Reconnaître et prévenir le phishing : protégez-vous contre la fraude en ligne

En bref :

• Comment identifier le phishing ?
• Quels signes doivent vous alerter ?
• Quelles bonnes pratiques adopter pour vous protéger ?
• Ce que BNP Paribas Fortis ne vous demandera jamais
• Que faire si vous êtes victime d’une fraude ?

Voici comment agissent les fraudeurs : ils vous envoient un e-mail ou un SMS urgent, souvent bien imité, contenant un lien vers un faux site web quasi identique à l’original. Dès que vous cliquez et entrez vos identifiants, les fraudeurs accèdent à vos comptes bancaires, e-mails ou réseaux sociaux – avec des conséquences potentiellement graves. Protégez-vous : soyez vigilant·e et adoptez les bons réflexes pour déjouer ces tentatives de phishing.

Phishing : la forme la plus fréquente de fraude en ligne

Les chiffres parlent d’eux-mêmes : près de 49 millions d’euros subtilisés en 2024, en hausse de 9 millions par rapport à 2023. En 2025, Safeonweb a reçu près de 10 millions de notifications de messages suspects.

La méthode des fraudeurs ? Jouer sur l’urgence et la peur pour vous pousser à agir sans réfléchir. Résultat : vos données personnelles ou bancaires tombent entre leurs mains.

Ne vous laissez pas piéger ! Découvrez comment repérer les formes les plus courantes de phishing (faux e-mails, SMS, WhatsApp, appels téléphoniques, codes QR malveillants) abordées ci-dessous et adoptez les bons réflexes pour vous protéger.

Quelles sont les différentes formes de phishing ?

Le phishing est une technique de fraude : les criminels se font généralement passer pour une instance officielle – banque, service public, fournisseur d’énergie – pour vous tromper. Leur but est clair : obtenir vos données personnelles (numéros de registre national et de carte d’identité, numéros de GSM), vos données bancaires (numéros de carte bancaire, codes CVV, codes PIN) ou vos données de connexion.

Ils manipulent les émotions en jouant habilement sur l’urgence, la peur et la confiance. Par des moyens de pression artificielle (délai serré, menace d’amendes ou de blocage de compte), ils vous poussent à agir sans réfléchir.

Si le phishing par e-mail reste la technique la plus répandue, les fraudeurs en ligne recourent à d’autres méthodes. Voici les plus courantes.

Phishing (fraude par e-mail)

La variante principale est la fraude par e-mail. Le phishing repose principalement sur l’envoi d’e-mails frauduleux imitant une source connue et fiable (banque, service public, etc.). Les messages jouent sur l’urgence – votre compte sera bloqué sous 24h – et contiennent des liens vers de faux sites conçus pour voler vos données. Cette technique, très populaire chez les fraudeurs, leur permet de viser des milliers de victimes potentielles en un seul envoi.

Vishing (fraude téléphonique)

Avec le vishing (le « v » signifie voice – voix), les fraudeurs se font passer pour des collaborateurs de votre banque, de Card Stop ou même de la police. Sous un prétexte alarmant – votre compte a été piraté, agissez immédiatement ! – ils vous poussent à divulguer des données sensibles (codes PIN, identifiants, etc.) ou à installer un logiciel de « dépannage » leur ouvrant l’accès à votre ordinateur ou à votre téléphone portable.

Cette méthode est redoutable car l’appel direct crée un faux sentiment de confiance et le spoofing (usurpation de numéro) donne l’illusion d’un appel officiel.

Smishing (fraude par SMS)

Le smishing est une technique de piratage qui utilise les SMS ou d’autres types de messages comme WhatsApp pour vous tromper. Ces messages imitent une source fiable comme votre banque ou une autre organisation de confiance, et contiennent un lien piégé vers un site frauduleux. Ils jouent également sur l’urgence (« Payez immédiatement une facture impayée ») ou la surprise (« Payez immédiatement une facture impayée »).

Quishing (fraude avec codes QR)

Les fraudeurs exploitent désormais les codes QR pour piéger leurs victimes. En scannant un code QR malveillant, vous risquez d’être redirigé·e vers un site de phishing ou d’installer automatiquement un logiciel espion sur votre appareil. Ils placent ces codes piégés en ligne (e-mails, SMS) ou dans l’espace public (autocollants sur des terminaux de paiement, distributeurs de tickets de parking ou bornes de recharge pour voitures électriques) et peuvent les coller sur un vrai code QR. Les fraudeurs profitent de votre confiance envers les codes QR – pratiques et courants – pour vous inciter à scanner sans méfiance.

Phishing à domicile (notamment avec de faux banquiers)

Une technique récente consiste à envoyer chez vous de prétendus collaborateurs de la banque ou de la police pour récupérer vos cartes bancaires et codes secrets sous prétexte de vous « prévenir d’un dommage ». Généralement, ils vous alertent par téléphone (vishing) que vous êtes victimes d’une fraude. Une fois chez vous, ils emportent aussi des objets de valeur pour les placer en sécurité, par exemple, dans le coffre de la banque. Aucune banque n’agit de la sorte !

Comment reconnaître le phishing et s’en protéger ?

Votre première ligne de défense, c’est de pouvoir identifier la fraude. Mais comment déceler immédiatement un message suspect, un SMS frauduleux ou un appel téléphonique malveillant ?

Découvrez ci-dessous les exemples concrets de faux messages et les signaux d’alerte pour mieux vous protéger contre la fraude en ligne.

Signaux d’alerte de fraude en ligne

• Action urgente requise : les fraudeurs utilisent la pression et l’urgence pour vous pousser à agir, p. ex. pour « payer d’urgence une facture impayée » ou pour « transmettre votre code PIN, sinon vos cartes bancaires seront bloquées ». Si vous recevez ce type de message de votre banque ou d’un autre prestataire de services de manière inattendue ou sans raison apparente, soyez particulièrement vigilant·e, il pourrait s’agir de phishing. En cas de doute, contactez toujours vous-même la banque ou l’entreprise via le site officiel ou les données de contact.
  
  
• Expéditeur suspect : l’adresse e-mail semble étrange ou le domaine après le @ ne correspond pas à l’adresse officielle. Assurez-vous toujours qu’il s’agit d’une adresse e-mail légitime, en faisant attention au nom de domaine ou aux fautes d’orthographe. Ayez le réflexe de survoler l’adresse e-mail avec la souris. Si quelque chose vous semble suspect, c’est sans doute une arnaque.
  
  
• Lien non fiable : si vous passez la souris sur le lien, vous ne voyez pas s’afficher le nom de domaine officiel du site. Tout ce qui figure dans une URL après le protocole (http://ou https://) et avant la toute première barre oblique simple (/) correspond au nom de domaine. Soyez attentif·ve aux anomalies et aux chemins suspects qui suivent cette première barre oblique.
  
  
• Civilité générale : le message ne contient pas de formule personnelle, mais seulement une formule générale comme « Cher client », ou pire, ne comporte aucune formule.
  
  
• Fautes linguistiques et orthographiques : les messages frauduleux s’améliorent grâce à l’intelligence artificielle (IA), contenant moins de fautes évidentes. Pourtant, certains trahissent encore leur origine par des tournures maladroites, des fautes d’orthographe ou des traductions peu naturelles.
  
  
• Pièces jointes suspectes : méfiez-vous des e-mails inattendus contenant des pièces jointes susceptibles de contenir des virus, en particulier si elles se terminent par .exe, .zip, .js ou .scr.
  
  
• Appels téléphoniques inattendus : de faux employés de la banque appellent un client. Sous prétexte d’un problème urgent à résoudre, ils demandent d’installer un logiciel ou de communiquer des codes d’accès, des mots de passe, etc... Soyez particulièrement vigilant·e face à ce type d’appel.
  
  
• Demande de données personnelles : méfiez-vous de toute demande vous incitant à fournir vos codes, mots de passe, numéros de compte, numéros de carte bancaire ou autres informations personnelles. Ne communiquez jamais ces données par e-mail, SMS, téléphone ou à des « banquiers à domicile ». Votre banque et les autres organismes officiels ne vous le demanderont jamais.
  
  
• Demande d’installation de logiciel : les fraudeurs peuvent vous inciter à installer un logiciel sous prétexte de résoudre un problème, mais il s’agit en réalité d’un logiciel malveillant qui leur permet d’accéder à votre ordinateur ou à votre smartphone.
  
  

Réflexes essentiels pour vous protéger contre la fraude en ligne

• Vérifiez systématiquement l’expéditeur et les URL – Passez la souris sur l’adresse e-mail pour afficher l’adresse réelle ou sur le lien (sans cliquer dessus !) pour voir à quel site il renvoie.
  
  
• Ne cliquez jamais sur un lien ou une pièce jointe dans un message suspect – Saisissez vous-même l’adresse du site dans votre navigateur ou utilisez un favori enregistré pour vérifier les éventuelles notifications.
  
  
• Connectez-vous vous-même via le site ou l’app officiel(le) – N’utilisez jamais de liens provenant d’e-mails, même s’ils semblent réels. Ne saisissez aucune donnée personnelle sur des sites suspects.
  
  
• Ne partagez pas de données personnelles via des canaux non sécurisés – Ne communiquez jamais de codes PIN, de mots de passe, de données personnelles ou bancaires par e-mail, SMS ou téléphone, même en cas d’urgence ou de pression.
  
  
• N’acceptez jamais les demandes d’installation de logiciels – Même sous prétexte d’urgence à agir rapidement, n’installez jamais de logiciels dits de résolution de problèmes.
  
  
• Gardez la tête froide en cas de contact inattendu – Méfiez-vous systématiquement et prenez le temps de tout vérifier. Mettez fin à l’entretien et contactez vous-même l’organisation via les coordonnées officielles. Bloquez les numéros de téléphone suspects.
  
  
• N’autorisez jamais l’accès à des inconnus et ne leur confiez aucune carte de paiement ou code d’accès – Exigez toujours une preuve d’identité officielle et vérifiez-la systématiquement via les canaux sécurisés de l’entreprise.
  
  
• Signalez les messages suspects – Transmettez-les à suspect@safeonweb.be. Vous pouvez également télécharger l’application Safeonweb dans les App Stores officiels. Vous recevrez des notifications en temps réel en cas de nouvelles tentatives de phishing.

Ce que BNP Paribas Fortis ne fera jamais

Votre banque ne vous demandera JAMAIS :

• Le code de votre carte bancaire, le code CVV à 3 chiffres au dos de celle-ci, ou vos codes d’accès à Easy Banking App ou Easy Banking Web
• Les codes reçus par SMS ou générés avec votre lecteur de carte ou via itsme®
• L’installation d'un logiciel pour contrôler vos appareils à distance
• La confirmation ou l’annulation d’une opération par téléphone ou via itsme®
• Le versement d’argent sur un compte dit sécurisé

Nos collaborateurs ne se rendront JAMAIS chez vous pour venir chercher vos cartes de banque, lecteurs de cartes, codes, smartphones ou autres objets.

Que faire si vous êtes victime d’une fraude ?

• Signalez-le à l’Easy Banking Centre (lu-ve 7h-22h, sa 9h-17h) au +32 2 762 60 00.
• Appelez immédiatement Card Stop au 078 170 170 pour bloquer toutes vos cartes de banque ou bloquez directement votre/vos carte(s) de débit via Easy Banking App.
• En dehors des heures d’ouverture de l’Easy Banking Centre et uniquement en cas de soupçon de fraude, vous pouvez appeler le +32 2 433 43 80.
• Faites une déclaration à la police (suivez les directives de Febelfin) et remettez une copie de votre feuille d’audition à votre agence BNP Paribas Fortis ou à un bureau de poste.
• Vérifiez via Easy Banking App (Paramètres > Sécurité > Appareils avec nos apps) ou Easy Banking Web (Paramètres > Accès à nos apps) sur quels appareils votre app bancaire est installée et supprimez les appareils suspects et inconnus.
• Pour plus d’informations, rendez-vous sur Safeonweb.be, auprès de la Fédération belge du secteur financier et du Centre for Cyber Security Belgium.

Restez vigilant·e !

Le phishing se perfectionne sans cesse, mais vous pouvez vous en protéger efficacement. En identifiant les signaux d’alerte et en adoptant les bons réflexes, vous réduisez considérablement les risques de tomber dans le piège de la fraude en ligne.