Les fraudes bancaires ont évolué rapidement avec l’essor des outils numériques depuis le début de la décennie, et les tactiques restes polymorphes. Tracfin a documenté de nouvelles méthodes employées par des escrocs organisés et par des acteurs isolés, visibles dans plusieurs secteurs économiques. Les points essentiels et les mesures immédiates utiles sont présentés immédiatement après.
Cet état des lieux croise la cybercriminalité, le phishing et la surveillance financière opérationnelle, afin de rendre compte des risques concrets. Les exemples, tableaux et conseils ci-dessous visent à aider responsables et particuliers concernés à agir rapidement. Les éléments pratiques et urgents suivent immédiatement pour faciliter la lecture et l’action.
A retenir :
- Changement de RIB frauduleux, adresse mail presque identique
- Usurpation d’identité de dirigeant, faux ordres de virement
- Phishing via lien imitateur contenant logiciel espion de la banque
- Opérations ciblées pendant week-ends, jours fériés, déplacements du responsable
Méthodes observées par Tracfin contre les fraudes bancaires
Après ces éléments essentiels, il importe de décomposer les techniques qu’observe Tracfin sur le terrain pour mieux comprendre les schémas. Cette section détaille le changement de RIB, l’usurpation d’identité et les liens frauduleux, avec exemples et repères pratiques.
Changement de relevé d’identité bancaire et faux RIB
Ce mode d’escroquerie commence par une modification apparente des coordonnées bancaires envoyée par courriel ou message imitant un fournisseur. Les escrocs envoient un nouveau RIB par courriel imitant le fournisseur habituel pour tromper le service comptable, provoquant des virements vers des comptes frauduleux. Selon Ma Sécurité, ces faux ordres visent aussi bien les entreprises que des filiales domiciliées à l’étranger et restent fréquents pendant les périodes de garde légère.
Signes d’alerte opérationnels :
- Adresse expéditeur proche mais différente sur un ou deux caractères
- Demande de modification des coordonnées sans confirmation téléphonique
- Pièce jointe au format inhabituel ou RIB déposé sur hébergeur externe
- Urgence affichée pour accélérer le paiement sans contrôle
Le tableau suivant synthétise les principales méthodes et leurs effets sur la trésorerie afin d’éclairer les responsables comptables et financiers. Il permet de comparer rapidement les modes d’opération et d’identifier les priorités de surveillance.
Technique
Mode d’opération
Moment fréquent
Conséquence
Changement de RIB
Courriel imitant fournisseur
Veilles de week-end ou jours fériés
Virement vers compte frauduleux
Usurpation d’identité
Faux dirigeant ou courriels falsifiés
Périodes de déplacements
Validation d’ordres sans contrôle
Phishing par lien
Portail factice avec logiciel espion
Toute l’année, pics saisonniers
Vol d’identifiants et accès aux comptes
Compromission messagerie
Redirection de courriels internes
Avant clôtures comptables
Blocage des vérifications internes
« J’ai confirmé un changement de RIB et la banque a rappelé les fonds partiellement, ce délai a sauvé une partie du budget. »
Claire D.
Phishing et hameçonnage : formes récentes de cybercriminalité
La sophistication des attaques en ligne amplifie le risque lié au phishing et au hameçonnage ciblé, mettant à l’épreuve la vigilance des utilisateurs. Les escrocs exploitent des outils d’espionnage et des portes d’entrée numériques pour voler des identifiants sensibles et automatiser les ordres de virement.
Liens frauduleux et logiciels espions ciblant les identifiants
Les liens malveillants redirigent souvent vers des portails factices conçus pour collecter identifiants bancaires et codes d’accès sans déclencher d’alerte. Selon Tracfin, les URL imitées et les pièces jointes infectées figureront parmi les vecteurs les plus exploités pour compromettre des comptes. Les campagnes s’appuient sur des messages crédibles, parfois en usurpant des interlocuteurs internes à l’entreprise.
Mesures immédiates urgentes :
- Contacter la banque pour tenter un rappel des fonds
- Ne jamais communiquer identifiants ou codes par courriel
- Isoler les machines compromises et changer les mots de passe
- Conserver courriels et captures d’écran comme preuves
La vidéo ci-dessus explique les mécanismes fréquents et les démarches initiales pour réagir rapidement après un hameçonnage réussi. Elle illustre des cas concrets et fournit des exemples de courriels factices à reconnaître par les services financiers.
« Le site semblait identique, j’ai donné mes codes sans me douter de la supercherie, j’ai perdu un mois de trésorerie. »
Jean P.
Surveillance financière et lutte contre le blanchiment d’argent
Après le constat des attaques en ligne, la surveillance financière et les obligations LCB-FT doivent s’adapter face au blanchiment d’argent facilité par certaines fraudes. La coopération entre établissements financiers et autorités est devenue centrale pour tracer les flux et remonter aux réseaux impliqués.
Rôle de Tracfin et nouvelles obligations de déclaration
Tracfin centralise les déclarations et oriente les procédures de recherche sur les flux suspects, en s’appuyant sur des signalements massifs du secteur financier. Selon ACPR et Tracfin, l’utilisation d’outils analytiques et d’intelligence artificielle est recommandée pour détecter les schémas répétitifs et les réseaux organisés.
Le tableau ci-dessous présente les acteurs concernés, leurs obligations et des recommandations opérationnelles pour renforcer la sécurité bancaire et la conformité.
Acteur
Obligation
Recommandation
Outil recommandé
Banques
Déclaration de soupçon
Renforcer la vigilance transactionnelle
Analyse comportementale
Assurances
Surveillance des flux clients
Automatiser les alertes anormales
IA et scoring
Notaires
Vigilance sur opérations de capitaux
Vérifier l’origine des fonds
Contrôles documentaires
Entreprises
Contrôles internes
Former comptables et trésoriers
Procédures internes strictes
« La coopération entre banques et autorités est essentielle pour améliorer la détection et réduire les pertes. »
Marc L.
Procédures post-intrusion et rappels pratiques pour incidents
Après une attaque, la priorité consiste à contenir le dommage et conserver les preuves transactionnelles nécessaires aux enquêtes judiciaires. Selon Ma Sécurité, contacter immédiatement la banque et les forces de l’ordre augmente fortement les chances de récupération partielle des fonds.
Procédures post-incident :
- Contacter immédiatement la banque pour rappel des fonds
- Porter plainte et fournir entêtes de courriels et captures d’écran
- Changer tous les mots de passe et bloquer accès compromis
- Conserver l’ensemble des échanges et journaux d’accès
« J’ai appelé la banque et la gendarmerie, nous avons fourni les courriels et les numéros d’appel, l’enquête a progressé. »
Sophie R.
La vidéo ci-dessus illustre les actions coordonnées entre établissements et enquêteurs pour remonter les flux et bloquer les comptes frauduleux. Elle montre aussi l’importance de la réactivité des victimes et des services bancaires face aux transactions frauduleuses.
Source : Tracfin, « Rapport d’activité 2024 », Tracfin, 2024 ; ACPR, « Lignes directrices conjointes », ACPR, 2024 ; Ma Sécurité, « Les escroqueries aux faux ordres de virement », Ma Sécurité, 2024.
