PremiumGestion médicale

Le piège des "comptes à sécurité renforcée"

photo

Les entreprises et les indépendants sont de plus en plus souvent la cible de fraudes au phishing et au "compte à sécurité renforcée", une forme sophistiquée de fraude. Pendant longtemps, ces formes de fraude touchaient plutôt les particuliers. Désormais, les cybercriminels s'en prennent aussi aux entreprises et aux indépendants, ce qui entraîne des pertes financières considérables.

Francois Hardy - 16 novembre 2023

Octobre dernier était le mois de la cybersécurité. Febelfin, la Fédération belge du secteur financier, en a profité pour marquer le coup avec plusieurs actions et campagnes de sensibilisation. Avec le Centre pour la cybersécurité Belgique et la Cyber security coalition, Febelfin s'est associée à plus de 500 partenaires. "Si les cybercriminels se regroupent et s'organisent plus efficacement, nous devons en faire autant", explique Karel Baert, CEO de Febelfin. "C'est là notre unique solution pour qu'internet redevienne un lieu sûr!"

Febelfin: "Votre banque ne vous demandera jamais de communiquer vos codes bancaires ni ne vous conseillera par téléphone, e-mail ou SMS de transférer votre argent vers un compte tiers, ni d'installer un logiciel d'aide à distance.

La première campagne visait à sensibiliser contre le phishing, ou "hameçonnage" en français. "C'est un problème majeur pour les utilisateurs individuels d'internet, mais aussi pour les entreprises, les organisations et les pouvoirs publics. Non seulement ces messages causent des nuisances, mais ils font aussi de nombreuses victimes. En 2022, 39,8 millions d'euros ont été dérobés au total suite au phishing, une hausse par rapport à l'année précédente (Febelfin, 2021: 25 millions d'euros)." Face au phénomène, Safeonweb avait déjà mis en place l'adresse e-mail: suspect@safeonweb.be et l'application Safeonweb.

Cette année, la coalition ajoute un outil à cet arsenal: l'extension de navigateur Safeonweb, qui affiche désormais une alerte lorsque l'utilisateur visite un site web suspect.

Une technique de manipulation astucieuse

Febelin informe également sur un cas précis de phishing qui, ironiquement, joue sur la peur de la victime... de se faire pirater! La fraude au "compte à sécurité renforcée" est généralement opérée en deux temps. Tout d'abord, l'entrepreneur ou l'indépendant reçoit un message de phishing d'un expéditeur qui semble digne de confiance, comme un secrétariat social, la banque, la Poste, un opérateur de téléphonie, etc. Ce message contient un lien qui mène vers un site internet (contrefait). Les fraudeurs utilisent ce site web pour collecter des informations personnelles, comme des données de contact, voire des codes permettant de se connecter aux services bancaires en ligne. Une fois ces informations en leur possession, les escrocs accèdent aux comptes professionnels et peuvent effectuer des transactions frauduleuses.

La personne ciblée reçoit ensuite un appel téléphonique du fraudeur qui se fait passer pour un collaborateur de sa banque le contactant pour l'avertir de certaines transactions suspectes constatées sur son compte. Grâce aux informations obtenues par phishing, le fraudeur peut, par exemple, se référer au solde du compte et aux dernières transactions. Ce faisant, il gagne la confiance de sa victime et la convainc de faire ce qu'il attend d'elle: qu'elle transfère une grosse somme d'argent sur un compte dit "à sécurité renforcée". Or, il faut savoir que les comptes à sécurité renforcée ou "de back-up", ou "de sécurité" tout simplement, n'existent pas! Dès que la victime a effectué la transaction, elle est dépossédée. Les fraudeurs utilisent les comptes de 'mules' financières pour faire circuler rapidement l'argent dérobé.

Une arnaque cible spécifiquement les médecins

Depuis quelques mois, une nouvelle entourloupe est fréquemment rapportée à l'Ordre des médecins. Elle est dirigée contre les médecins et menée grâce à des informations recueillies sur internet. Concrètement, un individu malveillant consulte les appréciations publiques mises sur la page Google d'un médecin afin d'identifier l'un ou l'autre de ses patients. Le médecin concerné est ensuite contacté téléphoniquement par le fraudeur qui se présente comme un pharmacien à qui le patient, identifié sur la page Google, aurait demandé la délivrance d'un médicament soumis à prescription (diazepam, zolpidem, etc.).

Sous divers prétextes (pas de petit conditionnement, défaillance de la plate-forme eHealth, mauvais numéro de registre national noté), le médecin est amené à prescrire un grand conditionnement du médicament et à communiquer oralement les codes des prescriptions et le numéro de registre national du patient. Le registre national étant la source primaire des informations relative à l'identification des personnes physiques, l'accès à ce numéro est la porte ouverte pour de multiples types de fraudes (fraude à l'identité, fraude administrative, fraude bancaire...).

Protégez facilement votre entreprise

Les escrocs utilisent plusieurs techniques astucieuses qui font qu'il est facile de tomber dans leur piège. Heureusement, les entreprises et les indépendants peuvent se protéger en restant attentifs aux messages et aux appels téléphoniques suspects, et en respectant de bonnes pratiques. Febelfin conseille d'observer les pratiques suivantes:

  • Ne communiquez jamais les informations personnelles et/ou les codes bancaires de l'entreprise (numéro de compte, code PIN, code réponse) par e-mail, SMS, appel téléphonique, message sur les réseaux sociaux ou WhatsApp. Ni une banque ni aucune autre organisation ne vous adressera jamais une telle demande ;
  • La banque ne vous conseillera pas non plus de transférer l'argent de l'entreprise sur le compte d'un tiers. Le "compte à sécurité renforcée", ça n'existe pas !
  • La banque ne vous demandera pas davantage d'installer un logiciel (Anydesk, Teamviewer) permettant de prendre le contrôle à distance de votre ordinateur ;
  • Vous avez reçu un message ou un appel bizarre et vous doutez de son authenticité? Ne prenez pas de risque et n'y donnez pas suite. Ne vous laissez pas influencer et convaincre d'agir "vite". Vous voulez plus d'informations? Appelez la banque vous-même. Les escrocs ne peuvent pas intercepter cet appel.

Vous êtes malgré tout tombé dans le piège?

  • Contactez au plus vite la banque de votre entreprise. Elle est joignable 24 heures sur 24, 7 jours sur 7, via des numéros spéciaux pour signaler les fraudes en ligne. Sur le site de Card Stop (www.cardstop.be), vous trouverez un aperçu de tous les points de contact ;
  • Prévenez Card Stop (078 170 170) ;
  • Déposez plainte auprès de la police.

Lexique pratique des techniques de hacking

Pas simple de s'y retrouver dans la jungle des termes en "-ing"... Pour qualifier correctement une tentative d'extorsion d'informations sensibles et pour parfaire votre franglais, voici un petit dictionnaire des attaques les plus répertoriées:

  • Le phishing est un message reçu par email et envoyé à de nombreux comptes. L'objectif est que la cible télécharge ou ouvre un fichier, renseigne ses identifiants, ouvre une pièce jointe, dans le but d'amorcer une cyberattaque (fuite de données, ransomware, etc.). Cela peut se faire par e-mails mais également par SMS (smishing) ou messages sur les réseaux sociaux.
  • Le vishing est un type de phishing réalisé par le biais d'un appel téléphonique.
  • Le spearphishing est une version davantage ciblée et personnalisée du phishing. Le criminel identifie sa victime et recherche des informations personnelles la concernant pour créer un message d'apparence authentique et qui semble provenir d'une source de confiance.
  • L'angler phishing est un type de phishing qui vise les comptes de réseaux sociaux. Des hackers se font passer pour des agents du service client de ces réseaux (aussi appelé social phishing).
  • Le spoofing est une forme d'escroquerie dans laquelle les fraudeurs usurpent l'identité d'une autre personne pour mettre la cible en confiance. Ils se font passer pour un employé de banque, d'un service public ou d'une autre organisation connue.
  • Dans le brandjacking, l'arnaqueur se fait passer pour une entreprise connue, une grande marque ou une célébrité.
  • Le formjacking vise l'achat en ligne. Il a pour but de s'infiltrer dans le logiciel sous-jacent d'une boutique en ligne, par exemple, pour y installer un logiciel malveillant.
  • En cas de defacing, le contenu des pages web est remplacé par un message ou un contenu activiste qui porte atteinte à l'image de l'entreprise. Les hackers empêchent l'accès au site web pour obtenir une rançon, tentent de voler des données sensibles, etc.

Wat heb je nodig

Accès GRATUIT à l'article
ou
Faites un essai gratuit!Devenez un membre premium gratuit pendant un mois
et découvrez tous les avantages uniques que nous avons à vous offrir.
  • accès numérique aux magazines imprimés
  • accès numérique à le Journal de Médecin, Le Phamacien et AK Hospitals
  • offre d'actualités variée avec actualités, opinions, analyses, actualités médicales et pratiques
  • newsletter quotidienne avec des actualités du secteur médical
Vous êtes déjà abonné? 

En savoir plus sur

le journal du médecin

Partagez votre histoire (d'actualité)

Vous avez des informations pertinentes pour nos rédacteurs ? Partagez-les avec nous via ce formulaire.

Signalez-nous des nouvelles

Articles connexes

Suppléments d’honoraires : un symptôme d’un décrochage structurel des actes médicaux

Une analyse des évolutions économiques des vingt dernières années met en évidence une réalité plus profonde : un décalage croissant entre les coûts réels de fonctionnement des cabinets et la valorisation des actes médicaux.

L’homme qui a peur de sa femme

Les hommes victimes de violence conjugale est un angle mort en psychologie. Pourquoi ? Que peut-on faire?

L'accessibilité des soins dentaires potentiellement impactée par une circulaire de l'Inami

La nouvelle circulaire diffusée par l'INAMI concernant la facturation des actes réalisés par les hygiénistes bucco-dentaires pourrait avoir des conséquences sur l'accessibilité et la qualité des soins.

Michael Storme succède à Koen Straetmans à la présidence de l'APB

Après 19 ans, Koen Straetmans quitte l'APB. Le 1er mai, l'actuel vice-président Michael Storme lui succédera à la présidence. C'est ce qu'a décidé l'organe directeur de l'APB.

Des nouvelles à partager ?

Vous avez des informations pertinentes pour nos rédacteurs ? Partagez-les avec nous via ce formulaire.

Signalez-nous des nouvelles
Magazine imprimé

Édition Récente
16 juin 2026

Lire la suite

Découvrez la dernière édition de notre magazine, qui regorge d'articles inspirants, d'analyses approfondies et de visuels époustouflants. Laissez-vous entraîner dans un voyage à travers les sujets les plus brûlants et les histoires que vous ne voudrez pas manquer.

Dans ce magazine