Informations Sécurité

Identifiez les menaces pour mieux prévenir les attaques

LA FRAUDE AU FAUX SUPPORTS TECHNIQUES 

Les fraudeurs se présentent comme appartenant aux services techniques de la Banque. Ils vous contactent pour effectuer des tests, signaler des anomalies, renforcer le niveau de sécurité, ou offrent des mises à jour de votre espace abonné. Ils vous proposent de vous connecter à votre espace et d'utiliser votre boîtier Sésame, de prendre la main sur votre ordinateur, et/ou vous incitent à réaliser un virement pour tester des mises à jour. Vous pensez être en environnement de test et suivez les instructions qui vous sont données.  Malheureusement, vous venez de donner un accès aux informations et espace de transactions de votre entreprise.

Comment vous en prémunir ?
  • Soyez en alerte dès qu’un appel spontané de la Banque vous propose de réaliser des tests depuis votre espace client : votre banque ne vous contactera jamais de sa propre initiative pour ce motif. Si des tests peuvent être réalisés, ils sont toujours à votre initiative.
  • Assurez-vous de l’identité du professionnel et de la destination des fonds avant d'effectuer un transfert d'argent, sachez que les banques ne font JAMAIS de test de virement.
  • Aucun code ou demande d'utilisation du mode d'authentification renforcé (Sésame) ne vous sera demandé par la Banque.
  • Soyez en alerte dès qu’une demande cumule les 4 caractéristiques typiques de la tentative de fraude : urgence de la demande, insistance de l’interlocuteur, montant élevé et virement vers un pays inhabituel.
  • Mettez en place ou actualisez des procédures qui sécurisent vos informations et opérations.
  • Sensibilisez régulièrement vos collaborateurs internes à la fraude, en leur rappelant les procédures et mesures de contrôle internes mises en place.
  • Et surtout, faites-vous confiance : Si vous avez un doute, il est très probablement fondé, appelez en parallèle votre conseiller ou votre contact habituel et expliquez-lui la situation.
 
LES ESCROQUERIES AUX FAUX ORDRES DE VIREMENT (FOVI)

L'escroquerie aux faux ordres de virement consiste à tromper intentionnellement une personne ou une entreprise, en recourant à une usurpation d'identité (un dirigeant, un prestataire, un "expert"...) pour obtenir la remise volontaire de fonds par virement bancaire.

L'escroquerie au président est la plus utilisée et la plus redoutable.

Ainsi, après s'être largement renseigné sur la situation de la future victime, l'escroc se fait passer pour un donneur d'ordre et avec force persuasion et pression psychologique, demande à un collaborateur le virement de sommes pour des "opérations exceptionnelles, confidentielles et extrêmement urgentes" sur un compte à l'étranger.

La fraude par changement de coordonnées bancaires

L'escroc se fait passer pour le fournisseur ou un prestataire de l'entreprise ou de l'association et fait croire à un changement de domiciliation bancaire pour les prochaines factures à régler. Le faux RIB est envoyé par mail, avec des caractéristiques de messagerie très proches de celles de l'interlocuteur habituel et officiel.
Ces types d'escroqueries peuvent entraîner le dépôt de bilan d'une entreprise ou d'une association. Il est donc primordial de suivre quelques règles de sécurité.

Comment s'en protéger ?
  • Sensibilisez tous vos collaborateurs qui peuvent être susceptibles de recevoir des mails ou des appels pour exécuter des virements.
  • Contrôlez toujours la demande par un contre appel auprès de vos interlocuteurs habituels.
  • Instaurez des procédures de vérification et un système de contre-signatures multiples pour les paiements internationaux.
  • Vérifiez le contenu des mails : fautes d'orthographes, problèmes de syntaxe, bon libellé de l'adresse mail de l'émetteur...
Comment réagir lorsque le virement a été exécuté ?
  • Prévenez immédiatement votre agence bancaire et la banque destinataire pour demander le blocage des fonds.
  • Avisez rapidement la Police Nationale ou la Gendarmerie et déposez plainte.

  

LES ESCROQUERIES VIA DES PETITES ANNONCES

Une personne met un bien en vente sur internet. Le vendeur est contacté par un acheteur potentiel et un accord est trouvé sur le prix d’acquisition. Au moment du règlement de la transaction, l’acheteur, sous un prétexte quelconque, paye par chèque un montant supérieur au prix de la vente et demande le remboursement de la différence par virement ou espèces. Le chèque reviendra impayé et le vendeur sera lésé.

Comment s'en protéger ?
  • Se méfier des offres trop attractives ;
  • n’accepter que des paiements correspondants au montant de la transaction ;
  • n’accepter que des paiements respectant les modalités qui ont été définies ;
  • ne pas oublier que le chèque, y compris le chèque de banque, n’est pas un moyen de paiement garanti : un rejet est toujours possible ;
  • en cas de doute, ne pas se dessaisir du bien et se laisser le temps de procéder aux vérifications nécessaires en prenant contact avec son gestionnaire de compte ;

  

LE PHISHING (OU HAMEÇONNAGE)

Le phishing est une technique par laquelle des personnes malveillantes se font passer pour des entreprises ou des organismes financiers qui vous sont familiers en envoyant des courriels frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.
L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne). Les messages évoquent souvent des factures, des impayés, des menaces de fermeture de service ou tout autre sujet sollicitant votre émotion.

Comment se protéger ?

Les banques et organismes sociaux (CAF, mutuelles, etc.) ou les entreprises commerciales ne demandent jamais à leurs clients de venir saisir leurs informations personnelles dans un courrier électronique.
Pour se connecter au site de sa banque il vaut mieux entrer manuellement l’adresse réticulaire (URL) du site dans votre navigateur.
Préférez saisir des informations personnelles (coordonnées bancaires, identifiants…) sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence par HTTPS au lieu de HTTP.
Ne cliquez pas sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux. En cas de doute, il est préférable de saisir manuellement l’adresse dans le navigateur.
Méfiez-vous des pages internet suspectes de validation d’opérations sensibles ou d’une lenteur inhabituelle de vos outils internet.

En cas de doute ou de problème, prenez contact rapidement avec votre agence bancaire ou l’organisme qui aurait envoyé ce courriel.

 
LES LOGICIELS MALVEILLANTS (VIRUS, CHEVAUX DE TROIE, VERS INFORMATIQUES)
  • Les logiciels malveillants ont en commun la capacité d’exécuter une ou plusieurs des actions suivantes une fois qu’ils ont contaminé votre dispositif numérique :
  • Endommager votre système
  • Prendre les commandes de votre ordinateur
  • Changer le fonctionnement de votre système. Un type courant de logiciels malveillants modifie votre navigateur vous laissant voir du contenu Web modifié (notamment des bannières publicitaires différentes) ou vous dirige vers de faux sites Web dans le but de recueillir vos données personnelles. La modification du contenu Web peut être difficilement repérable car le nom du site reste inchangé (url).
  • Récupérer vos données personnelles. Certains types de programmes malveillants peuvent lire les données stockées dans votre système ou saisies au clavier, dont vos renseignements financiers ou vos noms d’utilisateur et vos mots de passe, puis les transmettre à leur concepteur.
  • Chiffrer vos données pour vous extorquer des fonds en échange du déchiffrement
Comment se protéger ?

Il est préférable de ne jamais télécharger un fichier à moins d’avoir la certitude de sa légitimité et de celle de sa source. Lorsque vous téléchargez des fichiers, vous permettez à un autre ordinateur de sauvegarder quelque chose sur votre disque dur. Cela peut permettre l’installation d’un logiciel malveillant sur votre poste de travail, logiciel qui peut ne pas être détecté par des antivirus à jour, dans le cas où il s’agit d’une variante récente.
Il ne faut jamais ouvrir une pièce jointe sans que l’expéditeur ait confirmé son intention de vous l’envoyer car elle peut contenir un logiciel malveillant.
Avant de cliquer sur un lien, laissez-y votre curseur pendant un instant pour vous assurer que l’adresse URL (adresse Web) qui s’affiche y correspond. Car même si vous ne visitez pas de sites malveillants intentionnellement, cliquer sur le mauvais lien peut vous y conduire.
Il est également important d’équiper son poste de travail d’un anti-virus et de mettre régulièrement ses logiciels à jour.

 
LES ATTAQUES SUR LES MOTS DE PASSE

Pour accéder à vos données personnelles et effectuer des opérations frauduleuses, les personnes malveillantes peuvent usurper votre identité en s’attaquant à vos mots de passe.
Plusieurs techniques sont connues :

  • des logiciels permettent de générer tous les mots de passe possibles ;
  • d’autres utilisent des mots issus de liste, notamment ceux du dictionnaire ;
  • une autre méthode consiste simplement à deviner le mot de passe, en fonction d’éléments que l’attaquant aura pu obtenir sur le propriétaire du mot de passe et de ses proches (nom, prénom, date de naissance…).
Comment se protéger ?

Plus il y a de caractères et plus leur espace de départ (types de caractères) est grand, plus ces types d’attaques mettront du temps à aboutir : un mot de passe long (8 caractères minimum) utilisant trois types de caractères différents (parmi minuscule, majuscule, symbole et chiffre) ne peut ainsi être trouvé en un temps raisonnable par un attaquant ayant des moyens conventionnels.
Le choix d’un mot de passe ne faisant aucune référence à un mot connu du dictionnaire ou à des références personnelles rendra les attaques plus complexes.

Ce que BTP Banque ne vous demandera jamais par mail ou SMS

VOUS ÊTES UNE ENTREPRISE OU UN ORGANISME INSTITUTIONNEL ?

Aucun interlocuteur se présentant de notre établissement, ou comme l’un de nos prestataires, n’est autorisé à : 

  • vous demander la modification ou la communication de vos données personnelles (numéro de téléphone, adresse mail, ...) ;
  • vous demander vos identifiants et mot de passe pour accéder à votre banque en ligne ;
  • vous demander de cliquer sur un lien pour réaliser une maintenance ou pour tout autre motif ;
  • vous demander vos identifiants et mot de passe pour accéder à votre banque en ligne ou Ebics ;
  • vous demander des éléments sur votre carte bancaire (numéro, date d’expiration, cryptogramme et/ou code confidentiel) ;
  • vous demander la communication du code de validation d’une opération faite sur Internet qui vous est adressée par mail ou sms. 

 Vous pouvez également signaler un email frauduleux à l’adresse suivante : alerte-phishing@credit-cooperatif.coop.

Les 10 règles à suivre pour limiter les risques

  • Utiliser des mots de passe de qualité, "robustes", c'est-à-dire difficiles à retrouver à l'aide d'outils automatisés, et difficiles à deviner par une tierce personne. 
  • Avoir un système d'exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu personnel... pour éviter que les attaquants n'utilisent les failles d'un ordinateur.
  • Effectuer des sauvegardes régulières afin de pouvoir réagir à une attaque ou un dysfonctionnement. La sauvegarde de vos données est une condition de la continuité de votre activité.
  • Ne pas cliquer trop vite sur des liens qui pourraient être trompeurs et malveillants. Il vaut mieux saisir soi-même l'adresse du site dans la barre d'adresse du navigateur. De nombreux problèmes seront ainsi évités.
  • Ne jamais utiliser un compte administrateur pour naviguer. Ces droits permettent de conduire certaines actions et d'accéder à certains fichiers d'un ordinateur. En limitant les droits d'un utilisateur on limite aussi les risques d'infection ou de compromisison de l'ordinateur.
  • Contrôler la diffusion de vos informations personnelles. Elles peuvent être utilisées pour usurper votre identité et tenter des opérations frauduleuses.
  • Ne jamais saisir d'informations personnelles (coordonnées bancaires, identifiants...) sur des sites Internet non sécurisés.
  • Ne jamais relayer des canulars, des messages de type chaînes de lettres, porte-bonheur ou pyramides financières, appels à solidarité, alertes virales...
  • Soyez prudent ! Méfiez-vous des messages surprenants ou des interlocuteurs que vous ne connaissez pas. En cas de doute, faîtes-vous confirmer l'identité de votre correspondant en rappelant votre interlocuteur habituel.
  • Soyez vigilant avant d'ouvrir des pièces jointes à un courriel ou de télecharger des logiciels.

 

Pour aller plus loin

Vous pouvez consulter :

 

Vous pouvez également visionner la vidéo de sensibilisation "Prévention des escroqueries aux ordres de virements internationaux dans les entreprises" de la Fédération Bancaire Française.

Sécurisez votre poste de travail

La majorité des tentatives de fraude utilisent des failles de sécurité détectées par les personnes ou les programmes sur les postes de travail des utilisateurs. Pour limiter les risques, il est indispensable de bien sécuriser votre ordinateur ou votre réseau.

Installez un pare-feu

Le pare-feu (ou firewall en anglais) protège votre ordinateur ou un réseau d'ordinateurs des tentatives d'intrusion. Pour cela, il analyse les paquets de données (ou paquets IP) échangés. Il protège d'attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l'extérieur (filtrage sortant) initialisées par des programmes ou des personnes.

Pour une sécurité renforcée, si vous utilisez un routeur sans fil pour accéder à Internet, vous devez en activer la fonction de sécurité et établir un mot de passe pour le rendre inaccessible à d'autres utilisateurs.

En installant un pare-feu vous protégez votre ordinateur contre plusieurs types de menaces : les intrusions, certains virus et certains vers (infection et propagation) et les effets de certains chevaux de Troie.

Attention : un pare-feu ne protège pas contre les arrivées de virus et chevaux de Troie chargés depuis des périphériques amovibles (cédérom, clé USB, baladeur MP3...).

Installez un antivirus

Un antivirus est un logiciel de protection dont le but est de détecter les virus ou logiciels malveillants. Pour cela, il inspecte la mémoire, les disques durs de l'ordinateur et les volumes amovibles (CD, DVD, clé USB, disque dur externe...) pour vérifier que les fichiers qui y sont présents ne contiennent pas de codes malveillants connus. Il permet aussi d'effectuer régulièrement des analyses planifiées.

Attention : un antivirus ne constitue pas une protection intégrale contre tous les risques. La vigilance de l'utilisateur sur des comportements anormaux reste indispensable.

Comme toute application, l'antivirus et le pare-feu doivent être mis à jour.

Mettez à jour régulièrement votre système d'exploitation et vos logiciels

Les logiciels et les systèmes d'exploitation comportent des défauts appelés bogues. Parmi ces défauts, on trouve des défauts portant atteinte à la sécurité. C'est ce que l'on appelle les vulnérabilités. Pour s'en protéger, il suffit de télécharger une "rustine" logicielle pour réparer le défaut de sécurité. Cette rustine s'appelle une mise à jour de sécurité, un correctif de sécurité ou un patch de sécurité.

En mettant à jour régulièrement vos logiciels et votre système d'exploitation, vous évitez qu'une personne malintentionnée tire profit de leurs vulnérabilités pour essayer de prendre le contrôle de votre ordinateur, de vous voler des informations, de provoquer le dysfonctionnement ou l'arrêt de votre machine, de propager, d'installer du contenu illicite, etc...

Source : www.securite-informatique.gouv.fr/

Renforcez la confidentialité de vos données

Sans le vouloir, nous aidons bien souvent les personnes malveillantes dans leurs tentatives de fraude et d'escroquerie. Pour limiter les risques, il faut éviter au maximum de diffuser ses données personnelles.

Choisissez bien vos mots de passe

Le mot de passe est un élément déterminant pour garantir l'accès à des données confidentielles mais son efficacité repose sur l'utilisateur. Il est donc très important de savoir choisir plusieurs mots de passe robustes, c'est-à-dire difficiles à retrouver à l'aide d'outils automatisés, et difficiles à deviner par une tierce personne.

Pour créer un mot de passe robuste :

  • Choisissez des mots de passe entre 8 et 12 caractères
  • Utilisez des caractères de type différent (majuscules, minuscules, chiffres)
  • N'utilisez pas de mot de passe ayant un lien avec vous (noms, date de naissance de vous et de vos proches...)
  • Choisissez un mot de passe facilement mémorisable pour éviter d'avoir à le noter en utilisant des moyens mnémotechniques pour le fabriquer :
    • Phonétique : "Jai acheté 3 CD à 8 euros cet après-midi" : ght3CDa8E7am
    • Méthode des premières lettres : "Un tiens vaut mieux que deux tu l'auras" : 1tvmQ2tlA
  • Changez régulièrement vos mots de passe

Gardez vos données personnelles confidentielles

Ne divulguez pas d'informations personnelles (codes confidentiels, identifiants, mots de passe, données bancaires) par courriel, sur des forums ou des réseaux sociaux et ne saisissez pas de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n'offrent pas toutes les garanties requises.

Les demandes d'informations confidentielles, lorsqu'elles sont légitimes, ne sont jamais faites par courriel (mots de passe, code PIN, coordonnées bancaires, etc...).

Méfiez-vous également des demandes effectuées par téléphone par une personne qui n'est pas votre interlocuteur habituel.

En cas de doute, là encore, demandez à votre correspondant habituel de confirmer la demande.

Source : www.securite-informatique.gouv.fr/

La signature électronique : un moyen sûr, pratique et sécurisé de signer vos contrats

Avec la signature électronique, vous pouvez désormais souscrire à des produits et services, en agence ou à distance, sous format entièrement électronique avec la même valeur que les écrits sur support papier. Le procédé est totalement sécurisé. Pour signer électroniquement, il vous sera demandé de vous authentifier. Une fois signés électroniquement, vos contrats sont stockés dans votre espace sécurisé Banque à Distance. Vous pouvez les consulter, les imprimer et les télécharger quand vous le souhaitez.

Contactez-nous

Appeler la Banque BTP

Pour être mis en relation avec un centre d’affaires

Composez directement le :

* Coût appel selon opérateur

Prendre un rendez-vous

Vous souhaitez des précisions sur nos produits ou services ou prendre rendez-vous avec un chargé d'affaires.