Près d'un demi-million d'euros escroqués avec le faux site de la BIL

Au Luxembourg, des criminels ont utilisé de manière professionnelle de faux sites bancaires pour escroquer des clients de la Banque Internationale à Luxembourg (BIL). Les victimes ont déclaré avoir subi des pertes financières considérables, comprises entre 6.500 et 9.900 euros, suite à des virements sur des comptes étrangers. Les malfaiteurs ont utilisé une copie du site web de la BIL. De nombreuses personnes concernées ont ainsi saisi plusieurs fois leurs données en raison d’un prétendu message d’erreur, terminant à leur insu l’authentification à deux facteurs. La police parle d’une vingtaine de plaintes à l’heure actuelle.

Lire aussi :Faux site internet de la BIL: existe-t-il des directives pour les indemnisations?

Les victimes critiquent le manque d’engagement de la banque. Alice Pauly, l’une des victimes de cette escroquerie, se sent «littéralement abandonnée». Elle a perdu 6.500 euros et s’est regroupée avec d’autres clients de la BIL qui ont subi des dommages à cause du faux site. «Il y a maintenant 45 personnes dans le groupe», a déclaré Alice Pauly au Luxemburger Wort. Et le préjudice calculé de ces personnes s’élève à 481.070 euros.

Les personnes escroquées ne sont souvent pas remboursées

Selon l’Autorité bancaire européenne (ABE), c’est justement dans le cas de virements frauduleux de ce type que les clients restent particulièrement souvent sur le carreau. Pour les clients de la BIL, les perspectives ne sont donc pas encourageantes.

La question qui se pose est la suivante: la banque a-t-elle averti à temps ses clients de ce faux site web? Début juillet, la banque a publié sur son site web un message conseillant de ne pas utiliser le moteur de recherche Google pour accéder à la banque en ligne BILnet, mais de saisir soi-même l’adresse web de la banque dans le navigateur. Cela suffit-il comme avertissement?

Lire aussi :Une escroquerie bien rodée touche les entreprises luxembourgeoises

En général, dans le cas du «phishing», le vol des données, le point de vue des banques est le suivant: les clients ont fait preuve d’une «négligence grave» en transmettant leurs données de connexion et leur code PIN. Mais est-ce vraiment une «négligence grave» que d’entrer ses données sur un site web BIL à l’apparence étonnamment authentique parce que l’on veut se connecter à son compte? Et si les clients ne se sont tout simplement pas rendu compte que le site était faux? Et qu’ils pensaient juste qu’il y avait un problème technique qui les empêchait de se connecter?

Toutefois, les victimes ont alors commis l’erreur de confirmer par inadvertance le virement des criminels qui ont accédé à leurs comptes grâce aux données obtenues, comme l’explique également la police.

En ce qui concerne le cas présent, «malgré la sophistication du procédé, nous trouvons un certain nombre de similitudes avec d’autres cas d’escroquerie sur lesquels la police, les banques, la presse, l’ABBL et la CSSF ont attiré l’attention ces dernières années», confirme l’association bancaire ABBL.

De telles tentatives d’escroquerie via de faux sites web ont souvent lieu le week-end ou en dehors des heures d’ouverture de la banque. «La vérification de l’URL aurait probablement aidé les victimes à reconnaître la fraude», explique l’ABBL au Luxemburger Wort. De même, les victimes auraient été placées dans des situations de stress par le biais de «crashs» du site web et auraient été (en partie) appelées à révéler leurs données d’accès LuxTrust. «Aucune banque ni aucune autorité ne ferait cela», affirme l’ABBL.

Dans ce cas particulier, il aurait été plus judicieux de se connecter via l’application de mobile banking de la banque ou d’entrer l’URL de la banque directement dans le navigateur, plutôt que d’utiliser un moteur de recherche ou une prétendue annonce publicitaire de la BIL.

Une procédure raffinée

Certaines victimes rapportent toutefois qu’elles n’ont saisi leur code PIN nulle part et qu’elles n’ont pas confirmé de virements bancaires. Les experts contestent cette possibilité. Un virement n’est effectué que s’il est confirmé par un deuxième facteur.

Il existerait toutefois des cas où des malfaiteurs se sont autorisés à utiliser un deuxième téléphone portable et un deuxième numéro de téléphone correspondant auprès de la banque afin d’obtenir l’accès au compte.

C’est à la banque qu’il incombe de prouver que les clients ont fait preuve d’une négligence grave en divulguant leurs données. © PHOTO: Guy Jallay

Un litige de ce type existe actuellement en Allemagne, où les auteurs ont probablement demandé de nouvelles données d’accès à la banque par courrier et ont apparemment intercepté les lettres de la banque chez le propriétaire du compte. Ils ont ainsi modifié les limites de virement et transféré de l’argent à Malte. De tels cas ne sont pas encore connus au Luxembourg, à moins que l’enquête sur les cas de fraude à la BIL ne révèle autre chose. «Jusqu’à présent, aucun cas de ce genre ne nous a été signalé», explique-t-on à l’ABBL, l’association des banques.

En cas d’action en justice, c’est en principe à la banque de prouver qu’un client a fait preuve de négligence grave. Toutefois, c’est aux juges d’apprécier la situation.

La sécurité doit être renforcée

Les banques devront à l’avenir comparer le numéro de compte mentionné (IBAN) avec le nom du destinataire indiqué lors des virements et communiquer des avertissements en cas d’incohérence. Dans ce cas, «l’utilisateur est libre de confirmer le virement, mais il assume alors l’entière responsabilité en cas d’erreur», explique l’ABBL.

Lire aussi :Le permis de conduire et la carte d’identité seront-ils uniquement numériques?

A partir de 2026, les Etats européens devront en outre mettre à disposition le EUDI-Wallet, une sorte de carte d’identité numérique. L’application gouvernementale pour smartphone ou autres appareils permet de s’identifier numériquement, par exemple pour les démarches administratives, les contrats ou même les opérations bancaires en ligne. Cela protège les données contre les abus et le tracking et rend le hameçonnage plus difficile, car il n’est pas nécessaire de taper des mots de passe ou des codes PIN qui pourraient être interceptés.

Les e-mails de hameçonnage ou les sites web falsifiés ne peuvent pas déclencher une authentification valable du portefeuille, car celle-ci s’effectue directement et de manière protégée sur le terminal de l’utilisateur, et non via des liens web manipulés ou des numéros de transaction (TAN) transmis. Fin 2027, toutes les grandes plates-formes, y compris les banques, devront accepter le portefeuille EUDI comme moyen d’identification officiel.

La fraude au prélèvement IBAN est rare au Luxembourg – pour l’instant

Un «phénomène marginal», selon l’ABBL, est la fraude au prélèvement automatique au Luxembourg. Ici, les fraudeurs fabriquent de faux mandats de prélèvement à l’aide des comptes IBAN de leurs victimes. Sur la base de ce mandat falsifié, ils envoient ensuite une demande de virement à la banque pour prélever de l’argent. Les criminels profitent de l’absence de contrôle du prélèvement SEPA à des fins frauduleuses.

Si l’infraction est commise, les banques ont l’obligation de déclarer les transactions suspectes à la cellule de renseignement financier (CRF), car la fraude est une infraction préalable au blanchiment d’argent.

Les prélèvements SEPA peuvent être récupérés dans un délai de huit semaines. © PHOTO: Shutterstock

L’avantage de la méthode de paiement par prélèvement automatique est qu’il est possible de récupérer son argent. Les prélèvements SEPA peuvent être récupérés dans un délai de huit semaines. En cas de prélèvements frauduleux, le délai est même de 13 mois. Il est également possible de bloquer un prélèvement au moyen de certaines applications bancaires.

Contrôler soi-même les transactions

Les banques et les associations de protection des consommateurs conseillent donc aux titulaires de comptes de contrôler régulièrement leurs transactions afin de ne pas remarquer trop tard, voire pas du tout, les prélèvements illégaux sur leur compte.

Pour se protéger contre la fraude, il convient de tenir compte des points suivants:

Ne pas effectuer d’opérations sensibles telles que les opérations bancaires en ligne via un réseau WLAN public.

Les sites web de banque en ligne sont toujours cryptés, dans le navigateur, un symbole de cadenas précède donc l’adresse web (URL) et l’URL commence par «https://».

Mais le mieux est d’utiliser l’application ou d’enregistrer le site web pour la banque en ligne et de ne pas le chercher via un moteur de recherche.

Se demander si l’on a reçu le message de confirmation d’un virement et si le montant et le destinataire sont bien corrects.

Les banques ne demandent jamais de données d’accès ou de code PIN par e-mail, par téléphone ou par SMS, même pour des «mises à jour» ou autres.

Si vous remarquez quelque chose de suspect, appelez immédiatement le 49 10 10, disponible 24 heures sur 24 et 7 jours sur 7: vous pourrez alors bloquer LuxTrust et éviter ainsi que de l’argent ne soit débité.

L’ABBL attire l’attention sur le site cyberfraud.lu qu’elle a lancé en mai avec d’autres partenaires dans le cadre de la campagne nationale de prévention «Clique pas. Vérifie. Signale».

Cet article a été publié initialement sur le site du Luxemburger Wort.

Il a été traduit à l’aide d’outils d’intelligence artificielle qui apprennent à partir de données issues de traductions humaines, puis vérifié par Simon Martin.

Près d’un demi-million d’euros escroqués avec le faux site de la BIL

Tags: