Comment les cybercriminels exploitent la fusion de CaixaBank et de Bankia pour attaquer leurs clients

Pour essayer de tromper les clients d'entités financières, les cybercriminels utilisent leur arme la plus efficace : l'ingénierie sociale. Il s'agit de manipuler psychologiquement les personnes pour qu'elles réalisent l'action voulue par le criminel, que ce soit en cliquant sur des liens malveillants, en téléchargeant des fichiers infectés ou en divulguant des informations confidentielles.

Pour que ces attaques soient couronnées de succès, les criminels ont besoin d'un appât, un message convaincant et attractif capable de susciter un intérêt et un sentiment d'urgence pour la victime. Ces messages sont constamment renouvelés pour s'adapter aux sujets les plus actuels.

Par exemple, depuis le début de la pandémie mondiale, les attaques sur des thèmes liés au coronavirus se sont intensifiées. Les périodes annuelles de déclaration des revenus constituent également une excuse parfaite pour la tromperie. De même, lorsque la fusion entre CaixaBank et Bankia a été annoncée, les criminels ont commencé à utiliser cet argument pour essayer de tromper leurs victimes, et il est donc essentiel d'agir avec la plus grande prudence.

Comment ces escroqueries peuvent-elles arriver ?

• Courriels de phishing
  Pour que les clients accordent leur confiance à des courriels frauduleux, les cybercriminels utilisent des techniques d'ingénierie sociale pour usurper l'identité de leurs entités financières. Ils peuvent persuader la victime de cliquer sur un lien malveillant qui infecte son équipement, généralement en ouvrant une fausse page imitant celle de sa banque, en interceptant ensuite son identifiant et son mot de passe d'accès à la banque numérique.
• Messages de smishing
  Ce type d'escroquerie utilise les messages SMS ou de messagerie instantanée de type WhatsApp pour tromper les clients et obtenir leurs clés d'accès à la banque numérique, l'infection de leurs dispositifs, ou pour les encourager à appeler un numéro de téléphone surtaxé, entre autres. Pour y parvenir, comme pour les attaques de phishing, les fraudeurs peuvent usurper l'identité de la banque pour faire croire aux clients qu'ils ont par exemple reçu une réclamation urgente de paiement.
• Appels de vishing
  En se faisant passer par des gestionnaires de l'entité, les cybercriminels peuvent appeler par téléphone les clients pour leur parler, entre autres choses, d'un produit intéressant ou d'un problème avec leur compte. Toujours en essayant de créer un climat de confiance, ils demandent à la victime de leur fournir des informations confidentielles afin de pouvoir effectuer des opérations frauduleuses en son nom.

Comment se protéger ?

• Rechercher la cohérence dans le message :
  À la réception d'un nouveau message, par quelque canal que ce soit, il faut en évaluer la cohérence avant de prendre toute autre action : « Est-il logique que ma banque, cette personne ou toute autre entreprise m'envoie ce message ? » Les cadeaux inattendus et les demandes urgentes doivent toujours être suspects, surtout lorsque l'argument est d'actualité.
• Analysez l'expéditeur :
  À la réception d'un nouveau courriel, avant d'ouvrir d'éventuels pièces jointes ou liens, il est indispensable d'analyser en détail l'adresse de l'expéditeur et de ne pas se fier uniquement au nom qui apparaît, ni à la signature incluse dans le corps du message.
• Vérifier les liens :
  Pour s'assurer que les liens des messages sont légitimes, il est nécessaire de vérifier où ils mènent avant de les ouvrir. S'ils se trouvent dans un courriel, le curseur peut être déplacé au-dessus du lieu sans cliquer pour visualiser l'adresse Web. Dans tous les cas, il est toujours préférable de saisir dans le navigateur l'adresse Web du site auquel nous voulons aller et d'éviter, chaque fois que possible, de cliquer sur des liens.
• Ne jamais révéler des mots de passe :
  Ni CaixaBank ni aucune autre entreprise ou institution légitime ne demandera à ses clients de révéler les identifiants d'accès de leur banque numérique ou service en ligne. Les mots de passe ne doivent jamais être partagés avec personne.
• Encore des doutes ?
  Si des doutes apparaissent quant à la légitimité d'un message, qu'il provienne d'un collègue de travail, d'un ami ou d'une entreprise, il est toujours recommandé de contacter l'expéditeur par un autre canal (par exemple, par téléphone) pour la confirmer.

Faire preuve de bon sens : la meilleure défense contre l'ingénierie sociale

En cas de réception d'un message présentant un argument d'actualité majeur incitant à ouvrir une pièce jointe ou à cliquer sur un lien, il convient d'être vigilant et de contacter préalablement l'entité concernée pour confirmer que la demande est légitime.

Les escroqueries numériques ne fonctionnent que si les victimes se laissent tromper et réalisent l'action que le criminel veut, ce qui est très difficile à obtenir si des précautions sont prises et que les mesures de sécurité recommandées sont appliquées.

Pour cette raison, l'apprentissage constant et le bon sens sont et seront le meilleur allié pour une vie numérique plus sûre.