Le SMS « alerte fraude bancaire » est-il une arnaque ?

À quoi ça ressemble

Vrais exemples, anonymisés.

      BNP Paribas Alerte : Avez-vous autorisé un achat de 493,27 € chez Fnac Paris ? Répondez OUI pour confirmer ou NON pour bloquer. Pour le service fraude, appelez le 01 XX XX XX XX.
    

      Crédit Agricole : Votre compte a été temporairement restreint en raison d'activité suspecte. Vérifiez votre identité pour rétablir l'accès : credit-agricole-secure-id[.]com
    

Le même modèle est utilisé contre BNP Paribas, Crédit Agricole, Société Générale, LCL, Crédit Mutuel, Caisse d'Épargne, La Banque Postale, Boursorama, Revolut, N26, UBS, et toute autre grande banque. L'arnaque fonctionne de la même façon dans chaque pays.

Comment l'arnaque se déroule

C'est un piège en deux étapes.

C'est la partie qui attrape même les gens prudents. Le SMS lui-même ne vole rien. La vraie attaque, c'est l'appel téléphonique qui suit.

Vous recevez le SMS : « Avez-vous autorisé ce paiement de 499 € ? Répondez NON. »
Vous répondez NON, parce que vous n'avez pas fait cet achat.
Dans les minutes qui suivent, une personne au ton professionnel appelle. L'identifiant d'appel affiche le vrai numéro de votre banque (usurpé). Elle dit : « Nous avons vu votre réponse NON, je vais vous aider à sécuriser le compte. »
On vous demande de lire à voix haute un code à usage unique qui vient de vous être envoyé par SMS, « pour vérifier votre identité ». Le code vient de votre vraie banque, déclenché par l'escroc qui se connecte à votre compte.
Vous le lisez. Ils vident le compte, souvent en créant un nouveau bénéficiaire ou en transférant vers un « compte sûr » que l'escroc prétend être le vôtre.

Signaux d'alerte

Comment le repérer.

On vous demande de lire un code à voix haute. Aucune vraie banque ne vous demandera jamais de partager un code à usage unique par téléphone, SMS ou email. Le code sert à être tapé par vous-même dans l'app de la banque, jamais à être lu à une personne.
On vous demande de « déplacer votre argent vers un compte sûr ». Aucune vraie banque ne fait cela. Si votre compte est à risque, la banque le verrouille et vous dit d'aller en agence ou d'utiliser l'app, pas de transférer de l'argent vers un nouveau compte.
Le lien n'est pas le vrai domaine de votre banque. Le vrai BNP Paribas est bnpparibas.fr. Le vrai Crédit Agricole est credit-agricole.fr. Les liens d'arnaque ressemblent à bnp-secure-login.com, ca-id.help, ou utilisent une redirection.
Urgence et menaces. « Votre compte sera fermé définitivement », « la police est impliquée », « agissez dans les 30 minutes ». Les vraies banques vous laissent des jours ou des semaines.
Ils en savent juste assez pour paraître réels. Votre nom, les 4 derniers chiffres de votre carte, peut-être un commerçant récent. Ces données viennent de fuites. Cela ne veut pas dire qu'ils ont déjà accès au compte.
Ils vous découragent de raccrocher. « Restez en ligne pour votre sécurité. » Une vraie banque veut que vous raccrochiez et rappeliez au numéro au dos de votre carte. Un escroc ne survit pas à un rappel.

Ce qu'il faut faire

Faites plutôt cela.

Raccrochez. Appelez le numéro au dos de votre carte physique. Ou ouvrez l'app officielle de la banque et utilisez le chat in-app. C'est la seule règle qui défait toute cette arnaque.
Vérifiez votre compte dans l'app officielle vous-même. S'il y a vraiment un débit frauduleux, vous le verrez. Sinon, l'alerte était fausse.
Signalez le SMS. En France, transférez au 33700. Au Royaume-Uni, au 7726. Supprimez ensuite le SMS.
Si vous avez déjà répondu ou appelé mais n'avez pas partagé de code ni de mot de passe, vous êtes probablement tranquille. Appelez quand même la vraie banque pour signaler la tentative.
Si vous avez partagé un code ou déplacé de l'argent, appelez le service fraude de votre banque maintenant. Le temps compte. Les 24 premières heures sont celles où l'argent peut parfois être rappelé. Déposez ensuite un signalement auprès de l'organisme antifraude de votre pays (France : cybermalveillance.gouv.fr, UK : actionfraud.police.uk).

Ce qu'il ne faut pas faire

Ne faites jamais cela.

Ne lisez jamais un code à usage unique à voix haute. Pas à un « représentant bancaire », pas à la police, à personne. Le code est à taper dans l'app de votre banque vous-même.
N'appelez jamais le numéro de téléphone à l'intérieur du SMS. Même s'il a l'air légitime. Utilisez le numéro au dos de votre carte.
Ne transférez jamais d'argent vers un « compte sûr ». Aucune vraie banque ne demande jamais cela. Si on vous le dit, c'est une arnaque, avec une certitude de 100 %.
Ne cliquez jamais sur le lien. Même pour « vérifier ce que c'est ». La fausse page de connexion est tout le point.

Questions rapides

FAQ.

Et si l'appelant connaissait mon nom et les 4 derniers chiffres de ma carte ?

Ces données sont partout après des années de fuites. Connaître votre nom, votre adresse, les 4 derniers chiffres de la carte, et même votre banque ne signifie pas qu'un vrai conseiller bancaire appelle. Les escrocs achètent ces listes à bas prix. Le test n'est pas ce qu'ils savent mais ce qu'ils vous demandent. Une vraie banque ne demande jamais de code, de mot de passe, de numéro de carte complet ni de transférer de l'argent.

L'identifiant d'appel affichait le vrai numéro de ma banque. Comment ?

L'identifiant d'appel est trivial à usurper. N'importe quel service VoIP bon marché peut mettre n'importe quel numéro sur votre écran. Le numéro que vous voyez quand quelqu'un vous appelle ne vaut rien comme preuve. Le seul numéro auquel vous pouvez faire confiance est celui que vous avez composé vous-même, depuis l'arrière de votre carte ou l'app officielle de la banque.

Je leur ai déjà donné un code. Que faire ?

Appelez le service fraude de votre banque maintenant en utilisant le numéro au dos de votre carte. Faites verrouiller le compte et inverser tout virement en attente. Changez votre mot de passe de banque en ligne et activez un authentificateur par app (pas SMS) si votre banque le supporte. Déposez un signalement auprès de l'agence antifraude de votre pays.

Vous avez un autre message ?

Vérifiez votre texte exact. Cela prend 5 secondes.

Gratuit, sans inscription, rien n'est conservé. Fonctionne pour SMS, email, WhatsApp, liens et captures d'écran en 10 langues.

Vérifier mon message →

Plus de guides d'arnaque

Le SMS d'alerte fraude bancaire est-il une arnaque ?