Arnaque au CPF/DIF : attention au spear-phishing !

0

Alors que le transfert du DIF au sein du compte personnel de formation prenait fin le 30 juin, les arnaques se sont multipliées, toutes bien ficelées, à tel point que le montant de l’escroquerie a dépassé les 12 millions d’euros en 15 mois ! La faute en partie à une cruelle méconnaissance du dispositif de la part des bénéficiaires…

Les failles sont nombreuses et largement utilisées par les fraudeurs pour s’emparer du précieux magot du CPF ! La prudence est de mise car tous les canaux sont exploiter : mail, SMS et appels téléphoniques. Rien n’est laissé au hasard et les escrocs utilisent de nombreuses sources de données pour cibler les victimes, y compris des données ayant fuitées lors de précédents piratage de sites Web. Ainsi, cela permet aux arnaqueurs de communiquer avec vous en confirmant votre nom et prénom afin de mieux fomenter leur piège et voler quelques milliers d’euros.

A l’heure actuelle, le compte personnel de formation (CPF) a pris la relève des droits individuels à la formation (DIF, entre 2008 et 2014). Les escrocs ciblent les victimes potentielles par tous les canaux possibles, en se faisant passer pour des conseillers ou des organismes officiels. Leur but ? Obtenir les identifiants et mots de passe du titulaire, pour ensuite pouvoir débiter les sommes qu’ils souhaitent librement et transférer les fonds vers le compte bancaire de leur choix. Rappelons qu’aujourd’hui, tout salarié dispose d’une certaine somme d’argent en attente sur son CPF (les plafonds diffèrent selon les qualifications, entre 5 000 et 8000 euros).

Comment se déroule l’arnaque au CPF ?

L’arnaque varie selon les périodes et les escrocs mais toutes reposent sur un même socle : les arnaqueurs se font passer pour une personne accréditée travaillant pour la plateforme officielle Mon Compte Personnel de Formation et tentera par tous les moyens d’accéder au compte de la victime en lui vantant des droits à la formation en attente à utiliser urgemment… Cependant, une variante existe aussi dans laquelle le fraudeur va carrément lui-même créer le compte de sa victime à son insu en exploitant ses données personnelles afin de lui fournir une formation factice ou frauduleuse dans le but de débiter une importante somme d’argent de son CPF. Les escroqueries au CPF et les instructions pour les victimes sont relatées sur le portail Cybermalveillance.gouv.fr.

Le numéro de sécurité sociale de la victime étant nécessaire pour l’accès, soit les escrocs le demandent, soit ils le détiennent déjà en amont (via des flux de données piratées). Le meilleur exemple est actuellement le scandale de la fuite de données potentielle du site Francetest faisant partie intégrante du SI-DEP (système d’informations de dépistage), dont le but est de transmettre les résultats de tests antigéniques Covid-19 réalisés en pharmacie vers la plateforme gouvernementale. Le bilan pourrait être très lourd : 700 000 personnes touchées, et leurs données sensibles et personnelles en fuite sur la Toile : noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et adresse e-mail, ainsi que le résultat des tests. Des investigations sont d’ailleurs en cours afin de déterminer si les données ont ou non fuitées…

On imagine alors la facilité des escrocs pour exploiter ces données pour des opération ciblées de spear-phishing ou d’arnaque au téléphone (supposant qu’ils peuvent acheter ses données piratées). La plupart du temps, les numéros qui appellent sont des 09 et la personne se trouve dans un centre d’appel (les voix en fond en témoigne la plupart du temps). L’escroc va alors vanter une formation en menaçant du risque de perdre sous peu les droits du CPF par expiration pour forcer la main rapidement à la victime. Le but restant de demander des renseignements personnels, dont les fameux identifiants de connexion.

Outre l’appel téléphonique, la victime peut aussi être contactée par mail, avec une adresse usurpant l’identité d’un tiers de confiance ou encore par SMS contenant un lien hypertexte vers un site frauduleux contenant un formulaire demandant des informations personnelles.Ces SMS sont envoyés par vague énormes à des dizaines de milliers de français par jets.

La Caisse des dépôts à révélé les lourdes statistiques des arnaques au CPF : en 15 mois, ce sont 12 millions d’euros qui ont été détournés par les fraudeurs ! 82 organismes de formation ont été exclus du dispositif et 26 plaintes déposées sur la période.

Que faire si l’on est victime de fraude au CPF ?

Comme l’indique Cybermalveillance.gouv.fr à ce sujet, il est nécessaire de signaler la fraude et de porter plainte afin de se faire rembourser la somme dérobée. Au moindre doute, consultez l’historique des opérations sur la plateforme CPF officielle (attention au phishing et aux potentiels faux sites) et modifiez votre mot de passe.

Pour appuyer le dossier en cas de fraude, il est utile de conserver tous les éléments disponibles relatifs à l’escroquerie et à la fausse formation (preuves diverses).

A retenir absolument : si vous recevez le moindre appel téléphonique à propos du DIF ou du CPF, raccrochez immédiatement car cela est FORCEMENT une arnaque, le service officiel du gouvernement ne disposant d’aucun standard pour réaliser ces appels. Toute action importante (création de compte, connexion ou réinitialisation de mot de passe) se font exclusivement en ligne par le biais de France Connect. De même, tous les parrainages ou offres d’emploi conditionnés au CPF sont illégales.

Beaucoup de personnes détectent l’arnaque à la fin de leur fausse formation, car elles doivent forcément se terminer par un certificat ou diplôme, ce que les arnaqueurs ne fournissent pas…

L’association UFC Que Choisir a d’ailleurs réalisé un guide spécifique à propos des arnaques au CPF.

Pour éviter d’être piraté, ne communiquez jamais vos identifiants CPF à un tiers (numéro de sécurité sociale ou mot de passe).

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.