Je reçoit un e-mail pour l'une des sociétés dont je m'occupe: (fishing ?
Kezako ? <http://fr.wikipedia.org/wiki/Hame%C3%A7onnage>)
Après un dernier calcul de votre activité financière,
nous avons déterminé que vous êtes admissible à recevoir un
remboursement 411,00 EUR.
Cliquez ici et obtenir un remboursement d'impôt.
<http://zayamsports.com/mimi>
----------------------------------------------------------------------------------------------------------
Cordialement,
Administration des contributions directes du Grand-Duché de Luxembourg
Premier réflexe: vérifier le lien (en mettant la flèche dessus).
On voit apparaître (sur un bon navigateur web) le lien qui se cache
là-dessous. C'est
"http://tiddus.com/refund-luxembourg.lu/5a380c0e957bcfa593ab6ece058c6804"
Tiddus.com n'a rien à voir avec l'Etat luxembourgeois et est un site
américain.
Si on suit le lien, on tombe sur ceci:
Il n'y a pas plus proche du site réel des contributions
luxembourgeoises. Tout a été copié (très facile). Seul un texte est
"original" et donc plein de fautes de style, de syntaxe et d'orthographe:
"/S'il vous plaît remplir le formulaire ci-dessous afin de continuer à
recevoir la amound de EUR 411,00 retourné à votre compte par
l'Administration des contributions directes, du Grand-Duché de Luxembourg/"
Non seulement le remboursement d'impôts ne se fait pas par carte de
crédit, mais en plus il n'a lieu que si on cesse l'activité (sinon c'est
un avoir sur l'impôt de l'année suivante).
Au pire, l'administration rembourse par virement. Jamais par "re-crédit"
d'une carte bancaire.
De plus, ici, toute les informations confidentielles sont demandées,
dont (ce qui est anormal):
* Date de naissance
* "Card verification code"
* "Password 3D secure"
Aucune de ces trois informations n'est nécessaire pour être remboursé. A
mon avis, la date de fin de validité non plus (_pour être remboursé_).
Par contre, muni de ces informations, le pirate pourra effectivement
passer des achats sur Internet dans les limites du crédit de la carte,
et se faire livre où bon lui semble (poste restante, point de dépôt, ...)
La page n'est même pas en http*s* (http sécurisé) car il n'a même pas
investi dans un faux certificat... (vérifier l'authenticité d'un
certificat
<https://www.bcee.lu/Agences/Agence-Online2/S-net/S%C3%A9curit%C3%A9/V%C3%A9rifier-l%27authenticit%C3%A9-de-la-page-dans-Mozilla-Firefox>)
Bref, grossière arnaque.
Comment déjouer:
1) Personne (ni compagnie d'électricité, ni service public, ni
e-marchant, ni banque) ne vous demandera vos coordonnées
bancaires/cartes de crédit/identité/... par Internet.
2) Surtout pas sur une page web non cryptée (http*s***)
3) Dans un cas de page https, vérifier l'identité du serveur (cliquer
sur le cadenas, demander de voir le certificat, vérifier qui en est le
certificateur, ...) suivant votre navigateur web.
4) Toujours vérifier le nom du site sur lequel vous naviguez. Ici, on
part d'un e-mail apparemment émit par "impot.lu" et on aboutit sur un
site qui n'a rien à voir.
5) Ne _jamais_ renseigner votre "Card verification code" ou "Password 3D
secure" sur une page autre qu'appartenant à _une banque_, avec
certificat de la banque, et liaison http*s*.
6) Ne _jamais_ donner d'informations autres que votre numéro de carte
pour tout remboursement, et préférer les remboursements via virements
bancaires. Nous sommes en Union Européenne. Les virements européens
(SEPA) sont au même prix que les remboursements locaux _partout en
Europe_ (c'est la loi) et bien moins chers qu'un remboursement sur carte
de crédit.
7) Pour des achats sur Internet, préférer des sites connus et réputés.
Sinon, vérifier l'existence et la localisation (Ex: Monaco ou Andorre ne
sont pas en Europe donc non soumis au droit européen) de la société.
Envisager l'usage de numéros de cartes électroniques éphémères (cartes
"one-shot") que fournissent certaines banques. Pour des achats auprès de
vendeurs inconnus, les services de garantie de transactions fournis par
e-Bay ou Amazon (par exemple) sont très utiles.
Et enfin, _dénoncez immédiatement_ tout site frauduleux aux autorités.