J’ai reçu un vrai code de ma banque… alors pourquoi le pirate a pu entrer ?

Par /
Illustration d’une arnaque bancaire où un faux site détourne un vrai code SMS
Vous avez reçu un vrai code de votre banque ? Attention : sur un faux site, ce code peut ouvrir la porte au pirate. Explication simple et concrète.
Arnaques bancaires • faux site • vrai code • faux conseiller

« J’ai reçu un vrai code de ma banque… alors pourquoi le pirate a pu entrer dans mon compte ? »

🍎 En 30 secondes

Un faux site bancaire peut parfois demander un vrai code SMS envoyé par votre banque. La victime pense se connecter normalement, mais elle saisit son identifiant, son mot de passe et son code au mauvais endroit. Le faux site transmet ces informations au vrai site bancaire, ce qui peut permettre au pirate d’ouvrir une première session et parfois de voir le solde. La double authentification n’a pas forcément été cassée : elle a été utilisée contre la victime.

✅ Ce que vous pouvez faire

  • Taper l’adresse de votre banque directement dans Safari.
  • Utiliser un favori bancaire déjà vérifié.
  • Lire chaque SMS ou notification avant de valider.

⚠️ Ce qu’il faut éviter

  • Chercher sa banque dans Google dans l’urgence.
  • Donner un code à une personne au téléphone.
  • Valider une opération que vous ne comprenez pas.

📞 Quand demander de l’aide

  • Si vous avez donné un code bancaire.
  • Si un faux conseiller vous a appelé.
  • Si vous n’êtes plus sûr d’être sur le vrai site.

Beaucoup de victimes se posent la même question après coup : « Mais comment ce faux conseiller bancaire pouvait-il connaître mon solde ou mes dernières opérations ? »

Elles n’ont pas l’impression d’avoir fait quelque chose d’absurde. Elles ont tapé leur identifiant, leur mot de passe, puis le code reçu par SMS ou dans l’application bancaire. Bref : elles ont fait ce qu’elles font d’habitude pour se connecter.

Et pourtant, cette fois, quelque chose a changé : elles n’étaient pas sur le vrai site de leur banque. Elles étaient sur une imitation. Une fausse façade. Une fausse porte d’entrée posée devant la vraie.

Le faux site ne vole pas seulement votre mot de passe. Il peut vous transformer, sans que vous le sachiez, en assistant involontaire du cambriolage.

Ce mécanisme fait partie des arnaques numériques en Suisse les plus redoutables aujourd’hui, parce qu’il mélange faux site, vrai code bancaire, appel téléphonique, pression psychologique et panique bien organisée.

Mais comment arrive-t-on sur un faux site bancaire ?

C’est une question essentielle, parce que personne ne se lève le matin en se disant : « Tiens, aujourd’hui je vais confier mon compte bancaire à un pirate. »

La plupart du temps, la victime pense simplement faire une opération normale : consulter son compte, vérifier une alerte, payer une facture, contrôler une carte ou répondre à un message inquiétant.

Le piège commence rarement par un gros panneau rouge marqué “arnaque”. Il commence par une page qui ressemble à ce que l’on connaît déjà.

Il existe plusieurs chemins possibles vers un faux site bancaire. Et c’est justement cette variété qui rend l’arnaque si dangereuse.

1

La recherche Google faite trop vite

La personne tape le nom de sa banque dans Google, souvent dans l’urgence. Elle clique sur le premier résultat sans vérifier l’adresse exacte. Or certains faux sites peuvent apparaître dans des publicités, des résultats trompeurs ou des adresses très proches du vrai nom.

2

Le lien reçu par SMS

Un message annonce une carte bloquée, une opération suspecte, une vérification urgente ou une mise à jour de sécurité. Le lien semble pratique. En réalité, il mène vers une fausse page.

3

Le lien reçu par email

Même principe : logo bancaire, ton officiel, formule rassurante, bouton “sécuriser mon compte”. Tout est fait pour donner l’impression d’un message légitime.

4

La faute de frappe dans l’adresse

Une lettre en trop, un tiret, un nom de domaine presque identique… et la personne peut tomber sur une imitation. Les pirates savent très bien exploiter les erreurs humaines.

5

Le faux numéro ou la fausse assistance

La victime cherche de l’aide, tombe sur une page douteuse ou un numéro affiché dans un mauvais contexte, puis se laisse guider vers un faux espace de connexion.

Pour une banque, le bon réflexe est simple : on ne cherche pas sa banque dans Google dans l’urgence. On tape directement l’adresse officielle dans la barre d’adresse de Safari, ou mieux, on utilise un favori déjà vérifié.

J’explique cette règle en détail ici : pourquoi il ne faut jamais chercher sa banque sur Google .

Une fois la personne arrivée sur cette fausse page, le décor est planté. Elle voit le logo, les couleurs, les champs de connexion habituels. Son cerveau reconnaît l’environnement. Elle baisse la garde.

Le faux site ne fait pas toujours semblant : il peut servir de relais

Dans l’esprit de beaucoup de gens, un faux site bancaire sert simplement à voler un mot de passe. C’est déjà grave. Mais dans certaines attaques modernes, le faux site peut aller plus loin : il peut servir de relais en temps réel vers le vrai site bancaire.

Autrement dit, la victime croit parler à sa banque. En réalité, elle parle à un faux site. Et ce faux site transmet immédiatement ce qu’elle tape vers la vraie banque.

1

La victime arrive sur une page qui ressemble à sa banque

Même logo, mêmes couleurs, mêmes champs de connexion, même ambiance rassurante : tout est conçu pour inspirer confiance.

2

Elle tape son identifiant

Le faux site le récupère et le transmet immédiatement au vrai site bancaire.

3

Elle tape son mot de passe

Même chose : le faux site transmet aussitôt le mot de passe à la vraie banque.

4

La vraie banque reçoit des informations valides

Pour elle, tout semble normal : identifiant correct, mot de passe correct.

5

La banque envoie un vrai code SMS ou une vraie notification

C’est ce point qui trompe énormément de victimes : le message reçu peut être parfaitement authentique.

6

Le faux site demande ce code

Il affiche tranquillement : « Veuillez saisir le code reçu. » Pour la victime, cela paraît logique.

7

La victime saisit le code

Elle pense confirmer sa propre connexion. En réalité, elle transmet au pirate l’élément qui lui manque.

8

Le pirate utilise immédiatement ce code

Il valide alors la vraie connexion bancaire et peut, selon les cas, accéder au compte ou consulter une première partie des informations.

Le code peut être vrai. Le SMS peut venir de la vraie banque. Le problème, c’est que le code est donné au mauvais endroit.

La victime croit se connecter. En réalité, elle ouvre la porte au pirate

C’est là que le piège est particulièrement tordu. La victime ne se dit pas : « Je donne un code à un pirate. » Elle se dit : « Je me connecte à ma banque. »

Et c’est justement ce qui rend cette arnaque si efficace. Le geste est familier. Le code est attendu. Le SMS est authentique. La procédure ressemble à ce que la personne connaît déjà.

Dans la tête de la victime :
« Je tape mon code pour me connecter. »

Dans la réalité :
« Le pirate utilise ce code pour entrer dans la vraie session bancaire. »

On pourrait comparer cela à une personne devant une porte blindée. Un voleur élégant lui tend un clavier et dit : « Tapez votre code pour vérifier votre identité. » La personne tape le code. Mais ce n’est pas elle qui ouvre la porte. C’est le voleur.

Voilà comment le faux conseiller bancaire peut connaître le solde

Une fois la première connexion réussie, le pirate peut parfois consulter le compte. Il peut alors voir le solde, certaines opérations récentes, parfois des bénéficiaires ou des informations utiles pour rendre son discours crédible.

C’est à ce moment que le téléphone entre en scène. Le faux conseiller appelle et dit par exemple :

« Bonjour Madame, je suis du service fraude. Je vois une opération suspecte sur votre compte… »

Et là, la victime se fige. Parce que l’appelant connaît des éléments réels. Elle pense donc : « S’il voit mon solde ou mes opérations, c’est forcément ma banque. »

Pas forcément. Il peut simplement être déjà entré dans la première partie du compte. C’est exactement le mécanisme que j’explique dans l’article consacré au faux conseiller bancaire qui connaît déjà votre solde .

Le premier code et le deuxième code : la différence qui peut tout changer

Dans certains cas, il y a deux moments très différents. Et c’est là que beaucoup de victimes comprennent trop tard ce qui se passe.

Premier code : entrer dans l’espace bancaire

Le premier code peut servir à valider la connexion. Il permet parfois au pirate d’ouvrir la session, de consulter le compte, de voir le solde et de préparer son discours. Pour la victime, ce premier code paraît “normal”, parce qu’elle pense être en train de se connecter.

Deuxième code : valider une opération sensible

Le deuxième code peut apparaître au moment d’un virement, de l’ajout d’un bénéficiaire ou d’une opération importante. Cette fois, le message est souvent plus explicite : montant, bénéficiaire, type d’opération.

C’est souvent ce deuxième code qui sauve la victime. Parce qu’elle voit enfin qu’il ne s’agit plus d’une simple connexion.

Le faux conseiller va alors tenter une dernière manipulation : « C’est pour annuler l’opération », « c’est une procédure de sécurité », « il faut valider pour bloquer le virement ».

Mais si la victime refuse de donner ce deuxième code ou de valider dans son application bancaire, le pirate peut se retrouver bloqué. Il a peut-être vu le compte. Il n’a pas forcément réussi à déplacer l’argent.

Le pirate ne vous demande pas toujours votre argent. Il vous demande d’obéir

C’est le grand changement des arnaques modernes. Le pirate n’a pas toujours besoin de casser un système informatique. Il a besoin que la victime fasse elle-même les gestes dangereux :

  • cliquer au mauvais endroit,
  • taper son mot de passe sur un faux site,
  • saisir un vrai code bancaire dans une fausse page,
  • valider une notification sans lire,
  • donner un deuxième code au téléphone,
  • croire qu’une urgence impose d’agir immédiatement.

Le pirate moderne ne force pas toujours la porte. Il vous fait tenir la poignée pendant qu’il entre.

Les signes qui doivent faire raccrocher immédiatement

Un appel doit devenir suspect dès qu’un soi-disant conseiller bancaire :

  • vous demande un code reçu par SMS,
  • vous demande de valider quelque chose dans l’application bancaire,
  • vous dit que c’est urgent,
  • vous demande de ne pas raccrocher,
  • vous demande de ne pas appeler votre banque vous-même,
  • vous parle d’une opération à bloquer en validant une action.

Une vraie banque peut vous alerter. Mais elle ne doit pas vous transformer en opérateur de validation pour une opération que vous ne comprenez pas.

🆘 Mode panique : que faire maintenant ?

Si vous pensez avoir donné un code au mauvais endroit, ou si un faux conseiller bancaire vient de vous appeler, le plus important est de ne pas continuer la conversation.

1. Ne donnez plus aucun code

Même si la personne semble connaître votre solde, vos opérations ou votre banque. Le fait qu’elle connaisse des éléments réels ne prouve pas qu’elle travaille pour la banque.

2. Raccrochez

Un vrai conseiller ne doit pas vous maintenir sous pression ni vous empêcher de vérifier par vous-même.

3. Rappelez votre banque vous-même

Utilisez le vrai numéro officiel : celui de votre carte, de vos documents bancaires, de l’application officielle ou d’un favori déjà vérifié. Pas celui donné par l’appelant.

4. Faites bloquer ou vérifier l’accès

Expliquez clairement à la banque que vous avez peut-être saisi un code sur un faux site. Demandez la vérification des connexions, des bénéficiaires, des virements en attente et des appareils autorisés.

5. Faites vérifier votre Mac, iPhone ou iPad si vous avez un doute

Surtout si vous avez cliqué sur un lien, installé une application, partagé votre écran, ou saisi des informations sensibles sur une page douteuse.

La règle AUCOEURDUMAC®

Si un conseiller bancaire vous appelle et vous demande un code, une validation ou une action urgente : on raccroche.

Ensuite, on respire. Puis on rappelle soi-même la banque avec le vrai numéro officiel.

  • Pas le numéro donné par l’appelant.
  • Pas le numéro reçu par SMS.
  • Pas un résultat trouvé à la va-vite dans Google.
  • Le vrai numéro officiel, déjà connu, imprimé, enregistré ou vérifié.

Pour replacer cette arnaque dans une vision plus large, voir aussi la page pilier :
Arnaques numériques en Suisse : comprendre, ralentir, se protéger .

Note AUCOEURDUMAC® : cet article n’est pas là pour faire peur, mais pour rendre visible le tour de passe-passe. Le danger ne vient pas seulement du code. Il vient du contexte dans lequel on vous pousse à l’utiliser. Un vrai code tapé au mauvais endroit peut devenir la clé d’entrée du pirate.

FAQ — Faux site bancaire, vrai code SMS et faux conseiller

Quelques réponses simples pour comprendre comment un vrai code bancaire peut devenir dangereux lorsqu’il est saisi au mauvais endroit.

Qu’est-ce qu’un faux site bancaire ?

Un faux site bancaire est une imitation du vrai site de votre banque. Il reprend souvent le logo, les couleurs, les champs de connexion et le ton officiel pour donner confiance.

Le danger, c’est que la victime pense se connecter normalement, alors qu’elle saisit ses identifiants sur une page contrôlée par des pirates.

Comment peut-on arriver sur un faux site bancaire ?

On peut y arriver de plusieurs façons :

  • en cliquant trop vite sur un résultat Google ;
  • en suivant un lien reçu par SMS ;
  • en cliquant sur un email frauduleux ;
  • en faisant une faute dans l’adresse du site ;
  • en passant par une fausse assistance ou une fausse alerte.

Pour une banque, le plus sûr est de taper directement l’adresse officielle dans la barre d’adresse de Safari ou d’utiliser un favori déjà vérifié. J’explique cela ici : pourquoi il ne faut jamais chercher sa banque sur Google .

Le code SMS reçu peut-il vraiment venir de la vraie banque ?

Oui. C’est justement ce qui rend l’arnaque si troublante. Dans certains scénarios, le faux site transmet vos identifiants au vrai site bancaire. La vraie banque envoie alors un vrai code SMS ou une vraie notification.

Le code est authentique. Le piège, c’est qu’il est saisi sur une fausse page, puis utilisé immédiatement par le pirate pour valider la vraie connexion.

La double authentification est-elle cassée ?

Pas forcément. Dans beaucoup de cas, la double authentification n’est pas “cassée” techniquement. Elle est détournée par manipulation humaine.

La victime croit confirmer sa propre connexion. En réalité, elle donne au pirate le code qui lui permet d’entrer dans la vraie session bancaire.

Comment un faux conseiller bancaire peut-il connaître mon solde ?

S’il connaît votre solde ou certaines opérations, c’est parfois parce qu’il a déjà réussi à ouvrir une première session bancaire. Il peut alors utiliser ces informations pour rendre son appel plus crédible.

C’est ce mécanisme que j’explique aussi dans l’article : le faux conseiller bancaire qui connaît déjà votre solde .

Pourquoi y a-t-il parfois deux codes ?

Le premier code peut servir à valider la connexion au compte. Il peut permettre au pirate de voir le solde ou certaines opérations.

Un deuxième code peut ensuite être demandé pour une opération sensible : virement, ajout d’un bénéficiaire, changement de paramètres ou validation importante.

C’est souvent ce deuxième code qui sauve la victime, surtout si le message affiche clairement un montant ou un bénéficiaire inconnu.

Un vrai conseiller bancaire peut-il me demander un code au téléphone ?

Par prudence, il faut considérer que non. Un conseiller peut vous alerter, mais il ne doit pas vous demander de lui communiquer un code SMS, de valider une opération ou de confirmer une action que vous ne comprenez pas.

Dès qu’un appelant demande un code ou vous met sous pression, il faut raccrocher et rappeler soi-même la banque avec son vrai numéro officiel.

Que faire si j’ai donné un code bancaire ?

Il faut agir vite, mais sans paniquer.

  • ne donnez plus aucun autre code ;
  • raccrochez immédiatement ;
  • appelez votre banque avec le vrai numéro officiel ;
  • demandez la vérification des connexions récentes ;
  • faites contrôler les bénéficiaires, virements en attente et appareils autorisés ;
  • changez les accès si la banque le recommande.
Comment éviter ce type d’arnaque bancaire ?

Le réflexe le plus important est de ralentir. Les pirates adorent l’urgence, la peur et les appels qui empêchent de réfléchir.

  • ne cherchez pas votre banque dans Google dans l’urgence ;
  • tapez l’adresse officielle directement dans Safari ;
  • utilisez un favori bancaire vérifié ;
  • ne donnez jamais un code au téléphone ;
  • lisez chaque notification bancaire avant de valider ;
  • raccrochez dès qu’un appelant vous met la pression.

Pour replacer ce sujet dans une vision plus large : arnaques numériques en Suisse .

À retenir : le danger ne vient pas seulement du code. Il vient surtout du contexte dans lequel on vous pousse à l’utiliser. Un vrai code tapé au mauvais endroit peut devenir la clé d’entrée du pirate.

✍️ Article rédigé par Jean-Michel Hautecœur, informaticien Apple indépendant derrière AUCOEURDUMAC®.

Depuis 2014, j’accompagne les utilisateurs Mac, iPhone et iPad avec une idée simple : comprendre avant de cliquer, vérifier avant de paniquer, et garder le cœur à l’ouvrage.

Besoin d’un avis humain sur votre Mac, vos comptes, vos données ou une situation numérique douteuse ? Me contacter calmement Échange clair, sans urgence artificielle ni engagement automatique

Publications similaires :

  1. Arnaques numériques en Suisse romande : comprendre, réagir, limiter les dégâts
  2. Arnaques numériques en France : comprendre, réagir et ne pas aggraver la situation
  3. Rendez-vous en terre Mac : apprendre à utiliser son Mac sans stress

Propulsé par YARPP.

Publications similaires

Commencez à saisir du texte et appuyez sur Entrée pour rechercher

Retour en haut