Les fraudes courantes

Même si elle joue un rôle essentiel dans la croissance, la vague de numérisation qui révolutionne aujourd'hui le monde de l'entreprise comporte également une part de risque.

La cybercriminalité cible en effet aussi bien les particuliers que les grandes entreprises, à travers différentes techniques de phishing et d'installations de logiciels malveillants. Les victimes s'exposent à des pertes de revenus, des pertes financières, des atteintes à la réputation et des vols ou rétentions de données.

Le phishing – vishing et smishing

• L'un des types de cyber-attaques les plus courants, l'hameçonnage (ou « phishing » en anglais), s'appuie sur des e-mails à l'apparence souvent convaincante et semblant provenir d'expéditeurs légitimes. Le fraudeur va utiliser des e-mails frauduleux pour convaincre les utilisateurs de cliquer  sur une pièce jointe ou sur un lien malveillant (site Web d'apparence authentique). Ceux-ci peuvent alors infecter l'ordinateur de la victime avec un malware (logiciel malveillant en français) qui récupère les informations personnelles sensibles, voire confidentielles, permettant aux attaquants de détourner des fonds, perturber des opérations commerciales ou détruire des données.

Bon à savoir : Malgré la baisse du nombre de cas de phishing en 2016, les établissements bancaires ont noté que les mails des fraudeurs étaient de meilleure qualité et pouvaient plus facilement tromper les titulaires de comptes.
De simples SMS et appels téléphoniques peuvent aujourd'hui servir à des tentatives de fraude et de détournement. Nous pouvons retrouver comme types de fraude :

• Le vishing (ou « hameçonnage vocal » en français), technique de phishing par téléphone, consiste à faire peur à la victime pour l'inciter à effectuer des paiements ou fournir des informations financières confidentielles. Par exemple, les fraudeurs peuvent également vous appeler directement en se faisant passer pour des collaborateurs de la banque. Généralement, ils évoquent un problème sur votre compte ou sur votre carte bancaire. En prétextant une possible utilisation frauduleuse de vos moyens de paiement, ils vous demandent alors de dévoiler vos coordonnées bancaires. Toutes les données récupérées par les fraudeurs leur permettent d'accéder par la suite à vos comptes bancaires ou d'effectuer des achats sur internet.

• Le smishing (ou « hameçonnage par SMS » en français) a pour but d'inciter les cibles à cliquer sur des liens malveillants, en activant des chevaux de Troie capables de voler des mots de passe et d'autres données de grande valeur.

Le malware

Les malwares (ou maliciels en français) sont des logiciels malveillants, programmés dans le but de vous nuire, téléchargés à votre insu. Ils sont transmis par le biais d'un email avec une pièce jointe à télécharger ou en téléchargeant un logiciel sur un site frauduleux et ont pour but de dérober vos informations confidentielles telles que vos identifiants de connexion à la banque à distance ou bien vos coordonnées bancaires. Ils sont capables de vous soustraire des informations, d'endommager vos données, de pirater les visites d'un site Web et d'espionner votre activité sur Internet ou sur le réseau.

Le ransomware

Le ransomware est un virus dérivé du malware. Il a pour but de bloquer l'accès à vos appareils électroniques (ordinateur, tablette, smartphone…) et/ou de chiffrer vos fichiers pour vous demander de l'argent. En effet, lorsque le logiciel se lance, il chiffre généralement des documents personnels et importants et rend impossible l'accès à toutes les informations. Vous êtes alors redirigé vers un écran vous demandant de verser une somme d'argent au fraudeur pour obtenir la clé de déchiffrement ou pour éviter la suppression de l'ensemble des données. En fonction de la connectivité du poste de travail et du fonctionnement du système, le virus peut se propager à l'ensemble du réseau.

Bon à savoir : Le ransomware a été la cyberattaque la plus utilisée par les fraudeurs en 2017.

Le déni de service

Les attaques par déni de service ont pour but de rendre indisponible un service ou empêcher les utilisateurs de l'utiliser. Elles peuvent toucher toute entreprise avec des serveurs reliés à Internet. De telles attaques peuvent nuire à votre réputation.

Comment se protéger face à la cybercriminalité ?

• Restez vigilants face à un courrier électronique
  • N'utilisez jamais le lien figurant dans un courrier électronique pour vous connecter à un site commerçant et y réaliser un paiement : c'est à vous de saisir manuellement l'adresse du site internet du commerçant.
  • Ne répondez jamais à un email douteux utilisant les coordonnées ou l'identité de HSBC. Ne fournissez jamais d'informations à l'expéditeur d'un tel message, et prévenez au plus vite votre chargé de comptes ou votre service HSBC Relations Clients (voir « Signaler une fraude »).

• Protégez votre matériel

La sécurité de vos paiements passe par la sécurisation de vos terminaux (ordinateur, téléphone portable, tablettes etc…)

• Ayez un système d'exploitation récent et à jour.
• Disposez d'un anti-virus et d'un pare-feu installé et à jour.
• N'effectuez aucun paiement si vous pensez avoir un virus sur votre ordinateur.
• Ne téléchargez que des programmes et contenus provenant de sources fiables.
• En complément, installez gratuitement Trusteer Rapport (pour les clients Ma banque en ligne et Elys PC) ou Webroot (pour les clients HSBCnet), des logiciels spécialisés dans la lutte contre le malware bancaire et les sites frauduleux.
• Choisissez un fournisseur d'accès internet reconnu et suivez ses conseils de sécurité
• Limitez l'accès Internet aux sites Web fiables ainsi que l'utilisation de périphériques externes.

• Banque à distance : sécurisez votre connexion
  • Vérifiez que le site internet est sécurisé (https devant l'adresse du site, ou un cadenas fermé, icone d'une clé dans le navigateur).
  • Protégez vos identifiants de connexion et ne les divulguez à personne. Changez régulièrement vos questions mémorables.
  • Ne prêtez pas votre Digipass et Secure Key.
  • Connectez-vous régulièrement à votre banque à distance pour suivre vos débits et crédits, pour repérer les opérations frauduleuses. Vérifiez aussi la date de votre dernière connexion.
  • Déconnectez- vous de manière sécurisée, en cliquant sur le bouton « déconnexion » de votre banque à distance.

• Protégez vos échanges d'informations confidentielles
  • Utilisez la messagerie sécurisée disponible sur Elys PC pour communiquer en toute confidentialité avec HSBC.
  • Activez la norme TLS sur les serveurs de messagerie, pour envoyer et recevoir en toute sécurité ses emails.

• Méfiez-vous de certains appels téléphoniques
  • Ne communiquez jamais vos coordonnées bancaires, vos données confidentielles (identifiants de connexion ou mots de passe) ou toutes informations personnelles par téléphone.
  • N'appelez pas un numéro transmis par un inconnu.
  • En cas de doute, contacter immédiatement la banque et faites opposition si nécessaire (voir « Signaler une fraude »).

• Attention aux appels
  • Contactez-nous en agence ou par téléphone auprès de notre centre de relation clients pour confirmer que la proposition est bien en provenance d'HSBC en France.
  • Ne fournissez aucun document ou information confidentielle par email, téléphone ou courrier, N'effectuez aucun transfert d'argent.

Enfin, limitez et maitrisez les informations disponibles à propos de vous et de votre entreprise sur internet et les réseaux sociaux.

L'une des principales menaces émergentes en matière de vol des données et de détournement de fonds est la fraude par Ingénierie Sociale, également connue sous le nom de « Fraude au président » et « Changement de coordonnées bancaires ». Toutes les tailles d'entreprises sont ciblées dans ce type d'attaques et peuvent perdre des sommes considérables à cause d'un simple courrier électronique frauduleux ou à la suite d'appels frauduleux.

Comment fonctionnent les fraudes par Ingénierie Sociale ?

Un fraudeur envoie un e-mail (ou réalise un appel) au service financier d'une entreprise en imitant un sous-traitant, un fournisseur, un créancier ou même un membre de la direction et demande qu'un paiement urgent soit effectué ou que les paiements futurs passent par un nouveau compte. À noter qu'il est souvent précisé au destinataire que cette transaction est urgente, exceptionnelle et doit rester confidentielle.

L'adresse électronique de l'expéditeur correspondant à une adresse connue ou s'en approchant fortement, ce type de fraude passe souvent inaperçu… jusqu'à ce qu'il soit trop tard. Les cybercriminels peuvent même pirater un véritable compte de messagerie à partir duquel les communications frauduleuses sont particulièrement difficiles à identifier.

Ce type de fraude peut engendrer des pertes financières conséquentes et porter atteinte à la réputation de l'entreprise. Malgré que le virement soit le moyen de paiement le moins fraudé en proportion, celui-ci véhicule les montants globaux de pertes les plus importants.

Les formes d'Ingénierie Sociale courantes

• Fraude au président :

Via un appel téléphonique, fax ou e-mail, un escroc se fait passer pour un des dirigeants auprès d'un collaborateur pour obtenir de lui une transaction exceptionnelle et confidentielle sur un compte généralement domicilié à l'étranger.

• Fraude aux changements de coordonnées bancaires :

Un escroc fait croire à un changement de domiciliation bancaire du bailleur, d'un fournisseur ou de tout autre créancier légitime de l'entreprise pour les prochains règlement des loyers ou des factures. Il envoie les nouvelles coordonnées bancaires par courrier électronique, avec des caractéristiques de messagerie très proches de celles de l'interlocuteur habituel.

Comme pour l'escroquerie « au faux président », les coordonnées bancaires sont en général domiciliées aussi à l'étranger.

• Escroquerie à l'informatique :

L'escroc se fait passer pour un technicien prestataire de l'entreprise visée et tente d'obtenir par le collaborateur l'exécution de « virements tests ». Il peut aussi demander l'installation de logiciels qui permettront de récupérer des informations de sécurité ou de pirater le système informatique de l'entreprise.

Ce type de fraude s'est particulièrement développé dans le cadre de la migration des moyens de paiement au SEPA : les virements dits « tests » sont en fait de vrais virements à destination de comptes étrangers.

Comment se protéger face aux fraudes par Ingénierie Sociale ?

• Assurez-vous que tout votre personnel est régulièrement sensibilisé à ce type de fraude.
• Séparez les pouvoirs relatifs aux applications de banque à distance : évitez que l'un des utilisateurs au sein de votre entreprise puisse tout faire (ajouter un compte bénéficiaire, saisir une opération, la valider).
• Définissez et respectez une procédure interne pour l'exécution des virements.
• Prenez le temps au sein de votre entreprise d'effectuer les vérifications nécessaires avant de valider une transaction.
• Adoptez un processus de vérification des paiements en plusieurs étapes qui inclut une vérification non-électronique avec l'initiateur de l'opération (ex : téléphone / SMS).
• Utilisez toujours des coordonnées de contact connues pour valider une demande reçue par e-mail.
  • ne répondez jamais directement à l'e-mail initial, et
  • n'utilisez jamais de numéros de téléphone ou toute autre coordonnée contenue dans l'e-mail.
• Vérifiez toujours l'adresse e-mail d'un expéditeur.
• Sécurisez vos installations informatiques.
• Privilégiez les flux émis via nos canaux électroniques aux flux papiers : les flux faxés sont moins sécurisés que les flux électroniques pour lesquels des contrôles complémentaires sont disponibles (Digipass, séparation des pouvoirs.....).
• Maîtrisez la diffusion des informations concernant votre entreprise et ne communiquez pas d'éléments susceptibles de faciliter le travail des fraudeurs.
• Contactez rapidement la banque et la police en cas d'escroquerie (ou de tentative).

Bon à savoir : Les escrocs renouvellent sans cesse leurs modes opératoires, il est donc important de rester en veille sur ce type d'escroquerie.

Le vol de chèque

Un voleur tentera de voler votre chéquier dans vos bagages, vos vêtements ou votre voiture. La récupération d'un chèque par un fraudeur aboutira à l'émission d'un chèque falsifié.

La falsification de chèque

A partir d'un chèque ou d'un chéquier récupéré, le fraudeur pourra émettre un chèque falsifié :

• Emission à partir de chèques vierges : le fraudeur imite votre signature
• Modification d'un chèque déjà complété : changement du bénéficiaire, montant, etc…

Comment se protéger ?

• Conservez votre chéquier en sécurité

• Notez et conservez les numéros des formules de chèques dès que vous entrez en possession d'un chéquier.
• Limitez le nombre de chéquiers en votre possession et conservez-les en lieu sûr.
• Préférez l'envoi de vos chéquiers à domicile en recommandé ou le retrait à votre agence. Ne signez pas par avance de formules vierges.
• En cas de perte, de vol ou d'utilisation frauduleuse, contactez immédiatement votre agence.

• Rédigez vos chèques avec attention

Pour éviter les risques de falsification :

• Utilisez de préférence un stylo, non effaçable, à bille noire, son encre est plus difficile à maquiller. Ne faites ni rature, ni surcharge.
• Ne laissez aucun espace devant les sommes en chiffres et en lettres, et de manière générale tentez de réduire les zones d'espace. Tirez un trait horizontal pour compléter les parties non remplies.
• Ne modifiez en aucun cas des mentions figurant sur les chèques.
• Si le chèque est rempli par une machine, vérifiez-le et signez-le après vous êtes assuré de l'exactitude des mentions complétées.
• Ne faites pas de chèques en blanc, vous ne maitriseriez pas au profit de qui il serait encaissé.

• Vérifiez le chèque lors de sa réception

• Vérifiez l'identité de la personne vous donnant un chèque.
• Vérifiez la date de saisie du chèque ainsi que toutes les mentions obligatoires y figurant. attention aux éventuelles altérations (couleurs, taches, traces de grattage ou de lavage, écritures différentes).
• En cas d'absence de bénéficiaire, complétez-le avec votre nom et signez au dos immédiatement.
• N'acceptez pas de déposer sur votre compte un chèque pour un autre bénéficiaire.

• Restez attentif si vous recevez un chèque de banque

• Regardez par transparence si le chèque de banque comporte bien le filigrane de sécurité : il s'agit de la mention « CHEQUE DE BANQUE » bordée en haut et bas par deux flammes rayées et, de part et d'autre, par deux semeuses.
• Assurez-vous de la validité du chèque en vous rendant à la banque avec l'acheteur pour vous faire remettre le chèque ou en cas d'impossibilité, appelez la banque pour confirmation de l'authenticité.
• Choisissez bien le jour de la vente (évitez les jours fériés ou le dimanche) pour pouvoir joindre l'établissement bancaire.

Concernant ce moyen de paiement, nous pouvons distinguer deux types de fraude :

La fraude sur le porteur

• L'utilisation d'une carte bancaire perdue ou volée : Même sans avoir récupéré le code confidentiel, les fraudeurs peuvent utiliser une carte bancaire volée pour des achats à distance, dans les pays où seule la signature suffit ou via le paiement sans contact. Dans les cas où les fraudeurs ont pu avoir accès à votre code, ils peuvent alors effectuer des paiements ou des retraits en toute liberté dans la limite des plafonds, jusqu'à la mise en opposition ou la détection par nos systèmes de lutte anti-fraude,
• La falsification d'une carte bancaire : Pour cela, les fraudeurs vont utiliser la méthode du skimming qui vise à copier les données enregistrées sur la bande magnétique de votre carte bancaire et à récupérer le code confidentiel. Cela peut se réaliser à l'aide d'un dispositif placé dans la fente du lecteur carte dans les terminaux de paiement ou les distributeurs de billets ou chez un commerçant malveillant. Les informations récupérées seront ensuite utilisées pour créer une carte contrefaite,

Bon à savoir : Dans certains cas, il n'est pas nécessaire pour le fraudeur de récupérer votre code confidentiel. Une carte contrefaite peut aussi être utilisée avec seulement une copie de la piste magnétique et de la signature.

• Vol des informations d'une carte bancaire : Même sans avoir physiquement volé votre carte, le fraudeur peut utiliser les informations qu'il aurait récupérées chez un commerçant, lors d'un achat à distance ou via email et téléphone (phishing ou vishing).

La fraude sur le commerçant

Les fraudeurs profiteront de failles de sécurité sur les sites internet des commerçants pour subtiliser et récupérer les données bancaires de vos clients voulant effectuer des transactions. Les fraudeurs pourront également réaliser des paiements avec des cartes volées ou falsifiées dans des points de vente ou sur internet.

Comment se protéger ?

• La protection du code confidentiel

• Ne donnez jamais votre code confidentiel, à qui que ce soit ni à l'oral, ni à l'écrit. Apprenez-le par cœur, et ne le notez nulle part. En cas d'oubli, vous pourrez demander sa réédition.
• Composez toujours votre code à l'abri des regards indiscrets.

• Soyez le seul utilisateur de votre carte bancaire
  • Apposez votre signature au verso de votre carte dès sa réception. Conservez votre carte dans un lieu sûr.
  • Ne la confiez jamais à un tiers, même un proche. Si un tiers utilise votre carte à votre insu alors qu'il connait le code confidentiel, votre responsabilité pourrait être engagée.

• Être attentif lors de l'utilisation de votre carte
  • N'utilisez pas un appareil avec un élément suspect sur un distributeur de billets ou un guichet automatique de banque, notamment sur la partie insertion de la carte ou sur le clavier de saisie de code. Signalez-le à la banque propriétaire de l’appareil.
  • Ne vous laissez pas distraire par un inconnu lors d'un retrait ou d'un paiement.
  • Si elle est avalée par le distributeur, essayez de la récupérer auprès de l'agence, ou alors faites immédiatement opposition.

• N'oubliez pas de :
  • Consultez régulièrement vos comptes en banque pour détecter les incidents.
  • Notez votre numéro de carte et sa date d'expiration, et conserver ces informations en lieu sûr en cas d'opposition.
  • Avant de partir à l'étranger, contactez votre établissement pour connaitre les mécanismes de protection des cartes, et soyez vigilants lors de vos transactions dans les pays qui ne nécessitent pas de taper le code confidentiel.
  • En cas de perte ou de vol, contactez immédiatement le centre d'opposition des cartes bancaires.

• Pour les clients commerçants :

• Assurez-vous de la protection de votre Terminal de Paiement Electronique (TPE) grâce à un matériel agréé par le GIE Cartes Bancaires et à des mises à jour régulières.
• Equipez-vous d'une solution anti-fraude pour les paiements à distance / E-commerce.
• Afin d'optimiser la sécurité lors des réceptions de paiements en ligne, activez notre offre "3D Secure".
• Activez toujours le module BIN étrangers pour exclure les pays "indésirables".¹
• Créez une liste grise pour exclure les cartes "indésirables".
• Pensez aux contrôles Adresse IP / Nationalité Carte.

1 Dans le respect des dispositions de la loi n°78 – 17 du 6 janvier 1978 modifiée.

Le détournement de coordonnées bancaires

Un fraudeur peut récupérer vos coordonnées bancaires pour tenter de mettre en place un mandat de prélèvement et ainsi bénéficier d'un bien ou d'un service comme par exemple un abonnement téléphonique, sans avoir à honorer les règlements prévus.

Emission de prélèvements SEPA par un créancier mal intentionné

Un créancier mal intentionné peut émettre un prélèvement sur vos comptes sans avoir obtenu les mandats, puis émettre des virements vers des comptes étranger.

Comment se protéger ?

• Conservez en sécurité vos relevés d'identité bancaire.
• Surveillez vos relevés de compte.
• Dans le cas où figurerait une opération que vous n'avez pas effectuée, contestez- la immédiatement auprès de votre agence bancaire.

Je suspecte ou je suis victime d’une fraude

• Contactez HSBC Relation Clients Entreprises

Du lundi au vendredi de 8h30 à 18h00.

Ou le +33 (0)1 55 69 74 53 depuis l'étranger.

Je souhaite faire opposition sur ma carte bancaire

L’opposition Cartes bancaires est possible via :

• HSBC Relation Clients Entreprises

Du lundi au vendredi de 8h30 à 18h00.

Ou le +33 (0)1 55 69 74 53 depuis l'étranger.

En sélectionnant le motif « Opposition Carte bancaire ».

La mise en opposition est également possible via le numéro national de mise en opposition Cartes bancaires : 0 892 705 705 (0,34 € par minute).

Depuis l'étranger, composer le +33 442 605 303

• Je signale en ligne à la police nationale ou à la gendarmerie nationale un usage frauduleux de ma carte bancaire : https://www.service-public.fr/particuliers/vosdroits/R46526