Les coûts de la santé explosent en Suisse et les primes d'assurance avec. Alors quand une caisse maladie se manifeste et promet un remboursement, c'est un peu Noël avant l'heure. Une aubaine pour les cybercriminels!
Ainsi, la police cantonale de Zurich met actuellement en garde contre des e-mails envoyés au nom de la compagnie d'assurance CSS. Les escrocs visent les identifiants de connexion ainsi que les données des cartes de crédit, explique la police.
Voici comment se déroule l'escroquerie
Les courriels sont présentés de manière très soignée et indiquent: «Après vérification de votre franchise, nous avons constaté que vous avez droit à un remboursement.» Dans l'email, les escrocs indiquent même un numéro de dossier fictif.
Pour obtenir le prétendu remboursement, il faut ensuite cliquer sur un lien. La personne piégée atterrit alors sur un portail qui utilise le logo de la CSS, à partir duquel les escrocs tentent d'obtenir les identifiants de connexion et les données de cartes de crédit.
En outre, les escrocs tentent aussi d'obtenir le code d'authentification pour valider les transactions. Là, si on n'a pas remarqué la fraude et que l'on a saisi correctement toutes les données, c'est trop tard: le montant est immédiatement débité de la carte de crédit.
Comment se protéger?
Les autorités conseillent en premier lieu d'ignorer les emails qui paraissent suspects. Elles conseillent également de ne jamais suivre les liens figurant dans les e-mails, les SMS ou sur d'autres sites Internet.
Le mieux est donc de se connecter soi-même directement au site de l'assureur – en l'occurrence css.ch – et ne jamais divulguer de données sensibles sans s'être bien informé au préalable.
Si l'on a déjà saisi ses données sur le site frauduleux, il faut immédiatement informer sa banque pour bloquer sa carte de crédit, mais aussi changer le mot de passe du compte de la caisse maladie et des autres comptes ayant le même mot de passe. Enfin, les autorités conseillent de signaler l'incident à la police.
Ce que dit la CSS
La caisse-maladie est au courant des e-mails de phishing: «La CSS ne demande jamais de données personnelles ou d'informations sur les cartes de crédit par e-mail», déclare la porte-parole de l'assureur, Sabine Betschart. Elle poursuit: «On est en contact avec l'Office fédéral de la cybersécurité.»
Problème: «Comme les expéditeurs sont généralement inconnus, nous ne pouvons pas nous adresser directement à quelqu'un pour intervenir. On essaie toutefois d'attirer l'attention des clients sur ce type d'escroquerie sur son propre site web» conclut la porte-parole.