De nombreuses personnes, en particulier les personnes âgées, déclarent fièrement qu’elles évitent d’utiliser le Web pour gérer divers comptes liés à leurs données personnelles et financières – y compris tout, des services publics et des téléphones mobiles aux prestations de retraite et aux services bancaires en ligne. Le raisonnement derrière cette stratégie est aussi simple que séduisant : ce qui n’est pas mis en ligne ne peut pas être piraté. Mais de plus en plus, les adeptes de ce mantra découvrent à la dure que si vous ne plantez pas votre drapeau en ligne, les fraudeurs et les voleurs d’identité peuvent le faire pour vous.
Le nœud du problème est que, bien que la plupart des types de comptes clients de nos jours puissent être gérés en ligne, le processus consistant à lier son numéro de compte à une adresse e-mail spécifique et/ou à un appareil mobile implique généralement de fournir des données personnelles qui peuvent facilement être trouvées ou achetées en ligne. – tels que les numéros de sécurité sociale, les anniversaires et les adresses.
Quelques exemples de la façon dont être un jour moderne luddite peuvent se retourner contre eux sont bien documentés, par exemple lorsque des escrocs créent des comptes en ligne au nom de quelqu’un à l’Internal Revenue Service, au US Postal Service ou à la Social Security Administration.
D’autres exemples peuvent être beaucoup moins évidents. Prenons le cas d’un consommateur qui reçoit son service téléphonique résidentiel dans le cadre d’un forfait par l’intermédiaire de son fournisseur de services Internet (FAI) à large bande. Ne pas créer un compte en ligne correspondant pour gérer ses services de télécommunications peut constituer une passerelle puissante pour les fraudeurs.
Carrie Kerskie est président de Griffon Force LLC, une entreprise de Naples, en Floride, qui aide les victimes d’usurpation d’identité à se remettre d’incidents de fraude. Kerskie a rappelé un cas récent dans lequel des voleurs ont acheté des articles coûteux dans une bijouterie locale au nom d’un client âgé qui avait déjà acheté des articles à cet endroit comme cadeaux pour sa défunte épouse.
Lors de cet incident, l’agresseur a présenté une MasterCard Black Card au nom de la victime ainsi qu’une fausse pièce d’identité créée au nom de la victime (mais avec la photo du voleur). Lorsque la bijouterie a appelé le numéro enregistré pour vérifier les transactions, l’appel est arrivé sur le téléphone portable de l’imposteur juste là dans le magasin.
Kerskie a déclaré qu’une enquête de suivi a révélé que le client n’avait jamais créé de compte chez son FAI (Comcast) pour le gérer en ligne. Plusieurs appels avec le personnel du service client du FAI ont révélé que quelqu’un avait récemment appelé Comcast en prétendant être le client de 86 ans et avait créé un compte en ligne.
« La victime n’a jamais créé son compte en ligne, et le méchant a appelé Comcast et a donné le nom, l’adresse et le numéro de sécurité sociale de la victime ainsi qu’une adresse e-mail », a déclaré Kerskie. « Une fois que cela a été configuré, le méchant s’est connecté au compte et a transféré les appels de la victime vers un autre numéro. »
Incroyablement, a déclaré Kerskie, le fraudeur a immédiatement appelé Comcast pour demander la raison des changements soudains de compte.
« Pendant que j’étais au téléphone avec Comcast, le représentant de la clientèle m’a dit de patienter une minute, qu’elle venait de recevoir une communication de la victime », se souvient Kerskie. « J’ai dit au représentant que le client était assis juste à côté de moi à ce moment-là et que l’appel ne venait pas de lui. Dès que nous avons modifié les options de renvoi d’appel, le fraudeur a appelé le service client pour demander pourquoi le compte avait été modifié. »
Deux à trois jours après que Kerskie a aidé le client à nettoyer la fraude avec le compte Comcast, elle a reçu un appel frénétique de la fille du client, qui a dit qu’elle avait essayé le téléphone portable de son père mais qu’il n’avait pas répondu depuis des jours. Ils ont vite découvert que ce cher vieux papa allait très bien, mais qu’il avait également négligé de créer un compte en ligne chez son opérateur de téléphonie mobile.
« Le méchant avait appelé l’opérateur de téléphonie mobile, fourni ses informations personnelles et créé un compte en ligne », a déclaré Kerskie. « Une fois qu’ils ont fait cela, ils ont pu transférer son service téléphonique vers un nouvel appareil. »
SERVICES BANCAIRES HORS LIGNE
Beaucoup de gens croient naïvement que s’ils ne configurent jamais leurs comptes bancaires ou de retraite pour un accès en ligne, les cyber-voleurs ne peuvent pas non plus y accéder. Mais Kerskie a déclaré qu’elle avait récemment eu un client qui s’était fait retirer près d’un quart de million de dollars de son compte bancaire précisément parce qu’il avait refusé de lier son compte bancaire à une identité en ligne.
« Ce que nous avons découvert, c’est que l’attaquant a lié le compte bancaire du client à une carte-cadeau American Express, mais pour ce faire, le méchant devait connaître le montant exact du microdépôt qu’AMEX avait placé sur son compte », a déclaré Kerskie. « Alors, le méchant a appelé le numéro 800 de la banque de la victime, a fourni le nom, la date de naissance et le numéro de sécurité sociale du client, puis leur a donné une adresse e-mail qu’il contrôlait. Dans ce cas, si le client avait préalablement créé un compte en ligne, il aurait reçu un message lui demandant de confirmer la transaction frauduleuse.
Après avoir lié le compte bancaire de la victime à une carte prépayée, le fraudeur a commencé à retirer lentement des fonds par tranches de 5 000 $. Au total, les voleurs ont réussi à siphonner près de 170 000 $ sur une période de six mois. Les comptes de la victime étaient gérés par une connaissance de confiance, mais les retraits n’ont pas déclenché d’alarme car ils correspondaient à peu près aux montants de retrait que la victime avait effectués précédemment.
« Mais comme la victime n’a pas informé la banque dans les 60 jours des transactions frauduleuses comme l’exige la loi, la banque n’a dû rembourser que les 60 derniers jours de transactions frauduleuses », a déclaré Kerskie. « Nous avons finalement pu l’aider à en récupérer la majeure partie, mais c’était une toute autre épreuve. »
Kerskie a déclaré que de nombreuses entreprises tentent de lutter contre la fraude sur les comptes appartenant à des clients qui n’ont pas créé de compte en ligne correspondant en envoyant une lettre par courrier postal à ces clients lorsque des modifications de compte sont apportées.
« Mais tout le monde ne le fait pas et si le voleur qui profite de la situation est intelligent, il créera simplement un compte en ligne et changera l’adresse de facturation, de sorte que le client ne reçoive jamais cet avis », a déclaré Kerskie.
MARQUEZ VOTRE TERRITOIRE
Kerskie a déclaré que c’était une bonne idée pour les personnes ayant des parents plus âgés d’aider ces personnes à s’assurer qu’elles ont configuré et géré les identités en ligne pour leurs différents comptes – même si ces proches n’ont jamais l’intention d’accéder à l’un des comptes en ligne. Aider ces proches à geler la sécurité de leurs dossiers de crédit auprès des quatre principaux bureaux de crédit (et d’un autre bureau peu connu sur lequel de nombreux fournisseurs de téléphonie mobile comptent pour les vérifications de crédit) peut contribuer grandement à prévenir la fraude sur les nouveaux comptes.
Ajout de l’authentification à deux facteurs (chaque fois qu’il est disponible) et/ou l’établissement d’un numéro d’identification personnel (PIN) spécifique au client peut également aider à sécuriser l’accès en ligne. Pour ceux qui ne peuvent pas être convaincus d’utiliser un gestionnaire de mots de passe, même écrire tous les détails du compte et les mots de passe sur un bout de papier peut être utile, à condition que le document soit sécurisé dans un endroit sûr.
Ce processus est doublement important, a déclaré Kerskie, pour les parents et les proches qui viennent de perdre un conjoint.
« Quand quelqu’un décède, il y a souvent une nécrologie dans le journal qui offre beaucoup d’informations sur le défunt et les membres de la famille survivants », a-t-elle déclaré. « Et les méchants adorent les nécrologies. »
Éviter les comptes sur les plates-formes de médias sociaux populaires peut également avoir des conséquences, principalement parce que la plupart des gens ont suffisamment d’informations sur eux-mêmes en ligne pour que n’importe qui puisse créer un compte à leur nom et commencer à envoyer des messages aux amis et aux membres de la famille avec divers stratagèmes de fraude.
« Je dis toujours aux gens que si vous ne voulez pas créer un compte en ligne pour les réseaux sociaux, c’est bien, mais assurez-vous de dire à vos amis et à votre famille : ‘Si jamais vous recevez une demande de ma part sur les réseaux sociaux, ignorez-la simplement parce que je « Je ne ferai jamais ça », a conseillé Kerskie.
En résumé, plantez votre drapeau en ligne ou – comme le dit Kerskie – « marquez votre territoire » – avant que les fraudeurs ne le fassent pour vous. Et envisagez d’aider vos amis et les membres de votre famille qui ne sont pas habitués à Internet à faire de même.
« Cela peut éviter beaucoup de maux de tête », a-t-elle déclaré. « La triste réalité est que les criminels n’ont très souvent besoin de répondre qu’à deux ou trois questions pour commettre une fraude en votre nom, alors que les victimes doivent généralement passer des heures de leur temps et répondre à des dizaines de questions pour annuler la fraude qui en résulte. »