Face à la recrudescence des fraudes et des arnaques dans le contexte de la crise sanitaire liée à la Covid-19, la task-force nationale de lutte contre les arnaques propose des fiches préventives d’identification des principales fraudes. Elle rappelle les attitudes réflexes qu’il convient d’adopter pour déjouer de potentielles arnaques et être moins vulnérable.
Contexte : la vulnérabilité des consommateurs et des entreprises face à des manœuvres frauduleuses s’est accrue avec la crise sanitaire liée à la Covid-19 – L’épidémie de Covid-19 s’est accompagnée d’une recrudescence de fraudes et d’arnaques, notamment en ligne, d’autant plus inacceptables qu’elles visent des personnes et des entreprises déjà durement touchées par la crise sanitaire et les mesures de confinement.
C’est pourquoi les administrations et les autorités de contrôle se sont rapidement mobilisées, pour mettre en place une coopération renforcée, matérialisée par la création, en avril 2020, d’une « task-force » nationale de lutte contre les fraudes et arnaques liées à la crise de la Covid-19, pilotée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Face à des consommateurs et des entreprises vulnérables, la task-force souhaite maintenir les échanges de signalements et d’informations, afin de réagir rapidement en cas de fraudes et d’arnaques exploitant l’incertitude et la fragilité économique induites par la crise. Elle propose, pour ce faire, un guide pour s’en prémunir.
Comment prévenir les arnaques et que faire si j’en suis victime ? Les fraudes et les arnaques sont très variées et touchent tant les consommateurs (particuliers) que les entreprises. Le tableau ci-après recense les principales arnaques ainsi que, pour chacune d’entre elles, des conseils pour les éviter ou pour les signaler, le cas échéant.
| Les 13 principales manœuvres frauduleuses pouvant être subies par les consommateurs et les entreprises | ||
|---|---|---|
| Messages de prévention | Que faire si j’en suis victime ? | |
| Arnaques aux achats en ligne : livraison de produits de faible qualité, voire dangereux, ou produits qui ne sont pas livrés | -faire attention aux annonces proposées sur les réseaux sociaux non sollicitées ;-comparer les sites Internet et faire jouer la concurrence ;-vérifier l’identité et les coordonnées du vendeur, qui doivent toujours être présentes sur le site ;-préférer les sites français ou européens aux sites installés hors Union européenne ;-repérer le marketing agressif, à savoir les compteurs de temps (« timer » promotionnel fictif) et de stock (valeur fictive de stock restant), le nombre d’acheteurs connectés en même temps (faux compte de visites et de commandes en cours), les prix barrés élevés… ;-être attentif à la description des produits et ne pas céder à la pression d’achat ;-vérifier la e-réputation du site, identifier les faux avis de consommateurs et diversifier ses sources d’information avant d’acheter | -s’il s’agit d’une pratique commerciale frauduleuse sur Internet : la signaler à la DGCCRF ;-s’il s’agit d’une tentative d’escroquerie : la signaler sur la plateforme PHAROS ** PHAROS est l’acronyme de plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements. Il s’agit d’un site web public créé pour permettre aux internautes de signaler des contenus et comportements illicites repérés en ligne |
| Pratiques abusives subies par les vendeurs en dropshipping (ou « livraison directe »)Le dropshipping est une vente sur Internet dans laquelle le vendeur ne se charge que de la commercialisation et de la vente du produit (il ne gère ni le stock, ni la logistique), ce dernier étant expédié au consommateur final par le fournisseur du vendeur.Les seules dépenses du vendeur sont liées à la création de la boutique en ligne et à la mise en avant de ses produits sur le web | -être vigilant face aux promesses alléchantes de gains financiers annoncés par certains formateurs en dropshipping, qui résultent souvent de la vente des formations et non des produits vendus en ligne ;-se méfier des influenceurs proposant des formations miracles, permettant de s’exonérer de la réglementation en vigueur ou des contrôles ;-faire attention aux faux avis positifs utilisés par certains formateurs ;-faire attention aux sites vendus « clé en main » (vérifier qu’ils incluent bien toutes les informations pré-contractuelles obligatoires, sous peine d’amendes administratives), et au contenu des pages préconfigurées/« thèmes » proposés, qui utilisent parfois des supports constitutifs d’infraction pénale (faux rabais, faux compte à rebours de fin de promotion, stocks fictifs..) ;-veiller à ce que sa responsabilité ne soit pas engagée du fait de produits ne respectant pas la réglementation française (produits illicites, non conformes ou dangereux), du non respect des règles du code de la consommation applicables à la vente à distance, notamment en matière d’information pré-contractuelle du consommateur, ou de la mise en œuvre de pratiques commerciales déloyales | Les signaler à la DGCCRF |
| Non conformité des gels hydroalcooliques | -être vigilant (lire attentivement les étiquettes) car tous les produits se présentant sous la forme d’un gel pour les mains ne garantissent pas nécessairement la désinfection (teneur en alcool < 60 %) ;-obtenir confirmation du commerçant que le produit acheté désinfecte ;-savoir que, jusqu’à la fin de l’état d’urgence sanitaire, les prix sont réglementés, quel que soit le mode de distribution (à titre d’exemple, un flacon de 300 ml ne peut être vendu au-delà de 4,40 € TTC) | En cas de doute sur un produit acheté, le signaler à la DGCCRF |
| Offres frauduleuses d’épargne ou de crédits | -faire attention aux usurpations d’identité des acteurs autorisés ;-se méfier des sites Internet ou des personnes qui proposent un produit à des conditions financières beaucoup plus attractives que celles des établissements traditionnels, un placement permettant de gagner rapidement beaucoup d’argent ou un crédit à un taux fixe et bas sans vérification de sa solvabilité ;-faire attention aux sites Internet ou aux personnes qui insistent fortement pour une souscription sans délai, qui demandent des coordonnées bancaires, des données personnelles ou le versement d’une somme d’argent, qui indiquent que le produit est garanti par l’Autorité de contrôle prudentiel et de résolution (ACPR) ou la Banque de France ou prétendent être liés à une autorité publique, ou qui informent que l’établissement actuel a changé de nom et que la signature d’un nouveau contrat est obligatoire ;-être vigilant face aux appels téléphoniques non sollicités, se renseigner sur son interlocuteur et ne pas céder à ses pressions ou à l’urgence ;-se méfier des promesses de gains rapides et sans contreparties ;-vérifier systématiquement que la société est autorisée à proposer ses produits et services en France, vérifier que le site ou l’entité proposant le service financier ne figure pas sur les listes noires et le tableau des alertes publiés par les autorités ;-ne pas faire de transfert d’argent vers des pays sans aucun rapport avec la société et ne communiquer aucun renseignement personnel sur Internet ou par courriel | Déposer plainte dans les meilleurs délais |
| Faux ordres de virement, en utilisant :-le changement de relevé d’identité bancaire (RIB) (nouvelles coordonnées bancaires adressées par courriel avec des caractéristiques de messagerie très proches de celles du fournisseur et/ou de l’interlocuteur habituel) ;-une fausse identité (faux président ou faux ministre) ;-un lien frauduleux (un logiciel espion invite à se connecter sur le portail de la banque gestionnaire des comptes et à composer les identifiants et codes d’accès).De nombreuses escroqueries en lien avec la crise visent des pharmacies, des hôpitaux, des EHPAD, des fournisseurs de matériel de protection médicale… | -se méfier de toute proposition commerciale prétendument « urgente » ;-ne pas communiquer d’informations susceptibles de faciliter le travail des escrocs (noms des différents managers, chefs de division, moyens de règlement, listing fournisseurs…) ;-sensibiliser l’ensemble du personnel et les partenaires ;-réaliser une veille régulière sur les évolutions des escroqueries ;-prendre le temps de vérifier, même dans l’urgence et sous la pression, les demandes de virement ;-sécuriser les installations informatiques ;-veiller à la sécurité des accès aux services de banque à distance | Prendre attache immédiatement avec sa banque pour effectuer un rappel des fonds et/ou contacter le service de police ou de gendarmerie le plus proche en apportant un maximum d’éléments (en-tête de mails et contenus, numéros de téléphone, dates et heures des appels, éléments confidentiels communiqués aux fraudeurs…) |
| Usurpations d’identité :-de soi, « classique » avec la perte ou le vol d’une pièce d’identité, ou « numérique », commise sur un réseau de communication en ligne, par phishing (ou hameçonnage) ou par création d’un faux site web ou d’un faux profil sur un service de réseau social ;-d’un professionnel (reproduction, sur des sites Internet ou dans de faux contrats, des nom, logo, adresse, numéro d’agrément ou d’autorisation de vrais organismes ou intermédiaires financiers pour rendre crédibles leurs offres frauduleuses de crédits, d’assurance ou d’instruments financiers et/ou collecter ses informations personnelles à des fins d’escroqueries) ;-d’institutions publiques ou d’autorités de contrôle (même procédé que ci-avant) | -être vigilant lors de la réception d’appels téléphoniques ou de courriels visant à soutirer des informations concernant tout membre de l’entreprise ;-ne jamais jeter des documents comportant des données personnelles sans les avoir détruits au préalable ;-ne fournir aucune photocopie de documents d’identité à des tiers qui ne sont pas de confiance ;-renforcer sa sécurité numérique : mots de passe complexes à ne pas communiquer, protections anti-phishing existant dans certains navigateurs web, pas de connexion sur des sites sensibles, dans les lieux publics ou chez des tiers, ignorance des emails de prétendus organismes de confiance demandant mes mots de passe ou autres coordonnées personnelles confidentielles, pas de clic sur les liens ni d’ouverture de documents contenus dans ces messages…-s’assurer que la personne qui propose un produit ou un service n’usurpe pas l’identité d’un professionnel autorisé (par exemple, contre-appel au siège de ce dernier et/ou comparaison de son adresse de messagerie électronique avec celle dudit professionnel) ;-ne pas oublier que les institutions publiques (DGCCRF, Banque de France…) ou les autorités de contrôle (ACPR, AMF…) ne sollicitent jamais la communication d’informations personnelles, de fichiers clients ou le versement d’une quelconque somme d’argent | -si mon identité a été usurpée, prévenir très rapidement tous les établissements financiers dont je suis client, contacter la Banque de France afin de savoir si des incidents ont été déclarés et consulter le fichier des comptes bancaires (FICOBA) pour savoir si des comptes ont été ouverts à mon nom par l’escroc ;-si j’ai versé des fonds à un escroc, contacter immédiatement ma banque pour bloquer le virement ou demander le retour des fonds versés (procédure dite de « recall ») et cesser tout contact avec mon interlocuteur ;-dans tous ces cas, collecter un maximum d’informations sur l’usurpation d’identité et conserver tous les éléments utiles (courriels, enregistrement, ordres de virement…) et déposer plainte, dès la constatation des faits, auprès d’un service de police ou de gendarmerie ou par courrier auprès du procureur de la République |
| Faux sites administratifs, prenant l’apparence de sites officiels, qui proposent, moyennant rémunération (qui peut aller jusqu’à un abonnement non souhaité), d’effectuer certaines démarches administratives courantes en lieu et place des demandeurs | -vérifier la possibilité d’accomplir les démarches administratives auprès des sites officiels, en consultant, par exemple, le site officiel de l’administration française (www.service-public.fr), avant de passer une commande et de fournir des données à caractère personnel, y compris ses coordonnées de carte bancaire ;-consulter les conseils du Centre européen des consommateurs pour vérifier le sérieux de la société qui propose le service ;-contacter, si le paiement a été effectué, le Centre précité, en particulier si le site est basé dans un autre pays de l’UE, en Islande ou en Norvège et/ou prendre contact avec sa banque pour une éventuelle procédure de remboursement (ou procédure de rétro-facturation ou de chargeback) ;-consulter le site de la Commission nationale de l’informatique et des libertés (CNIL) afin de connaître ses droits en matière de protection des données à caractère personnel | -en cas de doute sérieux sur un site administratif, le signaler à la DGCCRF ;-en cas d’escroquerie, initier une plainte sur Internet |
| Hameçonnage / phishing : technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance | -faire attention aux expéditeurs inconnus ;-être attentif au niveau de langage du courriel (erreurs de frappe, fautes d’orthographe ou expressions inappropriées) ;-vérifier les liens dans le courriel en laissant sa souris dessus avant de cliquer pour que le lien complet apparaisse, et s’assurer que ce lien est cohérent et pointe vers un site légitime ;-se méfier des demandes étranges (aucun organisme n’a le droit de demander des données confidentielles), même provenant d’une personne qui annonce faire partie de son entourage ;-l’adresse de messagerie source pouvant facilement être usurpée, si le message semble provenir d’un ami (par exemple, pour récupérer l’accès à son compte), le contacter sur un autre canal pour s’assurer qu’il s’agit bien de lui ;-utiliser un logiciel bloqueur de publicités, de filtres anti-pourriels, ou activer l’option d’avertissement contre le filoutage, présent sur la plupart des navigateurs, installer un anti-virus et le mettre à jour, désactiver le volet de prévisualisation des messages et lire ses messages en mode de texte brut | -si j’ai un doute sur un message reçu, celui-ci est sûrement illégitime : ne surtout pas ouvrir les pièces jointes et ne pas répondre, supprimer le message puis vider la corbeille ;-s’il s’agit de mon compte de messagerie professionnel : transférer le courriel au service informatique et au responsable de la sécurité des systèmes d’information de mon entreprise pour vérification et attendre leur réponse avant de le supprimer ;-si je vois une fenêtre POP-UP, ne jamais cliquer sur l’annonce et toujours utiliser la croix (X) dans le coin ;-signaler les escroqueries auprès de la plateforme PHAROS (voir ci-avant) |
| Appels frauduleux aux dons, organisés par des entités ou des sites Internet non autorisés à exercer cette activité en France, ou cagnottes mensongères, dont les escrocs demandent la mise en ligne sur des sites de financement participatif de dons dûment enregistrés, pour tromper le public et détourner les sommes collectées | -obtenir les informations nécessaires sur l’entité qui propose ce service (dénomination sociale, adresse du siège social…) et vérifier systématiquement qu’elle est autorisée, en consultant le site Internet du registre des intermédiaires du secteur financier (ORIAS) ;-vérifier que la participation au financement du projet est proposée depuis le site Internet d’une plateforme dédiée, régulièrement autorisée à exercer son activité, avec inscription préalable (pas de démarchage incitant à financer un projet) ;-vérifier que le site ou l’entité ne figure pas sur la liste noire publiée par l’ACPR ;-s’assurer de disposer d’informations suffisantes sur le projet et le porteur de projet (contrat-type, adresse et numéro de téléphone du service de réclamation) | -en cas de doute sur une cagnotte en ligne, le signaler à la DGCCRF ;-en tant que victime, déposer une plainte |
| Fraudes aux réparations informatiques ou « faux supports techniques » : lors d’une navigation sur Internet, un message de sécurité anxiogène, ayant les apparences d’une fenêtre d’alerte légitime du système d’exploitation, apparaît.Cette alerte peut faire état de la présence d’un maliciel ou de tout autre problème technique, et incite à contacter un service de support technique afin de remédier à la difficulté fictive avec l’aide d’un téléopérateur, sous menace que si le service n’est pas contacté, l’appareil compromis sera rendu inutilisable à l’expiration d’un délai de quelques minutes | -appliquer de manière régulière et systématique les mises à jour de sécurité du système et des logiciels installés sur sa machine ;-tenir à jour son antivirus, activer son parefeu et vérifier que celui-ci ne laisse passer que des applications et services légitimes ;-éviter les sites non sûrs ou illicites, qui peuvent infecter sa machine ou héberger des régies publicitaires douteuses ;-ne pas installer d’applications ou de programmes « piratés », ou dont l’origine ou la réputation sont douteuses ;-ne pas utiliser un compte « administrateur » pour consulter ses messages ou naviguer sur Internet ;-ne pas ouvrir les courriels, leurs pièces jointes et ne pas cliquer sur les liens provenant de chaînes de messages, d’expéditeurs inconnus, ou d’un expéditeur connu mais dont la structure du message est inhabituelle ou vide ;-faire des sauvegardes régulières de ses données et de son système pour pouvoir le réinstaller dans son état d’origine ;-aucun support technique officiel ne contacte jamais pour réclamer de l’argent | -ne pas répondre aux sollicitations et ne jamais appeler le numéro indiqué ;-conserver toutes les preuves (photographier l’écran si besoin) ;-s’il semble « bloqué », redémarrer son appareil ;-si son navigateur reste incontrôlable, purger le cache, supprimer les cookies, réinitialiser les paramètres par défaut et si cela ne suffit pas, supprimer et recréer son profil ;-désinstaller toute nouvelle application suspecte présente sur son appareil ;-faire une analyse antivirus approfondie de sa machine ;-si un faux technicien a pris le contrôle de sa machine, désinstaller le programme de gestion à distance, et changer tous ses mots de passe. En cas de doute ou d’échec à reprendre le contrôle de son équipement, faire appel à un prestataire référencé sur www.cybermalveillance.gouv.fr ;-en cas de fourniture de ses coordonnées bancaires/son numéro de carte de crédit, faire opposition sans délai. Si un paiement est débité sur son compte, exiger le remboursement en indiquant le dépôt de plainte ;-en cas de contact par un faux support technique, signaler les faits au ministère de l’intérieur, en ligne ;-déposer plainte au commissariat de police ou à la brigade de gendarmerie ou en écrivant au procureur de la République |
| Vol de coordonnées bancaires | -réaliser les achats uniquement sur des sites de confiance signalés par un « cadenas » et dont l’adresse commence par « https » au moment de la transaction, ne pas enregistrer son numéro de carte bancaire sur le site commerçant, ni sur l’ordinateur, éviter le piratage de sa carte bancaire en protégeant son ordinateur avec un antivirus et un parefeu et favoriser les paiements avec un numéro de carte bancaire unique ;-au distributeur automatique de billets, toujours cacher le pavé numérique avec sa main et ne pas se laisser distraire par des inconnus qui proposent leur aide ;-dans un magasin ou au restaurant, ne jamais quitter sa carte bancaire des yeux, ne jamais la confier à un inconnu et apprendre son code secret par cœur (ou ne pas le conserver au même endroit que sa carte) | Se renseigner auprès de la police nationale ou de la gendarmerie nationale |
| Rançongiciels/ransomwares : logiciels malveillants, prenant en otage les données, qui infectent les ordinateurs, chiffrent les fichiers contenus dans le système infecté et demandent une rançon (en cryptomonnaie) en échange d’une clé ou d’un mot de passe permettant de les déchiffrer (voir dépêche https://rfcomptable.grouperf.com/actu/46981.html) | Mêmes messages de prévention qu’en cas de fraudes aux réparations informatiques ou « faux supports techniques » (voir ci-avant), et :-utiliser des mots de passe suffisamment complexes et les changer régulièrement, mais vérifier également que ceux créés par défaut sont effacés s’ils ne sont pas tout de suite changés ;-éteindre sa machine en cas de non utilisation | -débrancher la machine d’Internet ou du réseau informatique ;-isoler les supports touchés ;-en entreprise, alerter immédiatement son service informatique ;-ne pas payer la rançon ;-déposer plainte auprès de la police ou de la gendarmerie ou en écrivant au procureur de la République ;-se rapprocher de sa société fournisseur d’anti-virus ou de son prestataire de service |
| Marketing de réseau/Multi level marketing (MLM) frauduleux : réseaux de vente à la boule de neige, pyramidale ou schémas de Ponzi, dans lesquels la rémunération des recruteurs résulte principalement de l’affiliation au réseau de nouveaux membres, dont les pratiques commerciales sont interdites en France, et non de la vente de produits ou services, contrairement à la vente multi-niveaux (modèle de vente directe légal en France).Les recrues sont incitées à adhérer par la promesse de prix promotionnels, de services permettant des gains ou rendements très supérieurs aux taux du marché sur des produits et placements financiers et de bonus importants en fonction du niveau atteint dans la hiérarchie.Le recrutement s’opère selon :-une forme d’endoctrinement et une certaine pression psychologique ;-l’emploi de formules accrocheuses du type « devenir riche en travaillant depuis son domicile », « opportunité financière », « investir pour gagner »… ;-l’utilisation de chaînes dédiées ou de vidéos de présentation sur Internet ;-des réunions sur invitation, souvent payantes ;-des « statuts » (et donc des niveaux de rémunération) aux noms prestigieux tels que « leader », « gold », « platinium », « legend » ;-la mise en avant sur les réseaux sociaux du train de vie des membres les mieux placés dans la hiérarchie | -faire attention au fait que ce sont souvent des proches ou des connaissances qui invitent à intégrer un système de vente illicite, ignorant eux-mêmes qu’ils en sont victimes, donc être vigilant aux discours récurrents, voire obsessionnels, tenus, parfois proches de la dérive sectaire ;-ne pas répondre ou ne signer aucun document sous la pression, n’effectuer aucun paiement ;-se poser des questions sur le produit proposé et sur la légalité de l’offre ;-réaliser, sur Internet, des recherches sur l’offre et demander des conseils objectifs à un professionnel | -collecter un maximum d’informations sur la pratique et son mode opératoire (copies écran du site Internet, enregistrement audio/vidéo des séances, échanges de mails…) ;-déposer plainte, dès la constatation des faits, auprès d’un service de police ou de gendarmerie, ou par courrier auprès du procureur de la République, ou contacter la DGCCRF |
Task force nationale de lutte contre les arnaques, « Guide de prévention contre les arnaques », avril 2021
(source rf)
