Auto-certification : Quand l’hameçonnage de vos données se fait plus fin !

Depuis quelques jours, un phishing aux couleurs de plusieurs institutions financières joue avec l’auto-certification et l’authentification forte imposées par l’état Français, et l’Europe, auprès des banques et des clients. Explications !

Pour lutter contre l’évasion fiscale, l’état Français a mis en place une réglementation dédiée. Nous sommes alors en janvier 2016. Baptisée « Auto-certification ». Mission, certifier sur l’honneur avoir sa résidence fiscale sur le territoire Français.

Pour cela, les établissements financiers sont dans l’obligation de faire signer un document d’auto-certification à l’ensemble de leurs clients.

Dans quelques semaines, si toutes les signatures n’ont pas été récoltées, les amendes vont tomber. Les clients sont passibles d’une amende de 1 500€. La banque est aussi dans la ligne de mire en cas de non-certification des clients. Une punition de plusieurs milliers d’euros par client récalcitrant.

Bilan, c’est la course dans les agences. Lettres de relances et autres rappels tombent comme neige en hiver.

Les pirates aux aguets !

Et des pirates très bien informés ont compris l’intérêt de la chose. Depuis plusieurs jours, des courriels aux couleurs de différents banques indiquent qu’il est possible de « s’auto certifier » via le site web de leur banque.

Il est effectivement possible de le faire dans la condition de posséder une authentification forte. Cette « double authentification » est d’ailleurs obligatoire. Le 1er janvier 2020, il ne sera plus possible de se connecter sur son compte sans cette authentification forte. Elle additionne identifiant (login), mot de passe et un second code de sécurité.

Bilan, les pirates jonglent avec ces nouvelles normes et obligations. Ils rappellent à l’ordre les clients en usurpant les banques. Les clients deviennent plus facilement manipulables face à cet hameçonnage.

Dans ce cas, le social engineering n’utilise plus l’argent ou une demande de remboursement (comme ce phishing ci-dessous diffusé depuis début décembre 2019), mais la législations en vigueur ou en cours de mise en place.

Au moindre doute, ne renseignez aucun formulaire en ligne. Contactez votre banque !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.