Un kinésithérapeute luxembourgeois victime d'une escroquerie portant sur 30 000 euros : les fraudeurs ont simulé un appel d'une banque

Début mars, un kinésithérapeute luxembourgeois, identifié dans les médias sous le nom de Jérôme (nom modifié), a reçu un appel censé provenir du service des fraudes de sa banque. Parole claire, pas d'accent, confiance dans la voix - l'homme à l'autre bout du fil a signalé des "virements suspects" d'un montant compris entre 4 000 et 5 000 euros et a donné le nom de l'auteur présumé, son modèle de téléphone et l'endroit où il se trouvait en Espagne. Tout cela semblait trop réaliste pour ne pas y croire.

Lorsqu'il a affirmé qu'il n'avait pas effectué les transferts, l'"employé" lui a proposé de l'aider à récupérer son argent. L'escroc a même reversé des fonds sur le compte de Jérôme - temporairement, pour inspirer confiance - et l'a ensuite convaincu de créer un compte "sûr" et de lui envoyer l'identifiant et le mot de passe actuels par SMS, soi-disant pour obtenir un accès temporaire.

L'attaquant a ensuite demandé une vérification via Secur'Pass - l'équivalent français de LuxTrust - pour "confirmer le transfert". Lorsque Jérôme a suivi les instructions, ses vrais comptes bancaires ont été vidés.

En fait, les pirates n'avaient initialement accès qu'aux mouvements de fonds internes entre les comptes, mais ne pouvaient pas transférer d'argent à l'extérieur de la banque. Une fois que Jérôme a fourni l'identifiant et le mot de passe, il a lui-même supprimé la protection, ce qui a permis aux escrocs de retirer l'argent.

Trois jours plus tard, sans attendre le remboursement, il appelle la banque - et apprend qu'aucun service de sécurité ne l'a appelé. Jérôme a alors déposé une plainte auprès de la police, mais n'a toujours pas reçu de réponse. Entre-temps, il a réussi à récupérer 17 000 euros après de longues négociations avec la banque, mais s'est vu refuser les 10 000 euros restants, sous prétexte qu'il avait "contribué à la fraude".

Ces systèmes impliquent des réseaux criminels entiers : les "allotiers" (du français "allô") - des fraudeurs imitant des employés de banque - travaillent en collaboration avec des pirates informatiques qui collectent à l'avance les données personnelles de la victime.

Selon l'Observatoire français de la sécurité des paiements, de tels systèmes ont rapporté aux fraudeurs 1,3 milliard d'euros en 2023. En France, ces infractions sont passibles d'une peine d'emprisonnement pouvant aller jusqu'à 5 ans et d'une amende pouvant atteindre 375 000 euros.

Jerome estime que les banques ont la responsabilité d'éduquer leurs clients - au moins par le biais de séminaires ou de cours en ligne - sur la manière de gérer de telles situations et de reconnaître les signes d'ingénierie sociale.