Un homme de Montréal affirme que la Banque TD n’a pas fait assez pour le protéger d’une escroquerie qui lui a coûté 13 000 $ après que des fraudeurs ont fait une avance de fonds sur sa carte de crédit.

Il y a quelques semaines, Shabetai Shattah a déclaré avoir reçu un appel concernant une activité suspecte sur sa carte de crédit de la part d’une personne se faisant passer pour un employé de TD Visa.

Après avoir confirmé qu’il n’avait pas effectué les achats, Shattah a été informé par l’employé que sa carte de crédit serait annulée et qu’il en obtiendrait une nouvelle dans quelques jours.

Tout cela semblait assez routinier.

« Je ne me doutais de rien », a déclaré Shattah, un enseignant à la retraite.

L’imposteur lui a alors dit qu’un portefeuille bitcoin avait également été ouvert à son nom et qu’il était à découvert de 13 000 $. Shattah a déclaré qu’il avait ensuite été transféré au service d’enquête de TD, où on lui a dit que la banque soupçonnait qu’un employé de sa succursale divulguait des informations et volait de l’argent. Ils ont demandé son aide pour les attraper.

« L’enquêteur » a dit à Shattah qu’ils déposeraient 13 000 $ sur son compte de chèques afin qu’il puisse ramener à zéro le solde du portefeuille Bitcoin.

« J’ai ouvert Easyweb et, ô surprise, il y a 13 000 $ sur mon compte », a déclaré Shattah, 72 ans. « Dans ma tête, je me suis dit : ‘Eh bien, c’est totalement légitime’. »

Les escrocs ont demandé à Shattah de retirer l’argent, ce qu’il a fait, dans deux succursales différentes.

Shabetai Shattah a déclaré qu’un escroc lui avait dit qu’un employé de sa succursale de la Banque TD à Côte Saint-Luc divulguait des informations et escroquait des clients. (Louis-Marie Philidor/CBC)

Ils ont demandé à Shattah d’être discret pour éviter d’alerter le soi-disant « mauvais » employé.

À la première succursale, le caissier lui a demandé à quoi servait l’argent.

« J’ai été entraîné pour leur dire que c’était pour payer la rénovation que j’avais et ces gars veulent de l’argent », a déclaré Shattah. Le caissier lui a dit que le distributeur de billets ne fonctionnait pas, mais qu’il pouvait retirer 5 000 $ au guichet automatique.

Il a retiré les 8 000 $ restants à un deuxième endroit.

On lui a ensuite donné l’adresse d’une machine à bitcoins à proximité, où il a déposé l’argent.

De là, on lui a dit que les enquêteurs retrouveraient l’argent.

« Dans mon esprit et dans mon cœur, je pensais que j’aidais la TD à attraper un voleur », a-t-il déclaré. « Peut-être que j’étais juste naïf, mais vous savez, je pensais que je rendais vraiment un bon service à la banque. »

Shabetai Shattah a déclaré que les fraudeurs lui avaient envoyé trois codes QR, qu’il a utilisés pour déposer 13 000 $ dans cette machine à bitcoins. (Leah Hendry/CBC)

La nouvelle carte de crédit n’est jamais arrivée

Lorsque la nouvelle carte de crédit de Shattah n’était toujours pas arrivée la semaine suivante, il a appelé TD Visa et a été choqué qu’il n’y ait aucune trace de l’annulation de sa carte.

« À ce moment-là, je suis devenu blanc », a déclaré Shattah, qui s’est précipité vers sa succursale pour signaler l’arnaque.

« Le manager dit: » Oh mon Dieu, pas toi aussi « », se souvient Shattah.

Le directeur de la banque lui a dit qu’un autre client âgé était entré dans la banque la veille et avait perdu 10 000 $ à cause de la même arnaque.

Dans le cas de Shattah, il a découvert que les fraudeurs avaient prélevé une avance de fonds sur sa carte VISA, puis l’avaient transférée sur son compte de chèques.

Habituellement, Shattah a déclaré qu’il recevait une alerte s’il faisait quoi que ce soit en dehors de ses habitudes bancaires normales, mais il a déclaré que la Banque TD ne l’avait jamais informé d’une avance de fonds sur son VISA. Il a également dépassé ses dépenses mensuelles normales en avril, mais cela n’a pas semblé soulever de drapeaux rouges pour la banque, a déclaré Shattah.

« Ils n’ont pas fait preuve de diligence raisonnable. Ils ne m’ont pas protégé », a déclaré Shattah, qui vit à Côte Saint-Luc, une ville de l’île de Montréal.

Bien qu’il ait déposé une plainte auprès de TD, sa demande de remboursement a été refusée, tout comme son appel. Il devra rembourser intégralement l’avance de 13 000 $. La banque a offert trois mois sans intérêt, puis il remonte jusqu’à 30 % d’intérêt.

« C’est la moitié de ma pension (annuelle) pour vivre », a déclaré Shattah. « Je ne peux pas me le permettre. »

Près de 7 M$ perdus en 2022

Le Centre antifraude du Canada affirme avoir reçu plus de 4 400 signalements de fraude, connue sous le nom d’« escroquerie des enquêteurs bancaires », en 2022. Il indique qu’environ 1 000 victimes ont perdu près de 6,9 ​​millions de dollars.

Au cours des trois premiers mois de 2023, près de 400 victimes ont perdu plus de 3,2 millions de dollars.

« Malheureusement, au rythme, nous perdrons probablement plus en 2023 à cause de cette arnaque qu’en 2022 », a déclaré Jeff Horncastle, responsable par intérim des clients et des communications du centre.

En règle générale, l’escroc prétend appartenir à une banque ou à un important fournisseur de cartes de crédit. Ils disent qu’il y a des frais non autorisés sur le compte ou que la carte est compromise.

Dans certains cas, l’escroc demande les informations de carte de crédit ou le numéro d’identification personnel (NIP) de la victime. L’escroc dit alors à la victime d’envoyer de l’argent pour les frais de remboursement ou comme « argent d’appât » pour aider à attraper un mauvais « employé ». La victime est invitée à envoyer l’argent de différentes manières, notamment par virement bancaire, en achetant des cartes-cadeaux ou avec des bitcoins.

Claudiu Popa, consultant en confidentialité et cybersécurité, a déclaré que les gens devraient éviter de cliquer sur des liens qui semblent provenir de leur institution financière. En cas d’urgence, il recommande de contacter directement votre agence ou votre banque. (Soumis par Claudiu Popa)

Plus tôt cette semaine, la police de Laval a mis en garde la population contre une autre variante de l’escroquerie après avoir reçu près de 10 plaintes depuis juin 2022. Dans cette version de l’escroquerie, après avoir obtenu les NIP des victimes par téléphone, le fraudeur s’est fait passer pour un policier et a récupéré le cartes de crédit des victimes à leur domicile.

Lorsque les fraudeurs l’ont appelé, Shattah se souvient avoir vu un numéro 1-877 apparaître sur son afficheur, qui est généralement associé aux banques.

Mais Horncastle dit que les fraudeurs utilisent souvent l’usurpation d’identité de l’appelant, ce qui leur permet de déguiser leur numéro de téléphone en un autre et d’inciter les gens à décrocher.

Si les gens reçoivent un appel d’une personne prétendant être de leur banque, il recommande de raccrocher et de contacter directement l’agence bancaire ou d’appeler le numéro au dos de votre carte de débit ou de crédit.

« Nous conseillons toujours aux gens d’attendre quelques minutes car nous avons reçu des rapports selon lesquels les fraudeurs peuvent rester connectés à votre ligne téléphonique », a déclaré Horncastle.

Violation de données ou tentative de phishing ?

Quelques semaines après que Shattah a été victime d’une fraude, il a reçu une lettre lui disant que son nom, son adresse et son numéro d’assurance sociale faisaient partie d’une violation de données dans l’une des plus grandes sociétés d’investissement du Canada.

Mais Claudiu Popa, consultant en confidentialité et cybersécurité, a déclaré que les adresses e-mail et les numéros de téléphone des gens se retrouvent souvent sur des listes de spam.

Les fraudeurs envoient ensuite des e-mails de phishing qui semblent provenir de la banque de la personne.

Popa conseille aux gens d’installer un système de filtrage robuste, afin que les spams aillent directement dans leur courrier indésirable. S’ils sont tentés de cliquer sur un lien, il est préférable d’appeler d’abord la banque et de vérifier directement avec eux.

Voici l’historique des transactions sur l’un des portefeuilles bitcoin dans lequel Shabatai Shattah a été invité à déposer de l’argent. (Blockonomie)

Si la victime clique sur le lien, son ordinateur ou son appareil peut être infecté par un logiciel espion qui peut donner aux voleurs un accès à distance.

« Ils peuvent voir son écran lorsqu’il se connecte à l’interface d’accès TD et à ce moment-là, ce qu’ils font, c’est qu’ils effacent son écran – un processus qui prend quelques secondes, au cours duquel ils modifient ses montants sur son écran », dit Popa.

« Dès que la personne dit que vous devriez voir ce numéro et qu’elle voit ce numéro, elle n’a plus aucun doute sur le fait que ces personnes sont légitimes car elle ne peut pas imaginer que quelqu’un puisse être connecté via son propre ordinateur, sans parler de de l’autre côté de la planète. »

Une fois que le fraudeur a accès aux services bancaires en ligne de la victime, il peut modifier les informations de la victime, y compris le numéro de téléphone portable de la personne, afin que toute alerte ou code soit envoyé à un autre numéro de téléphone.

Bitcoin difficile à tracer

Les fraudeurs s’attendent à ce que certains consommateurs ne connaissent pas certaines technologies et certains systèmes.

Dans le cas de Shattah, il dit qu’il ne savait presque rien sur les crypto-monnaies, ce qui peut être difficile à retracer.

« C’est instantané et c’est en grande partie irréversible », a déclaré Popa.

Mais à partir du moment où les fraudeurs ont eu Shattah au téléphone, ils l’ont guidé à chaque étape et lui ont envoyé par e-mail les codes QR dont il aurait besoin pour déposer de l’argent dans la machine à bitcoins.

« Je pensais que c’était bizarre qu’il n’y ait pas de reçu », a déclaré Shattah, mais le fraudeur l’a rassuré que c’était normal.

Chaque code QR reçu par Shattah est lié à un portefeuille ou à un compte bitcoin spécifique. CBC Montréal a trouvé les portefeuilles, qui montraient combien d’argent était entré et sorti un jour précis.

Selon les enregistrements de transaction, les trois comptes ont reçu plus de 18 000 dollars le 19 avril, ce qui suggère que Shattah n’était pas la seule victime de fraude ce jour-là. Tout l’argent a été retiré aux petites heures du 20 avril.

La TD avertit les clients de se méfier

La Banque TD a refusé de discuter des détails du cas de Shattah, mais a déclaré que les détails de l’enquête lui avaient été communiqués.

Dans une lettre expliquant la décision de ne pas rembourser Shattah, la banque a déclaré que son enquête avait montré qu’un « code d’authentification à usage unique a été envoyé à votre appareil avec la modification de votre mot de passe Easyweb ».

Shattah a déclaré qu’il n’avait jamais demandé de changement de mot de passe et pense que les escrocs l’ont demandé. En règle générale, une alerte est envoyée sur le téléphone d’un client lui demandant s’il a demandé le changement. Shattah n’en a jamais reçu et pense que les escrocs ont peut-être redirigé l’alerte.

La lettre de la banque poursuit en disant qu’un représentant de la succursale a posé des questions de diligence raisonnable lorsque Shattah a retiré l’argent et que leur enquête a conclu que la politique et les procédures de la TD avaient été suivies.

Dans un courriel adressé à CBC Montréal, la Banque TD encourage les clients à se méfier des appels, messages texte ou courriels non sollicités qu’ils reçoivent, surtout s’ils demandent des renseignements personnels.

Les fraudeurs font croire aux clients qu’ils ont déposé de l’argent sur leur compte, alors la banque conseille aux gens d’examiner tous leurs comptes pour toutes les transactions qu’ils n’ont pas faites eux-mêmes.

Pour vérifier l’identité d’un client, la banque posera des questions de base pour s’assurer qu’il s’adresse à la bonne personne, mais elle ne vous demandera jamais de divulguer vos mots de passe ou votre code PIN.

TD a dit à Shattah que sa décision était définitive. S’il veut aller plus haut, il devra porter plainte auprès du ADR Chambers Banking Ombuds Office (ADRBO).

Shattah est déçu de l’enquête de TD et envisage maintenant une action en justice.

Il a dit que l’escroquerie lui avait donné l’impression qu’il ne pouvait plus faire confiance à personne. Il a déposé un rapport de police et signalé la fraude à Equifax et Transunion.

« C’est horrible », a déclaré Shattah. « Quelqu’un appelle et je ne sais pas si c’est réel ou non. »