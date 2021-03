Déjà en forte hausse, le nombre de faits de "hameçonnage" a explosé depuis le premier confinement. Une "fraud team" a été créée par le parquet de Bruxelles, notamment pour tenter d'endiguer la vague.

Le confinement a fait baisser la criminalité en rue, mais a fait exploser les délits informatiques, en premier lieu le "phishing", cette technique d'usurpation d'identité sur le web. Le phénomène avait déjà été constaté par l'intégralité de la chaîne judiciaire depuis de longs mois, il a été objectivé, ce lundi, avec la publication des nouvelles statistiques de la police fédérale relatives au 1ᵉʳ semestre 2020.

Selon ces données, les plus récentes qui existent, le nombre de faits de phishing constatés du 1ᵉʳ janvier au 20 juin 2020 a déjà dépassé celui de l'année 2019. Au second trimestre 2020, 2.163 faits ont été constatés, contre 1.275 au premier trimestre, 1.056 au quatrième trimestre 2019, 568 au précédent. Une courbe exponentielle. En observant les données de plus près, on constate que les chiffres ont explosé entre mars (405 faits) et avril (776 faits) 2020, soit au moment du premier confinement, pour rester ensuite à haut niveau. Le Centre pour la cybersécurité de Belgique avait déjà observé, en janvier, avoir reçu deux fois plus de messages suspects en 2020 qu'en 2019.

Israël, Pays-Bas, Maroc...

"Nous notons une augmentation des faits de fraude et d'escroquerie, et principalement de phishing via SMS, due à la dématérialisation croissante de la délinquance." Marie-Astrid Dembour Substitut du procureur du Roi de Bruxelles

Les retours du monde judiciaire laissent penser que la courbe continue à progresser. Le pire dans cette affaire est qu'il est admis que le nombre de plaintes n’est manifestement pas représentatif du nombre de victimes réelles. Cela signifie que le phénomène est encore plus important que ce que l’on peut voir en termes de statistiques. Bref, la vague est là et bien présente. Et elle a tendance à emporter les particuliers, alors que les chefs d'entreprise sont quant à eux plutôt victimes de fraudes CEO, BEC, rançongiciel, carambouilles (lire ci-dessous).

Vue en plein écran Les faits de phishing (hameçonnage) repérés par la police sont en progression exponentielle depuis fin 2019.

C'est face à ce constat qu'à l'initiative du parquet de Bruxelles, la police judiciaire fédérale, les polices locales, les banques, la FSMA, la Ctif et Febelfin, notamment, se sont rapprochés autour d'une toute nouvelle "fraud team". "Nous notons une augmentation des faits de fraude et d'escroquerie, et principalement de phishing via SMS, due à la dématérialisation croissante de la délinquance. À cet égard, le confinement a eu un impact très important", indique la substitut du procureur du Roi de Bruxelles, Marie-Astrid Dembour, qui coordonne la manœuvre avec sa collègue néerlandophone, Sanne Haex. "L'objectif est de sortir de nos dossiers respectifs, de prendre de la hauteur et d'optimiser les enquêtes", poursuit la magistrate.

Malgré cette volonté affichée, les autorités manquent de mains et d'outils face à l'ampleur du phénomène et à l'organisation criminelle en action. Celles-ci agissent souvent de l'étranger – principalement Israël, Pays-Bas, Maroc, Pakistan, Niger... – en ayant recours à des armées de mules bancaires, souvent de jeunes hommes à la recherche d'argent facile. "Les mules sont, la plupart du temps, des jeunes issus de milieux socio-économiques défavorisés ou des étudiants qui se laissent convaincre par l'argent facile et prétendument sans risque", indique Marie-Astrid Dembour. Leur boulot? Mettre leur compte à disposition d’autrui pour recevoir l'argent issu d'une fraude avant qu’il soit transféré vers celui d'une autre mule ou d'un compte à l'étranger. Tels des petits dealers 2.0, les mules bancaires – phénomène transversal observé dans la plupart des fraudes – sont les premières à tomber lors d'enquêtes policières. Mais les véritables organisateurs, eux, sont bien plus difficiles à "toucher". Et quand c'est le cas, "il est rare de pouvoir retrouver l'argent détourné", précise-t-on au parquet.

"En deux clics, l'argent part"

Parmi les écueils rencontrés par les autorités, l’absence de compatibilité requise entre le nom de bénéficiaire d’un versement encodé par les victimes et le réel titulaire du compte, le caractère international et la professionnalisation des organisations criminelles, la conservation et l'accès aux données téléphoniques qui ne durent que quelques mois, mais aussi et surtout la rapidité d'action. "En deux clics, l'argent part alors que nous en sommes encore à l'époque du papier", souffle Mme Dembour.

2.163 Il y a eu 2.163 faits de phishing répertoriés par la police fédérale au second trimestre 2020. C'est 4,8 fois plus que l'année précédente.

Du côté de Febelfin, "on se réjouit" de la création de cette "fraud team", indique son porte-parole Rodolphe de Pierpont. "L'objectif est d'avoir un meilleur échange d’informations sur ces fraudes que l'on voit apparaître et se répandre. La toute grande majorité des fraudes, c'est le phishing, utilisé par tous les canaux possibles, par SMS, mail, réseaux sociaux, jouant de plus sur la peur de la pandémie."

C'est l'une des conclusions de ce phénomène: le meilleur moyen d'endiguer cette vague criminelle est la prévention et la prudence. En cas d'escroquerie, rappelle le parquet, il est utile de porter plainte immédiatement.

Les grands types de fraudes Le phishing, ou hameçonnage. Il consiste à obtenir les mots de passe et identifiants d'une cible. Il s'agit de loin de la fraude la plus usitée.

Il consiste à obtenir les mots de passe et identifiants d'une cible. Il s'agit de loin de la fraude la plus usitée. Le "real time phishing". Il s'agit d'une absorption de données en direct lorsque la victime est contactée par une personne qu'elle croit être son banquier et qu'elle consent à utiliser son code.

Il s'agit d'une absorption de données en direct lorsque la victime est contactée par une personne qu'elle croit être son banquier et qu'elle consent à utiliser son code. La fraude "Whatsapp". Il s'agit d'une demande d'aide financière effectuée via un faux profil Whatsapp.

Il s'agit d'une demande d'aide financière effectuée via un faux profil Whatsapp. La fraude post-it. Il s'agit d'une méthode artisanale mais toujours efficace, par laquelle une facture est volée et modifiée via un logiciel de traitement. En progression en Belgique.

Il s'agit d'une méthode artisanale mais toujours efficace, par laquelle une facture est volée et modifiée via un logiciel de traitement. En progression en Belgique. La fraude CEO. Les escrocs prennent contact avec une personne habilitée à effectuer des paiements au sein d'une entreprise. Les escrocs se font passer pour le CEO ou le CFO de l'entreprise, en déplacement à l'étranger, qui ont besoin qu'un important virement de plusieurs centaines de milliers d'euros soit effectué. "Il s'agit d'une fraude où le 'chiffre noir', c’est-à-dire celui de ceux qui ne déposent pas plainte, est le plus élevé. Certaines entreprises très connues en ont été victimes en Belgique", note le parquet de Bruxelles.

Les escrocs prennent contact avec une personne habilitée à effectuer des paiements au sein d'une entreprise. Les escrocs se font passer pour le CEO ou le CFO de l'entreprise, en déplacement à l'étranger, qui ont besoin qu'un important virement de plusieurs centaines de milliers d'euros soit effectué. "Il s'agit d'une fraude où le 'chiffre noir', c’est-à-dire celui de ceux qui ne déposent pas plainte, est le plus élevé. Certaines entreprises très connues en ont été victimes en Belgique", note le parquet de Bruxelles. La fraude "business e-mail compromise" (BEC) , ou compromission par e-mail d'entreprise. Les pirates s'octroient une boîte d'une société et encodent des données via un malware. C'est par ce biais que Crelan a subi une fraude à 70 millions d'euros, en 2015.

, ou compromission par e-mail d'entreprise. Les pirates s'octroient une boîte d'une société et encodent des données via un malware. C'est par ce biais que Crelan a subi une fraude à 70 millions d'euros, en 2015. La fraude carambouille. Une fraude très simple en apparence, par laquelle un escroc prend l'identité d'un employé connu de l'entreprise et effectue des commandes pour plusieurs centaines de milliers d'euros pour des marchandises qui seront livrées dans un faux point de contact. "En Belgique, des grandes et petites sociétés se sont fait avoir", note-t-on au parquet de Bruxelles.

Une fraude très simple en apparence, par laquelle un escroc prend l'identité d'un employé connu de l'entreprise et effectue des commandes pour plusieurs centaines de milliers d'euros pour des marchandises qui seront livrées dans un faux point de contact. "En Belgique, des grandes et petites sociétés se sont fait avoir", note-t-on au parquet de Bruxelles. Les fraudes à l'investissement. La victime se fait approcher, généralement par téléphone ou via une publicité afin d'investir dans un produit financier ou des biens (diamants, parkings, cryptomonnaies) qui s'avèrent inexistants.