en communiquant ce code, vous validez l'achat effectué par le fraudeur.

Autre technique utilisée par les fraudeurs, l'envoi de faux emails d'organismes officiels ou d'entreprises. Certains emails frauduleux sont très facilement décelables : logo flou, message truffé de fautes d'orthographes promettant un remboursement tombé du ciel ou des gains substantiels suite à une opération bancaire que l'on vous demande d'accomplir, adresse mail d'expéditeur douteuse. D'autres emails sont difficilement identifiables au premier regard et méritent davantage de précautions.

Notre adage : Un doute ? Pas de doute !

Il est utopiste de croire que votre fournisseur d'eau ou de gaz, Ameli, les impôts ou votre caisse d'allocations familiales vous doivent une somme d'argent et qu'il vous suffit de remplir un formulaire pour les recevoir dès demain ! S'il se peut que ces organismes vous soient redevables, ils ne vous demanderont jamais de remplir un formulaire contenant des données bancaires ou personnelles strictement confidentielles puisqu'ils vous connaissent. Si ces organismes ou entreprises doivent vous rembourser, vous en serez simplement informé, puis percevrez l'argent sur votre compte.

Au moindre doute, n'hésitez pas à contacter l'organisme ou l'entreprise en question par le numéro de téléphone ou l'email officiels que vous trouverez sur vos courriers et autres documents.

Exemples d'email frauduleux envoyé à des clients de différentes enseignes bancaires
Exemple d'email frauduleux envoyé actuellement à des clients de différentes enseignes bancaires

Nous vous rappelons que dans ses communications, le Crédit Mutuel ne vous demandera jamais par e-mail ou téléphone, votre identifiant, mot de passe, codes de votre carte de clés personnelles ou code personnel de confirmation mobile.

Les bons réflexes pour se prémunir contre le phishing

  • Ne communiquez jamais vos données personnelles de sécurité : votre banque ne vous demandera jamais de lui communiquer votre identifiant et votre mot de passe de Banque à Distance, vos numéros de carte de clés personnelles, vos données confidentielles de carte bancaire (numéro, date de validité et/ou cryptogramme de sécurité) ou un code de confirmation reçu par SMS.
  • Méfiez-vous des emails « alléchants » : ignorez les emails suspects, ne cliquez pas sur les liens qu'ils contiennent et enregistrez-les en courriers indésirables. Contribuer à la lutte contre la fraude en transférant le mail d'origine à cette adresse : phishing@creditmutuel.fr
  • Validez systématiquement l'origine des mails reçus sur votre boîte en vérifiant l'adresse email de l'expéditeur.
  • Protégez-vous des faux sites en tapant systématiquement l'adresse cmne.fr dans la barre d'adresse avec HTTPS plutôt que de cliquer sur un lien ou de taper uniquement CREDIT MUTUEL dans le moteur de recherche.

Astuces pour détecter un faux site :

  • Parfois, certaines fautes d'orthographe ont été laissées. Parfois, une mauvaise traduction par des fraudeurs étrangers donne des tournures de phrase bizarre.
  • Si les codes secrets de votre accès à vos comptes sont demandés : faites un premier test en saisissant de faux codes (sur notre vrai site, vous avez droit à 3 essais). S'il n'y a pas de message d'erreur en réponse, cela signifie qu'il s'agit d'un site frauduleux.
  • L'imitation de site laisse parfois apparaître les différentes rubriques du vrai site, mais lorsque vous essayez d'entrer dans l'une d'entre elles, il n'y a rien derrière. Vous pouvez découvrir ainsi qu'il s'agit d'un simple « décor ».
  • Protégez votre carte bancaire : ne communiquez jamais votre numéro de carte bancaire si on vous le demande par téléphone et ne perdez pas votre carte de vue quand vous la laissez à un commerçant lors du règlement.
  • Choisir un mot de passe fort avec des lettres, des chiffres et des majuscules.
  • Protégez votre boîte mail et votre ordinateur avec un anti-virus, un pare-feu et un logiciel anti-espion.
  • Consulter régulièrement notre guide de sécurité sur cmne.fr.
  • Pour limiter les risques, activez gratuitement le service Confirmation mobile sur votre Smartphone : ce service vous permet de recevoir des notifications vous indiquant de saisir le code de confirmation unique que vous aurez créé au préalable. Et ainsi, plus d'envoi de sms.

L'authentification forte pour sécuriser l'accès à vos comptes bancaires et vos paiements sur internet

Il y a un an, en application de la Directive sur les services de paiement (« DSP2 »), les banques européennes ont mis en place un système d'authentification forte afin de renforcer la sécurité de l'accès des clients à leurs comptes bancaires en ligne ou le paiement de leurs achats sur internet via un moyen complémentaire d'authentification.

Ainsi, suite à une connexion sur votre espace client à distance ou au paiement d'un achat sur internet, vous avez sans doute déjà reçues une notification sur votre appareil mobile afin de confirmer que vous êtes bien à l'origine de l'opération par la saisie d'un code confidentiel depuis votre application Crédit Mutuel :

Exemple d'email frauduleux envoyé actuellement à des clients de différentes enseignes bancaires

Il suffit de toucher cette notification et de balayer l'écran pour ouvrir Confirmation Mobile (code confidentiel à renseigner pour valider la connexion ou l'opération en cours).

Si vous n'avez pas encore activé le service Confirmation mobile, vous recevez un code à usage unique par SMS sur votre numéro de téléphone mobile :

Exemple d'email frauduleux envoyé actuellement à des clients de différentes enseignes bancaires