Combattre les cyberarnaqueurs, un défi du quotidien comme nous l’explique Kristen, Trust & Safety

Kristen travaille sur l’analyse de données pour mieux comprendre les méthodes de phishing et cerner le comportement des fraudeurs. Son métier lui demande de penser comme un escroc afin d’anticiper les prochains risques étapes et mieux protéger les clients N26. Elle nous parle de son travail au quotidien et nous donne sa vision des meilleurs moyens de se protéger en ligne.

Kristen, vous faites partie de l’équipe Trust & Safety de N26, qui fournit des informations aux équipes veillant à la sécurité clients. Pouvez-vous nous expliquer en quoi consiste votre travail concrètement au quotidien ?

Je suis Kristen et je travaille chez N26 comme analyste Trust & Safety, spécialisée dans les enquêtes sur les systèmes de phishing et sur le piratage de comptes. Ma mission est d’identifier les nouvelles méthodes d’hameçonnage et de fraudes qui permettent aux malfaiteurs d’accéder aux comptes clients. J’analyse également le comportement des arnaqueurs, c’est à dire comment les escrocs résonnent, et comment ils manipulent les gens pour leur soutirer des informations ou obtenir l’accès à leurs comptes en ligne afin de pouvoir optimiser notre travail de prévention et de pédagogie auprès de nos millions de clients.

Les arnaques en ligne se multiplient depuis la pandémie car nous sommes toujours plus nombreux à avoir adopté le e-commerce. Selon vous, quel est le risque le plus élevé dont les gens doivent être conscients ?

Le nombre de tentatives d’hameçonnage a littéralement explosé depuis 2020 et la forte accélération de la digitalisation des services bancaires sous l’effet de la pandémie Covid-19. Ce n’est toutefois pas l’unique raison. La plupart des gens associent le phishing (hameçonnage en français) à des e-mails de piètre qualité qui les incitent à cliquer sur un lien et à communiquer des informations personnelles pour débloquer un compte client soi-disant piraté. Pourtant, l’hameçonnage ne se limite pas à cela. De nombreuses tentatives d’hameçonnage reposent sur la manipulation émotionnelle, raison pour laquelle elles sont efficaces en temps de crise. Les gens sont alors plus impulsifs dans leurs décisions, et donc plus vulnérables.

Un secteur entier s’est développé autour de l’hameçonnage : les escrocs se professionnalisent donc de plus en plus. Les arnaqueurs se procurent parfois des kits d’hameçonnage sur le Dark Web, afin de créer des modèles de campagnes « performants ». On y trouve également des bases de données clients piratées, ainsi que des scripts de télémarketing à utiliser pour de l’hameçonnage par téléphone. L’hameçonnage par téléphone (Vishing) est en recrudescence, car une conversation personnelle inspire généralement plus confiance qu’un e-mail anonyme et est souvent plus efficace.

D’un point de vue technique, les arnaqueurs disposent aujourd’hui de moyens totalement différents de ceux employés il y a quelques années. Désormais, usurper un vrai numéro de téléphone est un jeu d’enfant. Les escrocs utilisent également certaines informations personnelles de leurs victimes, telles que leur nom ou leur numéro de compte bancaire, possiblement achetés sur le Dark Web, ce qui complique l’identification d’un appel frauduleux.

Vous dites que les situations de crise offrent aux arnaqueurs des conditions idéales pour prospérer. Pourquoi ?

Les arnaqueurs misent sur la peur et les émotions de leurs victimes. En période de crise, comme celle de la pandémie ou de la crise actuelle du pouvoir d’achat, de nombreuses personnes se montrent plus réceptives aux offres douteuses et aux arnaques car moins sereins dans leurs quotidiens, ils sont plus susceptibles de céder à des décisions impulsives qui vont les mettre en danger.

Ces derniers mois, avez-vous identifié des schémas nouveaux de fraude dont les consommateurs et consommatrices devraient prendre avoir connaissance ?

L’une des pratiques les plus marquantes concerne la fraude à la carte bancaire. Quand on parle de fraude à la carte bancaire, la plupart des gens pensent au clonage, c’est-à-dire au fait que les criminels copient les informations de la carte en utilisant des systèmes de fraude installés sur des distributeurs automatiques.  Mais aujourd’hui d’autres systèmes de fraude à la carte bancaire se développent et sont encore plus pernicieux et donc dangereux pour celui qui n’en a pas conscience. 

Prenons un exemple de la vie de tous les jours. Aujourd’hui, la plupart des plateformes de partage disposent de fonctionnalités de paiement intégrées et empêchent souvent tout échange d’argent en dehors de l’application. L’une des raisons de ce choix est liée au fait que quitter le cadre de l’application peut entraîner des risques pour la sécurité de la transaction. Le cas sur lequel j’ai travaillé prévoyait également que les clients du service utiliseraient l’application ou le site web pour effectuer le paiement d’un trajet partagé. Nous avons toutefois constaté que les chauffeurs contactaient les clients en dehors de la plateforme et les invitaient à payer de petits frais de réservation censés être remboursés immédiatement après le départ. Pour ce faire, les clients étaient priés de fournir aux chauffeurs les détails de leur carte bancaire et un code qu’ils recevraient ensuite par SMS. En réalité, les arnaqueurs utilisaient ces informations pour relier le mode de paiement des victimes à un portefeuille numérique qui leur appartenait. Les victimes ne s’en rendaient compte qu’au moment où les escrocs effectuaient des achats sur de fausses boutiques en ligne afin de dérober l’argent d’une manière très difficile à identifier ensuite comme une activité frauduleuse puisque la transaction semble avoir réalisé avec toutes les informations de sécurité nécessaires pour se faire tracer.

Et vous, quels  conseils donneriez-vous aux consommateurs pour mieux sécuriser leurs comportements en ligne?

Tout comme dans le monde réel, il faut rester sur ses gardes. Les consommateurs doivent systématiquement vérifier les e-mails, les SMS et les appels qui prétendent provenir de leur banque, d’une société de traitement des paiements, d’une boutique en ligne ou d’une entreprise similaire. 

Si quelque chose semble suspect, il est préférable de mettre fin à l’appel ou d’ignorer l’e-mail et de contacter directement l’entreprise en question pour s’assurer qu’elle en est bien à l’origine. Premier réflexe simple mais qui lorsqu’il est appliqué de façon systématique comme un réflexe de précaution, évite bien des problèmes. En règle générale, il est primordial de toujours faire attention sur Internet. En ligne, on recherche naturellement la rapidité et la facilité, et les mécanismes de sécurité sont souvent perçus comme une contrainte.En réalité, ils sont pensés pour vous protéger et vous permettre d’adopter les mesures de sécurité les mieux appropriées, comme la double authentification. Parfois cela vous demandera  quelques secondes de plus pour activer tel ou tel service, mais au final cela vous protège efficacement de toute mauvaise surprise.