Le phishing augmente : ne laissez aucune chance aux escrocs

Un SMS de votre banque à propos d’une transaction suspecte, un appel téléphonique de quelqu’un qui dit être de Card Stop, en e-mail vous demandant de confirmer vos données… Le phishing nous est devenu tellement familier que nous en viendrions à le considérer comme normal. Mais la menace s’aggrave et les méthodes deviennent de plus en plus sophistiquées.

En 2025, des Belges vigilants ont transmis près de dix millions de messages suspects à suspect@safeonweb.be. C’est trois fois plus qu’en 2020. Les chiffres confirment ainsi que le phishing n’est pas du tout en déclin (source). Grâce aux signalements, de nombreux liens suspects ont été identifiés et les internautes moins attentifs qui ont cliqué dessus ont été automatiquement redirigés – pas moins de 200 millions de fois – vers une page d’avertissement (source).

Le phishing fait énormément de dégâts financiers. En 2024, il a rapporté aux escrocs un butin de près de 49 millions d’euros en Belgique. En 2022 et 2023, il s’agissait encore de 40 millions, contre environ 25 millions en 2021 (source). Les chiffres définitifs pour 2025 ne sont pas encore disponibles, mais vu la hausse continue du nombre de signalements et des vagues d’attaques, il est tout à fait possible qu’ils atteignent un nouveau record. Par ailleurs, des chiffres récents sur la fraude via des boutiques et des plateformes en ligne ont été publiés pour 2025 : l’année dernière, les consommateurs belges ont perdu 32 millions d’euros à cause d’escroqueries sur des places de marché en ligne, soit une forte hausse par rapport aux 12 millions d’euros en 2024 (source).

Des fautes d’orthographe à une communication parfaite

Par le passé, les e-mails de phishing étaient reconnaissables à un langage malhabile, une adresse e-mail étrange ou une mise en page bancale. Ces temps sont (en grande partie) révolus. Les outils d’IA permettent aux criminels de rédiger des messages sans erreur et d’imiter le style de communication des entreprises. Les signaux d’alerte classiques, comme les fautes d’orthographe, disparaissent et les filtres antispam sont plus faciles à contourner.

De plus, cela fait longtemps que le phishing ne se limite plus aux e-mails. Les criminels sont actifs par SMS (smishing), WhatsApp, Facebook, des invitations dans Google Agenda, de faux codes QR (quishing), des sites web d’occasion, etc. En outre, les outils sont devenus très accessibles : une application de base pour imiter les messages d’une banque coûte à peine 150 euros (source). Les escrocs jouent sur les émotions et l’urgence. Ils envoient des messages tels que « Votre abonnement sera résilié demain » ou « Nous avons détecté une tentative de connexion suspecte à votre compte ». L’objectif est toujours le même : vous faire cliquer sur un lien qui vous redirigera vers un site web malveillant, pour que vous y introduisiez vos données qui parviendront directement aux malfaiteurs.

Vishing : le téléphone comme arme

La tendance la plus marquante de l’année dernière est la forte progression du vishing. Dans ce type d’attaque, les criminels appellent leur victime et se font passer pour un collaborateur ou une collaboratrice d’une banque, de Card Stop ou même de la police. Souvent, cela commence par un appel robotisé : un message automatique vous demande d’appuyer sur une touche. Si vous le faites, vous aurez un escroc en ligne qui essayera de se faire passer pour un véritable collaborateur. Même si le numéro de téléphone semble belge et que l’appelant connaît votre nom ou vos coordonnées bancaires, cela ne signifie pas que l’appel est authentique (source).

Une autre variante qui est actuellement en plein essor : les criminels se font passer pour un agent de votre opérateur téléphonique et tentent de vous convaincre de télécharger une application. Une fois installée, celle-ci leur permet d’accéder à votre appareil et donc à vos coordonnées bancaires, vos mots de passe et vos informations personnelles.

Quishing : le code QR comme piège

Une autre technique émergente est le quishing : la fraude via de faux codes QR. Cela consiste à diffuser par e-mail, SMS ou WhatsApp des codes QR qui ont un aspect officiel, mais qui redirigent vers des sites web frauduleux. Il est alors demandé aux victimes de payer une amende ou une facture fictive, ou bien une application s’installe automatiquement qui leur dérobera leurs identifiants de banque en ligne. Nous avons tendance à scanner instinctivement les codes QR, sans vérifier l’URL qui se cache derrière. C’est précisément de ce réflexe dont profitent les escrocs.

Comment vous protéger ?

1. Ne cliquez jamais sur des liens sans les vérifier

Vous recevez un message suspect ? Tapez toujours manuellement l’adresse web que vous connaissez dans votre navigateur. Ne cliquez jamais sur des liens contenus dans des e-mails, des SMS ou des messages WhatsApp, même si l’expéditeur semble familier.

2. Scannez les codes QR avec une saine méfiance

Vérifiez toujours l’URL à laquelle le code QR renvoie avant de remplir des données ou d’effectuer un paiement.

3. En cas de doute, raccrochez

Vous recevez un appel de quelqu’un qui dit être de votre banque, de Card Stop ou de la police ? Mettez fin à la communication et rappelez vous-même le numéro officiel. Ne donnez jamais de codes, de mots de passe ou de codes PIN par téléphone. Aucune instance légitime ne vous le demandera.

4. Ne téléchargez pas d’applications sur demande

Si quelqu’un vous demande par téléphone ou par message de télécharger une application, ne le faites jamais. Les criminels s’en servent pour accéder à votre appareil et à vos données bancaires.

5. Transférez les messages suspects

Vous avez reçu un e-mail de phishing ? Transférez-le à suspect@safeonweb.be. Ainsi, en plus de vous protéger, vous protégerez aussi autrui.

6. Activez l’authentification en deux étapes

Ajoutez une couche de sécurité supplémentaire à vos comptes en ligne. Même si un criminel a votre mot de passe, l’authentification en deux étapes rendra beaucoup plus difficile la connexion à votre compte.

7. Vérifiez régulièrement vos comptes

Consultez régulièrement l’historique de vos transactions. Plus vite vous remarquerez une transaction suspecte, plus il y a de chances que votre banque pourra limiter les dégâts.

CONSEIL

Vous vous demandez si un message, un appel téléphonique ou un e-mail provient vraiment de Keytrade Bank ? Utilisez la fonction d’appel intégrée à l’app Keytrade Bank pour nous téléphoner. Vous avez ainsi la certitude de parler à un collaborateur officiel.

Sécurité en ligne avec Keytrade Bank

Chez Keytrade Bank, la sécurité est une priorité absolue. Vous avez saisi vos coordonnées bancaires sur un site web suspect ? Vous avez communiqué des données personnelles par téléphone à un inconnu ? Vous remarquez un paiement que vous n’avez pas réalisé vous-même ? … Appelez-nous 24 h/24 et 7 j/7 au + 32 2 679 90 00.