Il n'existe que deux façons de configurer la biométrie.

Conformément à la décision 2345/QD-NHNN de la Banque d'État relative à la mise en œuvre de solutions de sûreté et de sécurité pour les paiements en ligne et les paiements par carte bancaire, les banques aident leurs clients à collecter et à enregistrer leurs données biométriques sous deux formes :

Tout d'abord, les clients qui possèdent déjà une carte d'identité à puce et un téléphone compatible NFC peuvent effectuer cette opération de manière proactive sur l'application bancaire numérique (l'application officielle de la banque) à partir de la fonction « Mise à jour des données biométriques ».

Deuxièmement, les clients qui ne possèdent pas de carte d'identité à puce ou dont l'appareil ne peut pas être utilisé sur l'application bancaire en ligne peuvent se rendre directement aux points de transaction de la banque pour obtenir de l'aide.

Les banques recommandent à leurs clients d'enregistrer leurs données biométriques uniquement via l'un des deux formulaires ci-dessus. Toute autre instruction est frauduleuse. Les banques n'exigent aucune information relative à l'accès, au mot de passe, au code d'authentification OTP, etc., pour l'enregistrement des données biométriques.

Cependant, profitant du fait que les banques collectent des données biométriques, des escrocs se font passer pour des employés de banque afin de faciliter la mise à jour de ce système pour les utilisateurs.

Agribank aide ses clients à enregistrer leurs données biométriques.jpg
Des clients s'enregistrent pour l'authentification biométrique à un point de transaction Agribank . Photo : Agribank

Voici quelques méthodes de fraude courantes utilisées par les criminels :

Contacter les clients par téléphone, SMS, en se liant d'amitié via les réseaux sociaux (Zalo, Facebook,...) pour les guider dans la collecte d'informations biométriques.

Créer des surnoms trompeurs tels que « employé de banque », « service client »... et interagir avec les commentaires des clients sous les publications sur le site de réseau social officiel de la banque, en demandant un contact privé (boîte de réception) pour attirer et escroquer les clients et leur soutirer leurs informations.

Il est demandé aux clients de fournir des informations personnelles, des informations de compte, des images de leur carte d'identité, des images de leur visage, etc., afin d'obtenir de l'aide. Les personnes interrogées peuvent même demander des appels vidéo pour recueillir des informations supplémentaires sur leur voix et leurs gestes.

Les clients sont invités à accéder à un lien étrange pour télécharger et installer l'application d'assistance à la collecte biométrique sur leur téléphone.

Après avoir obtenu les informations du client, les personnes concernées procéderont au prélèvement des fonds sur le compte bancaire du client.

Les banques mettent en garde leurs clients : il est absolument interdit de communiquer des informations personnelles par téléphone, SMS, courriel ou messagerie instantanée (Zalo, Viber, Facebook Messenger, etc.). De même, il est formellement déconseillé de cliquer sur des liens ou de fournir des informations de sécurité relatives à vos comptes bancaires (identifiant, mot de passe, code OTP), à vos services de carte (numéro de carte, code OTP), à votre compte bancaire ou à toute autre information personnelle ou relative à la sécurité des services bancaires.

Les clients ne doivent pas partager d'informations personnelles, d'informations relatives à leurs services bancaires, d'informations sur leurs transactions bancaires... sur les réseaux sociaux afin d'éviter d'être victimes d'escrocs se faisant passer pour des banques ou des employés de banque afin de les contacter, de demander de l'aide ou des informations pour commettre des fraudes et détourner de l'argent sur leurs comptes.

Dites non aux applications étranges

Quelle que soit l'approche initiale, la méthode la plus courante des escrocs consiste encore à inciter les victimes à installer de fausses applications contenant un code malveillant, afin de voler des informations et de s'approprier l'argent des comptes des clients.

Outre les fausses applications bancaires, d'autres applications frauduleuses ont été recensées, telles que : de fausses applications de services publics, de fausses applications VNeID, de fausses applications gouvernementales, de fausses applications d'agences fiscales, de fausses applications du ministère de la Sécurité publique

Le site contacte et attire les utilisateurs en utilisant des scénarios courants tels que : les informations d’identification dans le système ne sont pas synchronisées ; le livret de famille électronique est en retard ; prise en charge de l’identification VNeID de niveau 2 ; télécharger l’application pour obtenir un numéro de réservation et éviter l’attente au commissariat ; mise à jour des informations du permis de conduire au commissariat…

Fausse application de service public.jpg
Image d'une fausse application de service public signalée par Vietcombank à ses clients.

L'auteur de ces messages envoie des liens et invite les internautes à télécharger et installer des applications contenant des logiciels malveillants sur leurs téléphones. Voici quelques exemples de liens frauduleux recensés : dichvucong.dulieuquocgia.co, dichvucong.bvgov.com, dichvucong.govn.com, dichvucong.bcagov.com…

La fausse application demande aux clients d'installer l'application à partir d'une source inconnue et d'accorder des autorisations d'accès élevées à l'appareil (lecture des messages, contrôle du téléphone à distance,...).

D'après les autorités, les signes d'une application frauduleuse sont généralement les suivants : l'application n'est pas installée depuis une plateforme de téléchargement d'applications (App Store, Google Play) mais via un lien fourni par l'escroc ; l'écran de l'appareil est inutilisable (écran noir ou figé) ; l'appareil fonctionne lentement, chauffe et la batterie se décharge rapidement après l'installation ; l'application se lance automatiquement même lorsqu'elle n'est pas utilisée…

Par conséquent, les autorités recommandent d'être particulièrement vigilants lorsqu'on reçoit des appels de prétendues « autorités » et des demandes d'installation de l'application ;

Installez uniquement les applications fournies par des développeurs de confiance provenant des plateformes de téléchargement d'applications App Store (iOS) et CH Play (Android) ;

N’installez absolument pas d’applications via des liens envoyés par Zalo, SMS, Viber, etc. et logiciels de messagerie ou via des liens fournis par des tiers ;

Effectuez immédiatement une réinitialisation d'usine de votre téléphone si vous détectez des signes inhabituels (le téléphone fonctionne lentement, l'écran est noir, des notifications d'applications demandent l'accès, des applications étranges apparaissent sur le téléphone, le téléphone chauffe, la batterie se décharge rapidement) ;

Mettez à jour votre application bancaire vers la dernière version et enregistrez vos données biométriques pour une sécurité renforcée.

Les banques mettent en garde contre les escrocs qui se font passer pour des employés de banque afin de faciliter l'installation de systèmes biométriques et de commettre des fraudes. Profitant des difficultés rencontrées par de nombreux clients avec l'authentification biométrique, des fraudeurs usurpent l'identité d'employés de banque pour installer ces systèmes et ainsi dérober les données des utilisateurs à des fins malveillantes.