Phishing : mode opératoire

De manière générale, l’utilisateur reçoit un email/SMS et est invité à cliquer sur un lien pour faire une opération urgente (mettre à jour ses données pour continuer à avoir accès à un service…). Il est alors redirigé vers un faux site, lui demandant de saisir les détails de sa carte de crédit et/ou de valider ses informations personnelles en saisissant son User ID, mot de passe et code à usage unique (OTP) LuxTrust (dans certains cas à plusieurs reprises).

Comment repérer une tentative de phishing (hameçonnage) ?

Ces hackers se font également passer pour des agents LuxTrust par téléphone, en affichant le numéro de téléphone de LuxTrust. Ils prétendent que des opérations frauduleuses sont en cours sur le compte bancaire de la victime. Et demandent dont une validation de la victime pour soit disant éviter la fraude. Le but de ces « pirates » est de mettre ces personnes en situation de stress où elles devront réagir au plus vite sans réfléchir aux mesures de protection nécessaires.

En cas de doute, raccrocher !
Si un utilisateur est allé jusqu’au bout de l’arnaque et a donné ses informations secrètes, il doit immédiatement contacter sa banque et/ou le service client LuxTrust au +352 24 550 550 ou par email questions@luxtrust.lu afin de prendre les mesures nécessaires.
Quelles sont les bonnes pratiques à suivre pour protéger son identité numérique et ses données ?

Il est nécessaire de rappeler aux utilisateurs que la protection de leurs informations secrètes (mot de passe, code à usage unique - OTP) est primordiale. Ces éléments leurs garantissent l’accès sécurisé́ à leur espace bancaire et aux démarches administratives, et ne doivent, en aucun cas, être communiqués oralement ou autrement à une autre personne.

De ce fait, il est important de savoir que LuxTrust, en tant que partenaire de confiance dans le numérique, ne demande jamais à ses utilisateurs de mettre à jour leurs informations personnelles et secrètes au travers d’un lien par email ou SMS. Ce type de communication se fait en contactant LuxTrust uniquement à l'initiative des utilisateurs. Pour le renouvellement des certificats LuxTrust, les utilisateurs doivent se rendre sur www.luxtrust.com dans l’espace « My LuxTrust ».

En ce sens, LuxTrust :

  • Ne demande jamais à ses utilisateurs leurs codes secrets ou leurs mots de passe.
  • Ne demande jamais à ses utilisateurs d’intervenir sur des transactions bancaires.
  • N'a pas accès aux comptes bancaires/informations bancaires de ses utilisateurs.
  • N’appelle jamais ses utilisateurs directement.
  • Ne se rend jamais physiquement chez un de ses utilisateurs.
Comment détecter un email ou un sms malveillant ?
  • Vérifier l'adresse de l'expéditeur et la cohérence entre la fonction ou l’organisme de l'émetteur du message et son contenu. L’adresse email de la personne malveillante peut être très proche d’une adresse légitime.
  • Lire attentivement le message reçu. Ce dernier peut comporter des erreurs de frappe, des fautes d'orthographe ou des tournures de phrases inhabituelles (même si cela est de plus en plus rare).
  • Ne pas répondre à un email qui demande des informations personnelles ou confidentielles même si l’email semble provenir d’un salarié LuxTrust.
  • Ne pas ouvrir les pièces-jointes si l'émetteur du courriel ou si le titre est inconnu. Un virus peut se cacher dans un fichier de bureautique (PDF, suite Office ou Google ...), une image ou autres.
  • Passer la souris sur les liens (sans cliquer) et s’assurer qu'il est cohérent et pointe vers un site légitime.
  • Dans tous les cas, il faut se poser la question de la légitimité de la demande exprimée dans le courriel ou le sms reçu.