Etre toujours bien informé(e) sur la fraude à la carte de crédit

Bien que la carte de crédit compte parmi les moyens de paiement les plus sûrs, les escrocs tentent d’accéder à vos données et à votre argent avec des techniques de plus en plus sophistiquées. Ils misent sur le «facteur humain» et instaurent la confiance pour exploiter ensuite ce point faible. Si vous respectez vos obligations de vigilance et suivez quelques règles de conduite simples, vous êtes bien protégé(e) contre la fraude. Nous publions ici des modèles de fraude actuels pour vous sensibiliser et vous aider à identifier rapidement une tentative de fraude. Le quishing – ou phishing via un code QR – est une technique actuellement très prisée des escrocs.

min. de lecture-06.09.2023 – Photo: shutterstock

Le quishing: quand les codes QR deviennent des pièges

Les codes QR peuvent s’avérer fort pratiques. Via votre smartphone, ils vous donnent rapidement accès à des informations complémentaires. On en trouve dans les magazines, à côté des pièces exposées dans les musées ou sur les horodateurs. Aujourd’hui, on rencontre les petits carrés noirs et blancs presque partout. Mais attention: si après avoir scanné le code QR, on vous demande de vous connecter ou de divulguer des données personnelles, il s’agit probablement d’une tentative de fraude. Avec une certaine urgence, vous êtes invité-e, la plupart du temps par e-mail, parfois même par courrier postal, à agir rapidement. «Scannez tout simplement ce code QR pour mettre à jour vos informations personnelles et votre mot de passe, sinon votre compte sera bloqué.» Dans ce contexte, un code QR semble très utile. Pourtant, dans le cas du phishing par code QR, il vous renvoie vers un site Internet frauduleux qui vous demande les informations de votre carte de crédit et le mot de passe.

Les e-mails de quishing ressemblent beaucoup aux e-mails de phishing classique. Au moyen non pas d’un lien mais d’un code QR, les escrocs vous attirent sur un site Internet où vous êtes invité-e à communiquer des données sensibles. Dans cet exemple, il n’est pas facile d’identifier la tentative de phishing, car l’adresse de l’expéditeur a été usurpée (elle semble authentique, mais elle est en réalité fausse), et le message s’adresse à vous personnellement. Le code QR a lui aussi l’air authentique à s’y méprendre: ce n’est qu’en balayant le code QR avec le pointeur de la souris ou en cliquant dessus pour prévisualiser l’adresse que vous voyez qu’il s’agit d’une fausse URL. D’une manière générale, Viseca n’envoie pas d’e-mails vous invitant à scanner un code QR ou à cliquer sur un lien.

Que l’expéditeur soit prétendument Tutti, Ricardo, Postfinance ou dernièrement aussi Viseca, les fraudeurs ne manquent guère une occasion de tenter d’accéder aux données de votre carte de crédit par phishing et ainsi de s’enrichir. C’est pourquoi vous devez vous méfier des courriers ou des e-mails inattendus contenant des codes QR et respecter les points suivants:

Contrôlez chaque code QR:

Si le code QR ne figure pas directement dans l’e-mail ou la lettre, il est souvent envoyé en pièce jointe, par exemple sous forme de facture ou d’image. Vérifiez toujours les codes QR pour vous assurer qu’ils ne présentent pas d’anomalies: remarquez-vous des erreurs grossières, manque-t-il le logo de la marque ou est-il placé à un endroit inhabituel? Inspectez toujours le lien du code QR avant d’ouvrir la page Internet. La plupart des smartphones proposent un mode de prévisualisation du code QR scanné, qui permet d’afficher le lien. Si le lien vous paraît suspect, ne cliquez en aucun cas dessus.

Pour ne pas tomber dans le piège du quishing

  1. Viseca n’envoie jamais de code QR pour débloquer votre compte: s’il y a un problème avec votre compte, le service clientèle vous invitera à prendre contact avec nous. Ou vous recevrez un message dans one. Pour actualiser vos données personnelles, vous n’aurez jamais à saisir les données de la carte (numéro de la carte, date d’expiration, CVV/CVC).
  2. Si vous êtes invité-e à mettre à jour votre profil, accédez-y toujours par le site Internet officiel viseca.ch , jamais via un code QR.
  3. Utilisez toujours un scanner de code QR qui affiche le lien avant d’ouvrir l’URL. Vous pouvez ainsi vérifier avant de cliquer que c’est bien le site Internet officiel qui y est rattaché.
  4. Ne scannez que des codes QR que vous attendiez expressément, et uniquement ceux émanant de sources dignes de confiance.
  5. Si un code QR renvoie vers un site Internet demandant des données sensibles, le mieux est d’annuler immédiatement le processus.

Spoofing: lorsque des escrocs vous appellent avec un numéro de téléphone que vous connaissez

Dans le cas du spoofing (ou usurpation d’identité), les malfaiteurs prétendent être une personne ou une entreprise avec laquelle vous entretenez une relation de confiance. L’identité de l’appelant est masquée de différentes manières. A l’aide d’un programme informatique, les appelants simulent par exemple le bon numéro de téléphone Viseca, l’appel reçu semble professionnel et la confiance se renforce au fil de la conversation. Les escrocs abusent ensuite de cette confiance pour accéder à vos données sensibles et les utiliser pour effectuer des paiements via votre carte de crédit.

Bon à savoir: Viseca ne vous appellera jamais pour mettre à jour les détails de votre compte ou d’autres données client sensibles. En outre, on ne vous demandera jamais les détails de votre carte de crédit. Seule exception: Viseca vous appelle directement uniquement pour vérifier si vous venez d’effectuer une transaction. Mais même dans ce cas, nous ne demandons jamais les détails de votre carte de crédit ou d’autres informations personnelles. Si d’autres clarifications sont nécessaires de la part de Viseca, vous êtes prié(e) de vous mettre en rapport avec le contact officiel.

Voici 4 règles de conduite pour éviter le spoofing

  1. Méfiez-vous de tout appel que vous recevez spontanément et sans rapport avec une demande en cours de votre part.
  2. Ne communiquez jamais par téléphone votre numéro de vérification de carte de crédit, un mot de passe ou d’autres données (de carte de crédit) sensibles.
  3. Ne confirmez jamais dans one une transaction que vous n’avez pas effectuée vous-même dans une boutique en ligne.
  4. Si l’appel vous semble étrange, raccrochez et appelez l’appelant présumé directement au numéro officiel. (p. ex. le service clientèle de Viseca)
En cas de tentative de spoofing, vous recevez un appel d’un faux numéro. Mais derrière cet appel se cachent des escrocs qui parviennent à gagner votre confiance et obtiennent ainsi des données confidentielles.

Il convient de se méfier par principe de ces appels, de les ignorer d’emblée ou de raccrocher immédiatement. Si vous respectez toutes les obligations de vigilance et suivez les règles de conduite, vous êtes bien protégé(e) contre la fraude à la carte par spoofing.

Avez-vous déjà reçu un appel provenant d’un numéro Viseca prétendument digne de confiance? Vous pouvez signaler cela ici.


Appels choc: arnaque téléphonique sous couvert d’une urgence

La fraude par téléphone n’est pas un phénomène nouveau. Longtemps, de l’argent a été détourné avec l’«astuce du petit-fils» consistant pour l’escroc à se faire passer pour un petit-fils ou un neveu. Aujourd’hui, les appels choc sont de plus en plus fréquents. Les escrocs se font passer pour la police, le ministère public ou même un hôpital, et vous annoncent qu’un ou une de vos proches se trouve dans une situation de détresse et a besoin de votre aide de toute urgence: par exemple, que votre fils a subi ou provoqué un accident. La plupart du temps, vous devez verser une caution pour lui éviter la détention provisoire ou avancer les frais de soins. C’est toujours urgent et vous, vous êtes sous le choc de ce que vous venez d’apprendre.

Si vous n’êtes pas sûr(e) de savoir qui appelle, mettez fin à l’appel, surtout si vous sentez que l’on vous met la pression. Appelez la personne prétendument impliquée dans l’accident; si elle n’est pas joignable, adressez-vous à la police (en appelant le 117).

Les auteurs d’escroqueries téléphoniques misent délibérément et de manière très professionnelle sur le moment de choc. Quelle que soit la crédibilité d’une situation d’urgence, ne vous laissez pas mettre la pression. Ni la police, ni d’autres autorités, ni un hôpital ne demandent d’argent ou d’autres objets de valeur par téléphone afin d’éviter à quelqu’un la prison ou de lui avancer les frais médicaux.


Phishing: tentative d’escroquerie par e-mail ou SMS

Le phishing (ou hameçonnage) est une pratique répandue par laquelle des escrocs tentent d’accéder aux données de votre carte. Vous recevez ainsi des e-mails ou des SMS paraissant parfaitement authentiques d’un expéditeur prétendument connu. Nous publions des articles sur ce modèle de fraude depuis un certain temps. Les e-mails de phishing actuels se présentent ainsi ou sous une forme analogue:

Les e-mails de quishing ressemblent beaucoup aux e-mails de phishing classique. Au moyen non pas d’un lien mais d’un code QR, les escrocs vous attirent sur un site Internet où vous êtes invité-e à communiquer des données sensibles. Dans cet exemple, il n’est pas facile d’identifier la tentative de phishing, car l’adresse de l’expéditeur a été usurpée (elle semble authentique, mais elle est en réalité fausse), et le message s’adresse à vous personnellement. Le code QR a lui aussi l’air authentique à s’y méprendre: ce n’est qu’en balayant le code QR avec le pointeur de la souris ou en cliquant dessus pour prévisualiser l’adresse que vous voyez qu’il s’agit d’une fausse URL. D’une manière générale, Viseca n’envoie pas d’e-mails vous invitant à scanner un code QR ou à cliquer sur un lien.

Les fausses adresses d’expéditeur sont un signe distinctif des e-mails de phishing. Il suffit de passer la souris sur l’adresse supposée pour voir l’e-mail effectif qui se cache derrière. La plupart du temps, un discours impersonnel est utilisé et une pression artificielle est créée. Souvent, la représentation visuelle ne correspond pas à la mise en page de Viseca, mais il en existe désormais qui ont une apparence presque parfaite.

Les liens externes cachent une autre adresse web qui mène à une page falsifiée. Là aussi, passez la souris sur le lien pour identifier l’URL effective de la page. Ne cliquez jamais sur un lien si vous n’êtes pas sûr qu’il mène à la bonne page.

Souvent, les logos et l’adresse de contact sont également erronés. En plus, Viseca ne vous demandera jamais de mettre à jour votre compte sur le champ. Aucune entreprise sérieuse ne fait cela. Nous vous invitons à contacter le service clientèle en cas de questions concernant votre compte.

Vous trouverez ici tout ce qu’il faut savoir sur le phishing.