Pourquoi les cas de fraude par prise de contrôle de compte sont en augmentation

En bref

• La fraude par prise de contrôle de compte (ATO) a déjà volé plus de 262 millions de dollars en 2025.
• Les criminels se font passer pour des banques par le biais de SMS, d'appels, de faux sites web et de publicités frauduleuses.
• Les signes avant-coureurs sont une perte soudaine de service mobile, des alertes de connexion étranges, de nouveaux bénéficiaires ou des modifications de compte que vous n'avez pas effectuées.
• Protégez-vous en utilisant un système MFA sans SMS, des mots de passe uniques, des signets et des codes PIN de compte mobile.
• ScamAdviser vous aide à vérifier rapidement les liens, les numéros de téléphone et les détails suspects avant de tomber dans le piège d'une escroquerie.

Arrêtez ce que vous faites. Respirez profondément. Maintenant, vérifiez l'identifiant de votre compte bancaire. Lorsque le FBI émet un avertissement de cinq alarmes concernant un seul type de cybercriminalité, c'est que quelque chose d'énorme est en train de se produire - et en ce moment, cette menace est la fraude par prise de contrôle de compte (ATO). Selon l' Internet Crime Complaint Center (IC3) du FBI, les cybercriminels ont déjà volé plus de 262 millions de dollars depuis janvier 2025 en s'introduisant dans les comptes financiers, les portails de paie et même les comptes d'épargne santé. Plus de 5 100 victimes ont déclaré avoir été touchées, et ce ne sont que celles qui s'en sont rendu compte à temps.

Il ne s'agit pas de quelqu'un qui devine votre mot de passe. Il s'agit d'une invasion numérique coordonnée, où les criminels se font passer pour des employés de votre banque, imitent leurs sites web, vous incitent à donner vos identifiants, puis vous empêchent d'accéder à votre vie financière. Des particuliers, des familles et des entreprises de toutes tailles ont été ciblés. Aucun secteur n'est à l'abri.

Qu'est-ce qu'une prise de contrôle de compte et pourquoi est-elle si dangereuse ?

Imaginez votre compte bancaire comme un coffre-fort. Vous en possédez la clé - votre mot de passe - et une alarme de sécurité - votre authentification multifactorielle (MFA). L'ATO se produit lorsque des criminels parviennent à voler votre clé, à faire taire votre alarme et à s'enfuir avec tout ce qu'il y a à l'intérieur. Une fois qu'ils ont obtenu l'accès, ils agissent à une vitesse effrayante : ils réinitialisent votre mot de passe, changent votre adresse électronique, modifient vos coordonnées et transfèrent votre argent vers des portefeuilles de crypto-monnaie ou des comptes contrôlés par des criminels. Le temps que vous vous rendiez compte que quelque chose ne va pas, les dégâts sont souvent irréversibles.

Le FBI insiste sur le fait que cette vague de fraudes ATO n'est pas seulement due à des fuites de mots de passe, mais aussi à des criminels qui se font passer pour des équipes d'assistance d'institutions financières. Ils ne se contentent pas de voler vos informations, ils parlent pour les obtenir.

Comment les criminels s'introduisent-ils dans les comptes ?

Si le bourrage d'identité, l'hameçonnage et l'échange de cartes SIM restent des tactiques majeures, le FBI prévient que les attaques basées sur l'usurpation d'identité sont en plein essor. Les cybercriminels se font désormais passer pour des employés de banque, des services d'assistance à la clientèle, des services de lutte contre la fraude ou même des agents des forces de l'ordre qui vous "aident" à résoudre un faux problème.

L'ingénierie sociale joue un rôle important. Les criminels vous appellent ou vous envoient des SMS en prétendant vous avertir d'un "achat frauduleux" ou d'une "connexion non autorisée". Ils peuvent même prétendre que le prétendu achat concerne quelque chose de grave, comme des armes à feu, afin de créer la panique. Ils vous guident ensuite vers un faux site web ou vous convainquent de lire votre code de réinitialisation de mot de passe ou votre code MFA/OTP. Une fois qu'ils l'ont en main, ils se connectent au vrai site bancaire, réinitialisent tout et vous bloquent l'accès.

Il est de plus en plus difficile de distinguer les sites de phishing des vrais sites. Certains escrocs ont même recours à l' empoisonnement du référencement, en achetant des publicités sur les moteurs de recherche pour que leur site frauduleux apparaisse au-dessus du site de la banque légitime. Si vous cliquez sur le mauvais lien, vous atterrissez sur une réplique parfaite de la page de connexion de votre banque, vous donnez vos informations d'identification et, sans le savoir, vous permettez aux criminels d'accéder à votre compte.

Une fois à l'intérieur, ils agissent rapidement. Les mots de passe sont modifiés. Les adresses électroniques sont échangées. De nouvelles règles de compte sont ajoutées. Les fonds sont transférés, souvent directement vers des portefeuilles de crypto-monnaies où ils disparaissent instantanément. Dans de nombreux cas, les victimes perdent l'accès à leurs propres comptes en l'espace de quelques minutes.

Quels sont les premiers signaux d'alerte d'une attaque ATO ?

Le premier indice est souvent le plus discret. Si votre téléphone perd soudainement son service sans raison, cela peut signifier que quelqu'un a échangé votre carte SIM pour prendre le contrôle de vos codes MFA. Les notifications inattendues concernant des changements de mot de passe, de nouveaux appareils, de nouveaux bénéficiaires ou des tentatives de connexion que vous n'avez pas faites sont des signaux d'alarme majeurs.

Certains criminels changent même d'adresse postale ou désactivent les courriels de relevés pour que vous ne remarquiez pas les dépôts manquants ou les nouveaux retraits. De minuscules transactions de test, comme quelques centimes, sont souvent utilisées pour vérifier les informations d'identification volées avant de vider votre compte quelques heures plus tard.

Et si vous recevez soudainement des appels d'une personne prétendant être un "enquêteur de la fraude", un "technicien de la banque" ou un "agent de police chargé d'enquêter sur des activités suspectes", supposez qu'il s'agit d'une escroquerie jusqu'à preuve du contraire. Le FBI est clair : les institutions légitimes ne vous demanderont pas votre nom d'utilisateur, votre mot de passe ou votre code MFA.

Comment se protéger contre la fraude à l'ATO ?

Commencez par améliorer vos habitudes de sécurité. Si votre MFA repose encore sur des codes SMS, vous êtes vulnérable aux échanges de cartes SIM et à l'interception. Passez à une application d'authentification ou, mieux encore, à une clé matérielle physique.

Vos mots de passe doivent être uniques et complexes pour chaque compte, sans exception. Un gestionnaire de mots de passe facilite cette tâche et ferme la porte aux attaques de type "credential stuffing".

Lorsque vous vous connectez à des sites financiers, ne vous fiez jamais aux résultats de recherche ou aux publicités. Marquez le site officiel d'un signet ou saisissez-le manuellement. L'AFM ne vous sauvera pas si vous entrez vos informations d'identification sur un faux site web.

Réduisez également ce que vous partagez en ligne. Les criminels adorent les détails personnels tels que les noms d'animaux, les dates de naissance et les écoles - ce sont des ingrédients parfaits pour deviner votre mot de passe ou vos questions de sécurité.

Protégez votre service de téléphonie mobile comme votre compte bancaire : définissez un code PIN ou une phrase de passe avec votre opérateur pour empêcher les échanges de cartes SIM non autorisés.

Surveillez régulièrement vos comptes bancaires pour détecter les dépôts manquants, les virements inattendus ou les dépenses inhabituelles. Plus vous repérez rapidement les irrégularités, plus vous avez de chances de récupérer les fonds.

Que faire si vous êtes victime d'un ATO ?

Si vous pensez que votre compte a été compromis, agissez immédiatement. Contactez votre institution financière et demandez le rappel ou l'annulation de tout transfert non autorisé. Demandez une lettre d'exonération de responsabilité ou une lettre d'indemnisation - les banques l'exigent souvent avant de tenter des recouvrements.

Réinitialisez toutes les données d'identification qui ont pu être exposées. Si vous avez utilisé le même mot de passe ailleurs, changez-le également.

Déposez ensuite un rapport détaillé sur IC3.gov, en indiquant tous les détails pertinents : les faux sites Web que vous avez visités, les numéros de téléphone utilisés par les escrocs, les captures d'écran, les identifiants de transaction et la phrase "Account Takeover" ou "SEO poisoning" (empoisonnement du référencement) dans votre plainte. Enfin, informez l'entreprise dont l'identité a été usurpée afin qu'elle puisse avertir les autres et demander le retrait de la page d'hameçonnage.

FAQ : Réponses rapides aux grandes inquiétudes
Les escrocs peuvent-ils vraiment se faire passer pour des banques de manière convaincante ?
Oui. Le FBI confirme que les criminels usurpent aujourd'hui l'identité du personnel des banques, de faux services de fraude et même des forces de l'ordre pour tromper les victimes.

L'empoisonnement par référencement est-il vraiment courant ?
De plus en plus. Les criminels achètent des annonces de recherche qui redirigent les utilisateurs vers de fausses pages de connexion qui semblent identiques aux sites de vraies banques.

Et si j'ai cliqué sur un lien mais que je n'ai pas saisi mes coordonnées ?
Vous ne risquez rien, mais surveillez vos comptes. Certains sites de phishing installent également des logiciels malveillants.

Peut-on encore contourner l'AMF ?
Oui, si vous donnez votre OTP à des criminels ou s'ils détournent votre numéro de téléphone par le biais d'un échange de cartes SIM.

Dois-je rappeler les numéros qui m'indiquent qu'ils proviennent de ma banque ?
Non. Raccrochez, recherchez vous-même le numéro officiel et appelez-le.

Ma banque me remboursera-t-elle ?
Parfois. Un signalement rapide augmente considérablement vos chances.

Quelle est l'habitude la plus importante à prendre aujourd'hui ?
Mettez la page de connexion de votre banque dans vos favoris et ne vous connectez plus jamais à partir d'un courriel, d'un texte ou d'une publicité.

Arrêtez l'escroquerie avant qu'elle ne commence avec ScamAdviser

Vous n'êtes pas toujours averti avant que la fraude ATO ne se produise, mais vous pouvez mettre toutes les chances de votre côté. Avant de cliquer sur un lien, de répondre à un message "bancaire" ou d'envoyer de l'argent, vérifiez d'abord.

L'application ScamAdviser vous permet de vérifier rapidement :

• les sites Web et les URL pour détecter les logiciels malveillants et les tentatives d'hameçonnage
• les numéros de téléphone avec identification de l'appelant en temps réel
• les détails de l'IBAN pour confirmer à qui vous envoyez réellement de l'argent
• les liens suspects contenus dans les textes et les courriels.

Une vérification rapide pourrait empêcher la prochaine escroquerie de 262 millions de dollars.

Téléchargez l'application ScamAdviser dès aujourd'hui et gardez une longueur d'avance sur la fraude ATO.