Arnaques au Compte Personnel de Formation : soyez vigilants !

Chaque début d’année, les salariés, agents publics et demandeurs d’emploi ayant déjà travaillé se voient crédités en euros des droits à la formation sur leur compte personnel de formation (CPF). Pour gérer et utiliser leur compte, chaque actif dispose d’un espace personnel sur le site officiel www.moncompteformation.gouv.fr. Les pirates étant créatifs, certains ont lancé une campagne d’escroquerie au compte personnel de formation. Nous vous expliquons dans cet article comment ils procèdent et ce que vous pouvez faire pour vous en prémunir.

Évaluez la sécurité de votre organisation

Faites réaliser un diagnostic de sécurité complet de votre environnement informatique par un spécialiste pour garantir la protection de vos données.

Découvrez notre offre de diagnostic de sécurité

Déroulement de l’arnaque

L’attaque commence par la récupération de vos identifiants, via des campagnes de phishing (ou hameçonnage). À travers des mails ou des SMS ressemblant à ce que pourrait envoyer le site du CPF, les escrocs vous invitent à vous connecter à une plateforme plagiant moncompteformation.gouv.fr.

Sur ce faux site, vous entrez vos identifiants que les arnaqueurs récupèrent.

Avec vos identifiants, les escrocs vous inscrivent à des formations factices ou frauduleuses, soit en accédant directement à votre compte et en vous incitant à vous y inscrire ; soit à vous inscrire sans votre consentement, voire à votre insu.

Ces formations factices, ou sans réel contenu pédagogique, sont alors commandées auprès de sociétés « douteuses » ou qui usurpent l’identité de véritables organismes de formation qui feront régler frauduleusement le montant de la formation financée par votre compte CPF. Les préjudices pour vous peuvent alors aller de quelques centaines à plusieurs milliers d’euros.

Mesures pour se protéger

Pour s’en prémunir, voici les bons réflexes à adopter :

• Ne communiquez jamais d’informations sensibles (numéro de sécurité sociale ou mot de passe) par messagerie, par téléphone ou sur internet.
• Utilisez des mots de passe différents et complexes pour chaque site et application utilisés.
• N’ouvrez pas les courriels ou leurs pièces jointes et ne cliquez jamais sur les liens présents dans les mails, d’émetteurs que vous ne connaissez pas.
• Appliquez de manière régulière et systématique les mises à jour de sécurité du système et des logiciels.
• Vérifiez l’adresse du site qui s’affiche dans votre navigateur et que la page présente le petite cadenas de sécurité à côté de l’URL.
• Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer) : l’adresse vers laquelle pointe réellement le lien concerné s’affichera alors.
• Évitez de vous connecter à un ordinateur ou à un réseau Wi-Fi public, ou videz le cache du navigateur si vous utilisez un ordinateur public ou d’une autre personne.
• Déconnectez-vous systématiquement de votre compte après utilisation pour éviter que quelqu’un puisse y accéder après vous.
• Soyez vigilant lorsque vous répondez à des formulaires d’inscriptions, des bons de commande ou participez à des jeux concours.

Sécurité informatique : tous concernés

Entreprises ou particuliers, nous sommes aujourd’hui tous des cibles pour les attaques organisées de pirates. Il est donc capital d’adopter ces réflexes dans le cadre professionnel et privé.

Si vous avez un doute sur la sécurité de votre organisation, réalisez fréquemment un diagnostic de votre environnement infrastructure et mettez en place les mesures adaptées à votre organisation. Labellisé CyberExpert, nos spécialistes peuvent vous accompagner.

Article écrit en collaboration avec la fédération EBEN dont fait partie Flexsi.

Articles similaires :

La meilleure sécurité contre le phishing, c’est vous Former vos collaborateurs aux usages de leur poste de travail 4 solutions pour en finir avec les mots de passe 8 bonnes pratiques de sécurité pour Active Directory (AD)