« CIH Bank : votre compte sera bloqué » — l'arnaque au faux SMS de banque qui coûte 50 millions d'euros par an aux victimes belges

Vous marchez vers votre voiture quand votre téléphone vibre. Un SMS de votre banque : « CIH Bank : Une transaction suspecte de 3 500 MAD a été détectée sur votre compte. Si ce n'est pas vous, sécurisez votre compte immédiatement : cih-securite.com/verify »

Votre cœur s'accélère. Vous tapez le lien. La page ressemble exactement à celle de votre banque. Vous saisissez vos identifiants. Peut-être aussi le code SMS reçu. Peut-être même votre numéro de carte pour « vérifier votre identité ».

Vous venez de remettre votre compte bancaire à un criminel. Quand vous éteignez votre téléphone, il est déjà dedans.

C'est le smishing — phishing par SMS au nom d'une banque — et il vole désormais près de 50 millions d'euros par an aux seules victimes belges, selon Belga News Agency. En France, Cybermalveillance.gouv.fr classe le phishing comme menace n°1 pour les particuliers. Au Maroc, la plateforme E-Blagh de la DGSN a été lancée en mai 2024 en réponse directe à l'explosion de la cybercriminalité financière.

À quoi ressemble le message

Les escrocs savent exactement quelle est votre banque parce que (a) ils ont acheté une base de données fuitée, ou (b) ils envoient à toutes les banques et l'une d'elles finira par matcher. Messages types :

« CIH Bank : Tentative de connexion suspecte sur votre compte. Si ce n'est pas vous, sécurisez immédiatement : cih-securite.ma/auth »

« BMCE : Votre carte bancaire sera désactivée. Validez votre identité sous 24h pour éviter le blocage : bmce-validation.com »

« Attijariwafa : Un virement de 4 500 DH a été initié depuis votre compte. Cliquez ici pour le contester : attijari-paiement.online »

« BNP Paribas : Nouvelle connexion détectée depuis Casablanca. Si ce n'est pas vous : bnp-securisation[.]net/login »

« Banque Populaire : Échec d'authentification. Réactivez votre compte en 24h : bp-confirm-fr.com »

La structure est toujours la même :

1. Le nom de la banque comme expéditeur (souvent usurpé dans l'en-tête SMS, donc ça a vraiment l'air de venir de votre banque)
2. Un déclencheur de peur — transaction suspecte, connexion depuis un nouvel appareil, blocage du compte, carte expirée
3. Une échéance courte — « 24h », « avant minuit », « immédiatement »
4. Un lien qui ressemble à celui d'une banque mais qui n'est pas le vrai domaine de votre banque

Vous tapez le lien → fausse page de connexion → vous entrez vos identifiants → fini.

L'astuce du domaine ressemblant

Le lien est l'élément qui trahit tout. Les vraies banques ont un seul domaine principal que vous devriez connaître par cœur :

| Banque | Vrai domaine | |---|---| | BMCE Bank of Africa | bmcebankofafrica.com | | Attijariwafa Bank | attijariwafabank.com | | CIH Bank | cihbank.ma | | Banque Populaire | gbp.ma | | Crédit du Maroc | creditdumaroc.ma | | BNP Paribas | mabanque.bnpparibas | | Société Générale FR | societegenerale.fr |

Ce que les escrocs utilisent :

• Tiret ajouté : bmce-secure.com, attijari-paiement.ma, cih-securite.com
• Mauvaise extension : cihbank.online, bmcebank.xyz, attijariwafa.tk
• Sous-domaine trompeur : mabanque.bnpparibas.account-verify.net — le vrai domaine est account-verify.net, pas bnpparibas
• Caractère substitué : paypaI.com (un I majuscule au lieu d'un l minuscule), attijariwâfa.com (avec un accent)

Le phishing bancaire utilise toujours un domaine inhabituel. Si l'URL ne correspond pas exactement au domaine que vous taperiez vous-même de mémoire, c'est une arnaque.

Cas réels

• Belgique, 2024 : Belga News Agency rapporte que le phishing — dont la majorité est de l'impersonation bancaire — a rapporté aux escrocs 50 millions d'euros en Belgique en 2024.
• France, 2024 : Le rapport 2024 de Cybermalveillance.gouv.fr classe le phishing comme demande d'assistance n°1, avec une évolution constante incluant les variantes SMS et un raffinement accru par l'IA.
• Maroc, 2023-2024 : Médias24 documente une vague nationale de fraude en ligne, dont l'usurpation bancaire, ce qui a poussé la DGSN à lancer la plateforme E-Blagh le 18 mai 2024.
• Maroc, en cours : SNRT News indique que la DGSN a traité 13 643 affaires de cybercriminalité liées aux technologies modernes et au chantage sur une seule période récente — dont une part substantielle d'usurpation bancaire/financière.

Les 7 signaux à reconnaître

Tout l'un de ces éléments doit être traité comme une arnaque par défaut :

1. SMS avec un lien. Les banques n'envoient effectivement pas de liens actifs par SMS — elles vous demandent de vous connecter à l'application.
2. Le domaine du lien ne correspond pas exactement au site principal de la banque (celui que vous taperiez vous-même).
3. Urgence : « 24h », « immédiatement », « avant minuit ». Les vrais avis bancaires n'expirent pas dans la journée.
4. Une menace monétaire : blocage du compte, désactivation de carte, perte de X €. Conçu pour vous paniquer.
5. Salutation générique : « Cher client ». Votre banque connaît votre nom.
6. Fautes d'orthographe ou de ponctuation (moins fréquent avec la traduction IA, mais ça arrive encore).
7. L'expéditeur a un truc qui cloche : une longue chaîne de chiffres, un code pays étranger, ou un nom alphanumérique presque correct (« BMCEBank-FR » au lieu de « BMCE »).

La règle unique qui annule cette arnaque

Ne tapez jamais un lien dans un SMS qui prétend venir de votre banque.

Ouvrez plutôt l'application de votre banque. S'il y a une vraie alerte, elle sera dans les notifications de l'app.

S'il n'y a pas d'alerte dans l'app, le SMS est une arnaque. Fin de la décision.

Cette règle n'a aucune exception et vous protège à vie. Elle ne coûte rien à appliquer et rend toute l'industrie du smishing inutile contre vous.

Que faire si vous recevez un SMS de phishing

1. Ne tapez pas le lien. Le simple fait de cliquer peut parfois charger des pixels de suivi qui confirment que votre numéro est actif.
2. Vérifiez via l'app. Ouvrez l'application de votre banque, connectez-vous normalement, vérifiez s'il y a une vraie alerte.
3. Transférez le SMS au numéro de signalement. France : 33700 (gratuit, signal-spam.fr). Belgique : 8484. Maroc : envoyez une capture à la plateforme E-Blagh de la DGSN ou contactez la ligne fraude de votre banque.
4. Bloquez l'expéditeur. Appui long sur le message → Bloquer.
5. Supprimez le SMS pour ne pas le retoucher par erreur plus tard.

Si vous avez déjà saisi vos infos sur la fausse page

Le temps compte. Agissez dans cet ordre :

1. Appelez immédiatement la ligne fraude officielle de votre banque (le numéro au dos de votre carte, pas celui du SMS). Bloquez la carte. Gelez le compte.
2. Changez votre mot de passe bancaire et tout autre mot de passe réutilisé. Surtout si vous l'avez tapé sur la fausse page.
3. Activez les alertes SMS ou push pour chaque transaction afin de repérer en temps réel toute débit non autorisé.
4. Déposez plainte au pénal. France : Pré-plainte en ligne + commissariat le plus proche. Maroc : commissariat + E-Blagh. Belgique : police locale + signalement safeonweb.be.
5. Méfiez-vous des « arnaques à la récupération » — une fois votre numéro dans leur base, vous recevrez des appels d'« agents fraude » qui proposent de récupérer l'argent contre des frais. Mêmes criminels, deuxième passage.

Ce que font réellement les banques

Les vraies banques ont quelques schémas que vous pouvez reconnaître :

• Elles vous contactent dans l'application, avec une alerte + un bouton « Confirmer » ou « Rejeter ». Pas de lien externe.
• Elles envoient des e-mails de confirmation après une action que vous avez initiée (virement, demande de carte, connexion depuis un nouvel appareil).
• Elles ne demandent jamais votre mot de passe, votre code PIN, votre numéro complet de carte, ou un code SMS par aucun canal — téléphone, SMS, e-mail, en personne.
• Si elles soupçonnent une fraude, elles bloquent la transaction et vous appellent sur un numéro connu — elles ne vous demandent pas d'agir vous-même.

Si ça ne colle pas à ce schéma, ce n'est pas votre banque.

Un second avis en 5 secondes

Si vous regardez un SMS bancaire en ce moment et que vous hésitez, transférez-le à Digiscam sur WhatsApp ou collez-le dans notre boîte de vérification. Verdict IA en quelques secondes, avec les mêmes critères que ceux publiés par les régulateurs. Gratuit, anonyme, FR/EN/AR.

Ouvrez l'app. Ne tapez pas le lien.

Sources : Belga News Agency — Pertes phishing Belgique 2024 · Cybermalveillance.gouv.fr — Rapport d'activité 2024 (PDF) · Médias24 — Lancement DGSN E-Blagh · SNRT News — Statistiques cybercriminalité Maroc