Phishing, spoofing, faux conseiller bancaire, faux coursier, découvrez ces différents types de fraude dans cet article et les réflexes à adopter pour vous en prémunir.
Tout d’abord, que ce soit par e-mail, SMS ou téléphone, Qonto ne sollicitera jamais vos informations confidentielles telles que :
votre mot de passe,
vos identifiants de connexion,
votre numéro de carte de paiement.
Nous ne vous demanderons jamais d’effectuer un virement pour sécuriser vos fonds. Si un tiers vous demande d’approuver un virement par Authentification Forte pour annuler une opération frauduleuse, il s’agit d’une arnaque : cette méthode ne vise qu’à approuver des opérations sortantes. De même, nous ne vous demanderons jamais de remettre votre carte de paiement à un tiers, comme un coursier, pour ‘sécuriser’ votre compte Qonto.
Qonto vous contacte (et vous contactera) exclusivement sur l'adresse e-mail que vous utilisez pour vous connecter à votre compte, jamais sur votre adresse e-mail personnelle. Au moindre doute, privilégiez le chat depuis l’application Qonto.
Un fraudeur peut-il m’appeler avec un numéro de téléphone identique à celui de Qonto ?
Oui, c’est possible. Un fraudeur peut modifier son identifiant téléphonique pour que Qonto apparaisse sur le téléphone de sa victime au moment de l’appel. C’est ce que l’on appelle le spoofing.
Il ne s'agit pas d'une intrusion dans votre ligne téléphonique, mais d'une usurpation de numéro d'appel. Il en va de même pour les e-mails.
Quelle est cette méthode?
Quelle est cette méthode?
Le spoofing est une technique de fraude par laquelle un fraudeur modifie ses identifiants pour se faire passer pour une institution légitime.
Le spoofing est utilisé dans les tentatives de fraude par ingénierie sociale, notamment les cas d’arnaque au faux conseiller bancaire. Dans le cas de Qonto, le fraudeur se fait passer pour un de nos agents auprès d’un client.
En affichant notre numéro de téléphone au moment de l’appel, il a ainsi plus de chances de gagner la confiance de la victime et de l’amener à réaliser une opération frauduleuse, lui permettant de soutirer de l’argent ou de prendre le contrôle du compte Qonto.
Comment savoir si la personne au téléphone est un véritable conseiller Qonto ?
Aucun employé Qonto ne vous demandera d’informations confidentielles ou de réaliser des opérations. Si cela se produit ou au moindre doute, raccrochez et contactez-nous directement sur le chat depuis votre compte.
L’arnaque au faux conseiller bancaire est une technique d’ingénierie sociale (ou social engineering). Cette méthode consiste à manipuler un client pour gagner sa confiance, obtenir des informations confidentielles ou l’amener à réaliser des opérations frauduleuses.
Dans le cas de Qonto, le fraudeur contacte le client, le plus souvent par téléphone, en se faisant passer pour un agent Qonto. Il tente alors de lui soutirer de l’argent ou de prendre le contrôle du compte de sa cible.
Cette méthode repose sur trois piliers :
l’usurpation de l’identité d’une institution légitime
la création d’un sentiment d’urgence
l’instauration d’une relation de confiance avec la victime.
Quels sont ces 3 piliers en détails ?
Quels sont ces 3 piliers en détails ?
Usurper l’identité d’une institution légitime
Le fraudeur se présente à vous comme étant un employé de Qonto. Son discours est affûté et professionnel. Il emprunte au vocabulaire des vrais conseillers bancaires et imite des protocoles semblant légitimes.
Il peut également modifier son identifiant téléphonique pour que ‘Qonto’ apparaisse sur le téléphone de sa victime au moment de l’appel (spoofing). Il ne s'agit pas d'une intrusion dans votre ligne téléphonique, mais d'une usurpation du numéro d'appel. Il en va de même pour les e-mails.
Créer un sentiment d’urgence
Le fraudeur cherche immédiatement à instaurer un sentiment d’urgence chez la victime afin de réduire au maximum les questions sur sa légitimité.
Il peut prétendre avoir identifié des transactions frauduleuses sur votre compte et vous demander d’effectuer certaines opérations pour “sécuriser” votre compte.
Il insiste sur la nécessité d’agir rapidement, même si cela implique de contourner des règles de sécurité élémentaires. Il peut également vous demander de rester discret et de ne pas divulguer vos échanges avec lui.
Gagner votre confiance
Le fraudeur cherche à tout prix à gagner la confiance de la victime pour l’amener à réaliser les actions qu’il souhaite.
Pour cela, il s’appuie sur des informations que vous considérez comme confidentielles et uniques. En réalité, la plupart de ces informations sont facilement accessibles :
Vos informations personnelles (nom, prénom et numéro de téléphone) peuvent être collectées sur les réseaux sociaux ;
Les six premiers chiffres de votre carte bancaire sont communs à toutes les cartes ;
Vous avez peut-être partagé votre IBAN avec un prestataire et celui-ci a pu être victime d’une fuite de données ;
Il est très probable de retrouver certains marchands très populaires tels qu’Amazon, Fnac ou eBay parmi les dernières transactions que vous avez effectuées.
💡 Il est également possible que le fraudeur ait d’abord obtenu vos informations sensibles par phishing.
Quelles sont les demandes habituelles des fraudeurs dans ce cas ?
Quelles sont les demandes habituelles des fraudeurs dans ce cas ?
L’Authentification Forte étant désormais obligatoire pour les comptes Qonto, le faux conseiller bancaire a besoin que le client réalise ou approuve certaines opérations lui-même.
Le fraudeur peut ainsi vous demander de :
Modifier votre mot de passe, soit à l’aide d’un mot de passe temporaire qu’il vous a communiqué, soit en vous demandant de lui partager le nouveau mot de passe ;
Modifier le numéro de téléphone lié à votre compte ;
Autoriser de nouvelles connexions à votre compte par Authentification Forte ;
Ajouter un nouveau membre ou administrateur à votre compte ;
Approuver de nouveaux bénéficiaires, des transactions par carte, et/ou des virements par une authentification forte.
Cette liste n’est pas exhaustive.
En réalisant ces actions et en les approuvant par Authentification Forte, vous participez involontairement à la fraude et vous permettez au fraudeur de vider votre compte ou d'en prendre le contrôle.
💡 Ces derniers temps, l’arnaque au faux conseiller bancaire s’accompagne de plus en plus d’une arnaque au faux coursier. Après avoir averti le client d’une prétendue tentative de fraude sur son compte, le fraudeur informe sa victime qu’un coursier va être dépêché pour récupérer la carte de paiement afin de la remplacer et de sécuriser le compte.
Qonto ne vous demandera jamais de remettre votre carte de paiement à un tiers.
Cet e-mail semble provenir de Qonto, comment m’en assurer ?
Le phishing, ou hameçonnage, consiste à envoyer des emails trompeurs dans lesquels le fraudeur se fait passer pour Qonto. Dans d’autres cas, il passe par des SMS, on parle alors de smishing.
Le fraudeur cherche à obtenir des informations personnelles sur la victime, soit pour se faire passer pour elle, soit pour l'inciter à effectuer des actions spécifiques telles que partager des mots de passe ou effectuer des paiements frauduleux.
Quelle est cette méthode ?
Quelle est cette méthode ?
Un exemple courant est l’envoi d’un message contenant un lien vers un logiciel malveillant, conçu pour collecter des données sensibles une fois installé sur l'appareil de la victime.
Le fraudeur peut aussi inciter la victime à accéder à son compte bancaire ou à réaliser une transaction en ligne en imitant un site de confiance. Le lien redirige en réalité vers un site frauduleux qui collecte les informations personnelles (telles que le numéro de compte bancaire, les détails de carte de crédit, les codes de sécurité, etc.) et permet au fraudeur de les utiliser pour voler de l'argent.
Par la suite, les données obtenues peuvent être utilisées dans des activités de fraude par ingénierie sociale, renforçant ainsi la crédibilité de l'attaque pour prendre le contrôle du compte de la victime ou l’inciter à valider des opérations bancaires.
Comment m’en prémunir ?
Comment m’en prémunir ?
Voici quelques bonnes pratiques à suivre pour protéger votre compte Qonto du phishing:
Accès direct à votre compte Enregistrer le site “app.qonto.com” dans votre liste de favoris. Nous vous invitons à utiliser ce raccourci pour accéder à l’application Qonto. Cela vous évite de cliquer sur un éventuel lien inclus dans un e-mail frauduleux.
Télécharger l’application officielle Qonto disponible sur mobile à partir du store.
Gestionnaire de mot de passe Utiliser cet outil pour stocker votre mot de passe Qonto. Le gestionnaire de mot de passe détecte les sites de phishing et vous proposera uniquement le pré-remplissage de vos identifiants sur le véritable site Qonto.
Lien suspect dans un e-mail Si un lien vous invite à visualiser une transaction ou à réaliser une opération sensible par exemple, ne pas cliquer dessus et se connecter à votre application Qonto indépendamment sur ordinateur ou téléphone. Cela vous permettra de contrôler davantage le processus d'authentification.
En cas de doute, utiliser le chat à partir de votre compte Qonto pour sécuriser les échanges.
Informations bancaires pré-enregistrées Eviter d’enregistrer ses identifiants et informations de paiement en ligne. Autrement, ne le faire que sur des sites dignes de confiance et sécurisés (mention du cadenas à gauche de l’URL, connexion en https).
Que faire si une personne a usurpé mon identité pour ouvrir un compte Qonto ?
Nous pratiquons des contrôles très stricts lors de la création d’un nouveau compte, en respect des législations en vigueur.
Cependant, si vous soupçonnez qu'un tiers ait ouvert un compte Qonto en votre nom ou au nom de votre société, suivez ces étapes :
Déposez rapidement une plainte auprès des autorités compétentes afin de pouvoir nous fournir le procès-verbal lors de notre échange ;
Préparez une copie de votre pièce d'identité ainsi qu'un Kbis de moins de 3 mois pour votre société ;
Transmettez-nous ces documents par e-mail ou via le chat pour que nous puissions prendre les mesures appropriées.