Les propriétaires de smartphones voient fleurir des messages bancaires trompeurs qui ressemblent à s’y méprendre à de vraies alertes. Souvent envoyés par SMS ou via des notifications push, ils exploitent la peur et l’urgence pour pousser à cliquer. En quelques secondes, des identifiants sont dérobés et des virements frauduleux sont lancés. « C’est une arnaque industrielle qui vise le plus grand nombre », souffle un cyberenquêteur.
Comment fonctionne l’arnaque ?
Le scénario est rodé: vous recevez un message parlant d’une opération suspecte, avec un lien soi-disant vers votre banque. La page de destination imite parfaitement l’interface officielle, logos et parcours de connexion inclus.
Après saisi de vos identifiants, le site demande parfois le code OTP reçu par SMS pour “vérifier” votre identité. C’est là que tout bascule: ce code permet de valider une action en vrai, sur votre compte réel.
Parfois, une fausse hotline appelle juste après pour “sécuriser” la situation. « Ne raccrochez pas, nous allons bloquer la fraude », dit une voix confiante, pendant que des transferts sont confirmés en arrière-plan.
Les escrocs utilisent des adresses web à peine modifiées, des caractères homographes et des sous-domaines trompeurs. Sur petit écran, la différence est quasi invisible.
Les signes qui doivent alerter
- Un ton d’urgence excessif ou une menace de blocage immédiat
- Un lien raccourci ou un domaine qui n’est pas celui de votre banque
- Une demande de communiquer un code SMS, un code 3D Secure ou des infos de carte
- Des fautes d’orthographe, une mise en page bancale ou des logos flous
- Un numéro d’envoi inconnu ou un message inséré dans un fil existant
- Une redirection vers une page qui n’utilise pas votre application bancaire habituelle
Pourquoi ça marche si bien
L’attaque vise le cerveau en mode stress: urgence, peur, autorité. Sur mobile, on lit vite, on scrolle, on valide sans vraiment vérifier. « Un clic pressé coûte très cher », rappelle une experte en cybersécurité.
Les fraudeurs maîtrisent les codes du design, copient les messages officiels et profitent de la complaisance des notifications. Autofill, petits écrans, multitâche: tout favorise la précipitation.
Certains mêlent SMS, appels et e-mails pour créer un effet de réalisme. On parle de “smishing” pour le SMS, de “vishing” pour l’appel, et de “phishing” pour le mélange. L’objectif reste le même: voler l’accès temporaire qui permet d’exécuter une opération.
Que faire si vous avez cliqué ?
Coupez la connexion et fermez le navigateur immédiatement. Ouvrez votre application bancaire officielle (pas le lien reçu) et vérifiez les mouvements. Si quelque chose cloche, faites opposition ou geler la carte depuis l’appli, puis appelez le numéro officiel de votre banque.
Changez vos mots de passe liés à la banque et à votre messagerie, puis révoquez les sessions actives. Sur Android, vérifiez qu’aucune appli inconnue n’a été installée; sur iOS, contrôlez les profils et partages d’accès.
Signalez le message au 33700 pour les SMS frauduleux et déclarez l’incident sur cybermalveillance.gouv.fr pour être guidé. Déposez plainte au commissariat ou à la gendarmerie, et contestez les opérations auprès de votre établissement sans délai.
Gardez des captures d’écran du message, de l’URL et de la page usurpée. Plus vous agissez vite, plus les chances de récupération sont élevées.
Comment se prémunir durablement
Tapez toujours l’URL de la banque vous-même, ou utilisez l’application officielle. Activez les notifications d’opérations et gardez la fonction de gel de carte à portée. Un gestionnaire de mots de passe aide à détecter les faux sites en refusant l’autoremplissage.
Privilégiez une double authentification via application plutôt que par SMS quand c’est possible. Mettez à jour le système et le navigateur, qui bloquent de plus en plus de pièges. Désactivez l’aperçu des SMS sur l’écran de verrouillage pour réduire les risques de clic précipité.
Vérifiez les domaines: .fr ou .com n’est pas un gage de légitimité, seul le domaine exact de votre banque compte. Méfiez-vous des numéros “spoofés” qui imitent la ligne officielle.
Ce que disent les banques
Les établissements rappellent qu’ils ne demandent jamais de code reçu par SMS, ni d’authentifier une opération via un lien cliquable. « Si vous avez un doute, contactez-nous via l’appli ou le numéro au dos de votre carte », répètent les services de sécurité.
Beaucoup poussent désormais la validation dans l’appli, avec des libellés d’opération très clairs. Si le message vous renvoie ailleurs qu’à l’application officielle, considérez-le comme suspect.
Un cran plus loin: les arnaques vocales
Les fraudeurs combinent parfois SMS et appels avec des voix synthétiques convaincantes. La règle d’or reste simple: raccrochez, puis rappelez via un numéro officiel que vous avez cherché vous-même. Aucun agent sérieux ne vous pressera de lire un code à voix haute.
Au final, une vigilance méthodique bat l’urgence fabriquée. Un pas de côté, un appel vérifié, et l’arnaque perd tout son pouvoir.
