Des criminels ont piégé des clients de la BIL

Soyez honnête: connaissez-vous l’URL sécurisée de chaque site Internet que vous visitez? Ou cherchez-vous souvent, comme la plupart des gens, des pages à partir d’un mot-clé via un moteur de recherche?

La consultation via des moteurs de recherche comme Google est certes rapide et pardonne bien des fautes de frappe, mais elle permet aussi aux criminels de profiter très facilement de cette négligence.

Lire aussi :5.000 victimes dans le monde: un réseau de fraude aux crypto-investissements démantelé

Début juillet 2025, plus précisément le premier week-end entre le 4 et le 7, quelques personnes qui ont contacté le Luxemburger Wort ont été victimes d’un faux site bancaire de la Banque Internationale à Luxembourg (BIL).

De tels faux sites bancaires ont une apparence presque identique à celle des sites originaux, disposent souvent de fenêtres pop-up invitant la victime à saisir ses données bancaires (remarque: les vraies banques n’utilisent pas de fenêtres pop-up).

Virements sur des comptes français

Les victimes ne remarquent ainsi pas de différence au départ lorsqu’elles accèdent à la page. La structure et le design de la page d’origine ont été copiés presque parfaitement et même la zone de connexion à la banque en ligne semblait adaptée et trompeuse dans le cas évoqué.

Mais si l’on y saisissait ses données d’accès, un message d’erreur apparaissait, mais les premières données personnelles étaient déjà entre les mains des criminels.

Lire aussi :Des millions de pertes dues à la fraude à la carte au Luxembourg

Une situation dont a profité ‘’Ange Vianney Mobio’’ (nom fictif, NDLR). Sur son compte français, 6.500 euros ont été versés le 6 juillet 2025 par la Luxembourgeoise Alice Pauly. Cette dernière ne sait pas exactement comment cela s’est produit. «J’ai voulu regarder mon compte et j’ai remarqué que la connexion prenait un peu plus de temps», explique-t-elle dans un entretien au Luxemburger Wort. Au début, elle ne s’en inquiétait pas sérieusement, en raison de la connexion Internet, cela avait déjà été possible.

Sur ce compte, 6.500 euros ont été escroqués.  © PHOTO: DR

Mais lorsqu’elle a constaté que 6.500 euros avaient été virés sur le compte français de l’homme en question, «je me suis immédiatement déconnectée» pour éviter toute autre action. Comme le 6 juillet était un dimanche, Alice Pauly a immédiatement contacté la police, qui a mis en place une procédure supplémentaire, notamment en contactant Cetrel. «Le dimanche, il n’était pas possible de contacter ma banque», dit Alice Pauly, frustrée.

«La banque n’était pas surprise»

Lorsqu’elle a informé le lendemain sa filiale BIL à Ettelbruck de l’incident, «ils n’ont pas été très surpris», poursuit Alice Pauly. Le faux site est très bien fait. La victime n’avait aucune chance de récupérer son argent. La banque a certes dressé un procès-verbal, mais c’est tout. «J’ai été littéralement abandonnée par la banque», dit-elle. On a considéré cela comme une banalité.

Une femme d’Oberkorn a subi le même sort, elle s’est même fait voler 8.800 euros le 7 juillet à 10h32. «Nous faisons des virements une fois par semaine», raconte Mme Mondo. Lorsqu’elle a voulu se connecter, elle a remarqué que cela prenait plus de temps. «Je me suis alors immédiatement déconnectée». Mais sans doute trop tard, elle s’est aperçue du montant manquant peu après, selon son propre récit. «Ce qui m’énerve particulièrement, c’est le fait que la banque s’est manifestée lorsque nous voulions acheter quelque chose avec la carte en vacances en Australie. Mais ici, lors du prélèvement d’une telle somme à l’étranger, aucune réponse ne nous a été donnée», explique-t-elle.

Lire aussi :La police met en garde contre les fausses pages de banque en ligne

Elle a décrit comme très utile l’intervention de la police et l’introduction prudente des premières démarches par la fonctionnaire sur place. Elle est toutefois très déçue de l’action de sa banque. «Il n’y a pas eu grand-chose», si ce n’est: «Vous avez fait une erreur!» Au cours des trois semaines qui ont suivi l’incident frauduleux, la BIL n’a donné aucune réponse, à part une lettre impersonnelle.

Marianne Winkler a également été victime en mai 2025: 8.800 euros ont été prélevés sur son compte. «Jusqu’à cette date, le 19 mai, je n’avais fait qu’un seul virement en ligne via LuxTrust», explique-t-elle. Les frais étant devenus trop élevés pour les impressions via la banque, elle s’est rabattue sur l’utilisation en ligne et Touch ID.

Pas de hotline le soir et le week-end

«C’est ainsi que je me suis également connectée par empreinte digitale le jour en question et que j’ai vu 8.800 euros sortir de mon compte». Le statut du virement était en cours de saisie, comme le décrit la victime. La hotline de l’Association des banques (ABBL) et Luxtrust ont été immédiatement appelées pour bloquer l’accès au compte. Tout cela s’est passé en 15 à 20 minutes.

Elle n’a rien pu faire d’autre ad hoc, car la banque «n’a pas de hotline à contacter le soir comme le week-end», reproche-t-elle à la BIL. Ce n’est que le lendemain matin qu’elle a pu se rendre à la succursale de Dudelange, alors que le virement venait de sortir de la maison.

Lire aussi :Des failles constatées dans les transferts de fonds de la Spuerkeess

«On aurait certainement pu faire quelque chose plus tôt», dit Marianne Winkler, qui est fâchée d’une lettre que lui a envoyée la BIL et dans laquelle on lui fait porter la «responsabilité» du prélèvement. Après tout, elle a utilisé ses données de connexion. «Mais ensuite, on dit dans la foulée qu’avec tout le nombre de virements, on n’aurait pas le temps de les vérifier un par un», explique Marianne Winkler, qui dénonce ainsi la manière de procéder de la banque.

LuxTrust en appelle à la vigilance des utilisateurs

L’autorité de certification LuxTrust a également été interpellée au sujet du faux site bancaire. Comme LuxTrust l’a indiqué au Luxemburger Wort, elle n’a pas d’aperçu du nombre exact de clients concernés par les récentes attaques de phishing contre des banques. Il serait également difficile, d’une manière générale, de chiffrer avec précision l’ampleur du phishing, étant donné que ce phénomène ne cesse d’augmenter et que les tentatives sont de plus en plus sophistiquées.

Lire aussi :La police recherche trois hommes impliqués dans une affaire d’escroquerie Luxtrust

«Heureusement, la plupart des attaques échouent, raison pour laquelle elles ne sont pas toujours comptabilisées dans les statistiques officielles», précise LuxTrust. Par ailleurs, toutes les victimes ne signaleraient pas systématiquement l’incident aux autorités ou ne contacteraient pas directement LuxTrust. Cependant, le consultant informatique recommande en principe de porter plainte auprès des autorités en cas d‘attaque de phishing.

Dans ce contexte, «la vigilance des utilisateurs est primordiale. Les victimes se feraient souvent avoir par des messages ou des sites frauduleux imitant des entreprises légitimes». En fournissant ou en entrant leurs informations secrètes (noms d’utilisateur, mots de passe, etc.) sur ces sites, ils permettraient aux fraudeurs d’utiliser ces données pour effectuer des prélèvements.

Il est donc indispensable, selon lui, que les utilisateurs ne transmettent jamais leurs informations confidentielles telles que mots de passe, des codes à usage unique… «Ces éléments garantissent un accès sécurisé à leurs comptes bancaires et à leurs opérations administratives et ne doivent en aucun cas être communiqués à d’autres personnes ou entités, que ce soit oralement ou par tout autre moyen».

Pas de cas isolés

Au total, 20 plaintes, portant chacune sur un préjudice d’escroquerie compris entre 6.500 et 9.900 euros, ont été signalées à la police luxembourgeoise, indique Tim Pauly au Luxemburger Wort. L’officier du Service national de prévention de la criminalité (SNPC) tente d’expliquer le mode opératoire des criminels dans ce cas marquant: «En règle générale, les victimes arrivaient sur un faux site bancaire en utilisant un moteur de recherche et accédaient ensuite au faux site via le lien affiché».

Tim Pauly, du Service national de prévention de la criminalité (SNPC).  © PHOTO: Anouk Antony

Dans ce cas, il est souvent arrivé qu’un message d’erreur apparaisse après la première saisie des données. Les victimes auraient alors fait une deuxième tentative et auraient probablement effectué avec cette deuxième saisie la vérification en deux étapes (authentification à deux facteurs) nécessaire pour effectuer un virement.

La BIL le confirme également. Interrogée sur l’authentification à deux facteurs nécessaire, la banque explique que, conformément à la directive PSD2, une double authentification est obligatoire pour un premier virement de plus de 40 euros.

Une authentification plus forte des clients

La directive PSD2, abréviation de «directive sur les services de paiement 2», est une directive européenne qui réglemente les opérations de paiement au sein de l’Union européenne et de l’Espace économique européen.

Son objectif principal est de rendre les paiements plus sûrs, plus innovants et plus compétitifs. La directive a notamment introduit l’authentification forte du client (SCA), qui exige au moins deux facteurs indépendants sur trois pour les paiements en ligne et l’accès aux comptes par des prestataires tiers: connaissance (par exemple le mot de passe), possession (par exemple une carte ou un smartphone) et cohérence (par exemple une empreinte digitale).

Les personnes concernées ont «tenté à plusieurs reprises de se connecter au faux site web de la BIL», explique la banque. Il convient de noter ici qu’une première identification est nécessaire pour accéder à l’espace bancaire, et une seconde pour confirmer un virement à un nouveau bénéficiaire.

Lire aussi :La police met à nouveau en garde contre les appels de faux employés de banque ou de Luxtrust

Au moment de cette confirmation, le compte du bénéficiaire et le montant s’afficheraient dans l’application LuxTrust. Dans les cas observés, les clients concernés n’auraient pas remarqué l’incohérence de ces informations et auraient donc confirmé la transaction en pensant qu’ils allaient essayer de se connecter à nouveau à leur banque en ligne.

La vigilance reste de mise, selon la BIL: «Lors de chaque confirmation, il est indispensable de bien vérifier les informations affichées dans l’application LuxTrust, notamment le nom du bénéficiaire et le montant.»  © PHOTO: BIL

Tim Pauly rapporte toutefois aussi des cas où seul un virement a été effectué d’un compte d’épargne vers le compte courant et où, dans ce cas, la deuxième étape supplémentaire du virement vers le compte étranger n’a probablement pas pu être menée à bien.

Activités toujours via une application officielle de la banque

Pour des raisons de sécurité, la police conseille donc de toujours effectuer les opérations bancaires en ligne via une application officielle de la banque ou via l’URL officielle du portail de banque en ligne. En conséquence, il est judicieux de sauvegarder l’adresse Internet officielle du portail de banque en ligne dans son navigateur comme signet.

Les portails de banque en ligne ne devraient jamais être consultés via un lien affiché dans un moteur de recherche. La BIL avait également publié un avertissement sur son site web afin de dissuader ses clients de tomber dans le piège de l’escroquerie.

Tim Pauly insiste également sur la nécessité d’informer et d’éduquer les citoyens âgés de leur entourage sur cette arnaque. Les personnes qui ont déjà subi un préjudice à cause d’un site falsifié de ce type doivent s’adresser à un poste de police.

Création d’un groupe de victimes

Alice Pauly a entre-temps créé un «groupe de victimes» qui réunit actuellement douze personnes ayant subi un préjudice via le faux site bancaire. Les membres souhaitent se rencontrer pour la première fois début septembre et échanger sur ce qui s’est passé.

Numéro d’urgence/hotline en cas de fraude

En dehors des heures d’ouverture de la banque, il convient d’appeler le numéro +352 49 10 10 en cas de soupçon de fraude. Il s’agit de la hotline centrale de blocage (également pour les cartes bancaires et de crédit), gérée par Worldline Financial Services (Europe) S.A. Ce service est accessible 24 heures sur 24.

Cet article a été publié initialement sur le site du Luxemburger Wort.

Il a été traduit à l’aide d’outils d’intelligence artificielle qui apprennent à partir de données issues de traductions humaines, puis vérifié par Antony Speciale.