Manipulation ou IA: les nouvelles techniques des fraudeurs pour vous voler de l'argent

"On est dans une période où les victimes sont 'disponibles' pour les fraudeurs." C'est ainsi que Julien Lasalle, secrétaire de l'Observatoire de la sécurité des moyens de paiement (OSMP) à la Banque de France, explique la recrudescence de mails et SMS douteux reçus par un certain nombre de Français à l'approche des fêtes, une période synonyme de dépenses et d'achats en ligne notamment.

Bien que le taux de fraude sur les paiements par carte sur Internet se soit établi à un plus bas niveau historique en 2022 en passant sous le seuil de 0,1%, le montant de la fraude par manipulation atteint lui des sommets: 340 millions d'euros pour l'année dernière, soit une hausse de 27%.

"On arrive à contenir la fraude"

La mise en place de nouveaux "verrous", comme l'introduction de l'authentification forte des paiements a permis au taux de fraude sur les cartes émises en France de baisser de 33% et même de 42% pour les paiements domestiques.

"On arrive à contenir la fraude, à la diminuer mais on a des points de vigilance", reconnaît Alexandre Stervinou, directeur des études et de la surveillance des paiements à la Banque de France.

Au total, 7,2 millions de transactions frauduleuses ont été recensées en 2022 pour un montant de 1,2 milliard d'euros, en baisse de 4%.

De plus en plus malins

Mais les arnaqueurs deviennent de plus en plus malins, et trouvent de nouvelles techniques. L'institution constate un déport de la fraude vers les techniques de manipulation, de plus en plus nombreuses. Pour arriver à obtenir votre argent, les arnaqueurs doivent contourner les paiements avec authentification forte. Concrètement, ils doivent obtenir le code confidentiel de votre carte, ou encore par exemple votre identification biométrique. Et s'ils se donnent autant de mal, c'est parce que ce genre de manœuvre peut être payante:

"Les fraudeurs ont tout intérêt à aller vers de l'authentification forte car les montants sont souvent plus élevés", souligne Alexandre Stervinou.

Pour obtenir ces données, les arnaqueurs peuvent passer par l'attaque informatique, par le biais de l'hameçonnage. C'est par exemple un mail avec le logo de votre banque qui vous demande de vous identifier sur un site qui malgré son apparence, n'est pas celui de votre organisme bancaire. Les pirates peuvent aussi contaminer le terminal que vous utilisez pour récupérer vos données.

Mais les fraudeurs ne s'arrêtent pas là. Ils peuvent aussi avoir recours à la manipulation active par mise sous pression de la victime. En clair, vous recevez un appel avec une personne insistante qui vous demande de valider des opérations: la manipulation active est particulièrement présente dans les cas de fraude aux opérations avec authentification forte.

"C'est le principe de la fraude au conseiller bancaire, souligne Alexandre Stervinou. Leur but est de passer à côté des authentifications fortes et il est plus facile de le faire en manipulant la victime qu'en tentant de contourner les systèmes informatiques."

"Ce sont des gens qui parlent français avec un bon vocabulaire, poursuit le directeur des études et de la surveillance des paiements. Les fraudeurs s'adaptent et se constituent de manière très active sur notre territoire. C'est de plus en plus organisé de manière presque industrialisée. Ils imaginent tous les scénarios possibles avec par exemple un second faux conseiller qui appelle quelques minutes après le premier pour prétendre aider la victime qui vient de subir une tentative de fraude."

"La fraude est une industrie spécialisée avec des centres d'appels et un système de CRM (gestion de la relation client, NDLR), ajoute Julien Lassalle. Ce qui nous est rapporté au sujet des fraudes par manipulation, c'est que les fraudeurs s'attaquent à tout le monde y compris des cadres du CAC 40, voire même des banquiers et pas forcément qu'à des personnes âgées qui vivent seules."

Comment s'en protéger?

En cas de réception de messages non sollicités, la Banque de France appelle à la vigilance et à réagir avec prudence en ne faisant pas confiance à l'origine des messages. Autres réflexes à avoir: éviter d'ouvrir les pièces jointes ou de cliquer sur les liens identifiés comme sûrs ou habituels, mais aussi d'utiliser les fonctions de signalement et de blocage des messages frauduleux.

De la même façon, si un conseiller bancaire vous appelle sans que vous ne l'ayez sollicité ou si la tonalité est anxiogène, méfiez-vous! Encore plus s'il vous demande de procéder à des opérations en ligne ou de fournir des identifiants. La conduite à tenir est simple: raccrocher.

"Votre conseiller bancaire ne vous demandera jamais vos identifiants bancaires ou de réaliser une opération", martèle Alexandre Stervinou.

Et dans le futur proche, les arnaqueurs vont pouvoir s'aider de l'intelligence artificielle . Elle est l'objet d'une "course en avant entre ceux qui protègent et ceux qui menacent" selon le directeur des études et de la surveillance des paiements.

"Les banques et réseaux de cartes comme Visa ou Mastercard ont mis en place des systèmes 'expert' qui fonctionnent comme l'IA pour détecter les modes opératoires et déterminer si notre comportement est normal ou pas en fonction de nos habitudes de paiement, explique-t-il. En face, on n'est pas à l'abri d'une utilisation de Chat GPT par les fraudeurs afin de rédiger des courriers ou des mails."