Vous recevez un appel de « l’équipe de sécurité » ? Il ne s’agit pas de nos services.
Dans l’article complet : fonctionnement étape par étape de ce stratagème, signes à repérer indiquant une attaque éventuelle et liste de contrôle en 6 points pour protéger votre compte dès aujourd’hui.
Votre compte peut être vidé en un seul coup de fil
Un simple coup de fil peut coûter à une entreprise la totalité de son solde bancaire. Les fraudeurs se font passer pour le service client de votre banque, vous appellent par votre nom, vous pressent de répondre, puis vous demandent le code reçu par SMS « pour annuler un paiement suspect ». Deux minutes plus tard, votre argent a disparu à jamais.
Nous avons passé au crible des cas réels de piratage de comptes professionnels survenus début 2026. La conclusion est sans appel : 6 attaques sur 10 ne commencent pas par un piratage informatique, mais par un simple coup de fil ou un lien et dans 58 % des cas, la première manœuvre du fraudeur consiste à modifier votre numéro de téléphone afin de pouvoir intercepter tous les codes.
Souvenez-vous d’une seule règle : Finom n’appelle jamais ses clients pour leur demander un code, un mot de passe ou de cliquer sur un lien. Si quelqu’un vous appelle « de la part de Finom » pour vous demander l’une de ces informations, il s’agit d’un escroc.
Découvrez notre compte professionnelPourquoi ce sujet est-il d’actualité ?
La prise de contrôle de compte (ATO pour Account Takeover) peut sembler être un phénomène technique et rare. Dans les faits, il s’agit pourtant d’une des menaces les plus courantes et les plus rapides auxquelles sont confrontés les entrepreneurs. Et voici l’élément clé à retenir : dans la grande majorité des cas, les personnes malintentionnées n’ont pas besoin de pirater quoi que ce soit. Il leur suffit que vous leur ouvriez la porte.
En examinant des incidents réels survenus début 2026, nous avons constaté que 60 % des attaques reposaient sur l’ingénierie sociale, autrement dit, sur une conversation, et qu’environ la moitié impliquait également du phishing (faux e-mails et liens). Par ailleurs, les failles techniques, les logiciels malveillants et les substitutions de carte SIM ne représentent qu’une part relativement faible. En résumé, ce n’est pas un « mot de passe faible » qui constitue votre plus grand risque, mais une voix convaincante à l’autre bout du fil.
Fort heureusement, comme ces attaques reposent sur la capacité à tromper une personne, la défense repose principalement sur l’adoption d’habitudes simples, et non sur des technologies coûteuses.
La seule règle à retenir en permanence
Avant de nous plonger dans les détails techniques, voici l’élément essentiel dont il faut être conscient :
Finom n’appelle ni n’envoie jamais de message à ses clients pour leur demander un mot de passe, un code reçu par SMS ou une notification push, ni pour leur demander de cliquer sur un lien afin de « confirmer » ou d’« annuler » une transaction.
Nos équipes d’assistance officielles n’ont jamais besoin de vos codes : ceux-ci existent précisément pour vous protéger contre des tiers. Ainsi, tout appel ou message « de la part de l’équipe de sécurité de Finom » ayant pour objet une telle demande est une fraude, sans aucune exception. Si vous avez le moindre doute, mettez simplement fin à la conversation et contactez vous-même votre banque via l’application.
En savoir plus sur le service de facturation gratuitComment fonctionne ce stratagème
La méthode la plus courante et la plus efficace est une combinaison en deux étapes (elle représente plus de 40 % de tous les cas) :
- Le phishing (ou hameçonnage). Vous recevez un e-mail ou un SMS « de la part de votre banque » : « Confirmez votre connexion », « Votre compte est bloqué », « Nouvel appareil détecté ». Le lien mène à une fausse page de connexion qui ressemble en tous points au site authentique. Vous saisissez votre nom d’utilisateur et votre mot de passe, qui sont instantanément transmis à la personne malveillante.
- Vishing (un appel téléphonique). Pour contourner votre deuxième niveau de protection, vous recevez immédiatement un appel de « l’équipe de sécurité ». Une voix calme et assurée vous interpelle par votre nom, évoque une « transaction suspecte » et vous demande de lui lire le code figurant dans votre SMS « pour annuler le paiement ». Ce code constitue votre dernier rempart.
À partir de là, tout va très vite. Une fois qu’il a accès au compte, le fraudeur modifie presque toujours en premier lieu le numéro de téléphone associé : dans 58 % des cas recensés, il s’agit de la toute première action enregistrée. C’est le moment critique : le téléphone est la « clé passe-partout » du compte. En contrôlant votre numéro, l’attaquant reçoit tous les codes par SMS, les liens de réinitialisation de mot de passe ainsi que les confirmations. Il modifie ensuite l’adresse e-mail et le mot de passe, et le propriétaire légitime perd complètement l’accès à son propre compte.
L’argent est transféré presque instantanément. Concrètement, un virement a été effectué moins de 2 minutes après la modification des identifiants, via des paiements instantanés irréversibles. De plus, un tiers de ces attaques sont automatisées : la prochaine étape intervient en moins de 10 minutes, car les comptes destinataires ont été préalablement configurés.
Pourquoi même les personnes les plus averties se font piéger
Ce n’est pas une question de naïveté. Les auteurs de ces escroqueries sont des professionnels qui savent jouer sur certains leviers psychologiques :
- L’urgence. « Le paiement sera effectué dans 5 minutes si vous ne le confirmez pas. » Vous n’avez pas le temps de réfléchir.
- Votre confiance envers la marque. Votre interlocuteur connaît votre nom, votre entreprise, parfois même vos transactions récentes. Ses propos ressemblent fortement à ceux d’un véritable service client.
- La peur de perdre l’accès à son compte ou de perdre de l’argent. Le paradoxe : une personne lit le code à voix haute pour « sauver » son compte… et c’est exactement ainsi qu’elle le perd.
- L’autorité. « Équipe de sécurité », « agent bancaire », « représentant de Google » : autant de rôles dont nous sommes conditionnés à nous soumettre.
Un détail important qui ressort des données : la source du problème se trouve souvent en dehors de la banque, dans la messagerie électronique piratée de la victime. Dans 41 % des cas, le fraudeur avait déjà accès à la messagerie de la victime avant même de toucher au compte. La messagerie est la clé de secours qui ouvre toutes les portes ; il est donc tout aussi important de la protéger que de protéger l’application bancaire elle-même.
En savoir plus sur FinomÀ quoi ressemble concrètement une attaque : un scénario réaliste
Le propriétaire d’une petite entreprise reçoit un SMS : « Finom : une connexion depuis un nouvel appareil a été détectée. Si vous n’êtes pas à l’origine de cette action, cliquez ici. » Il clique, voit s’afficher le formulaire de connexion habituel et saisit ses identifiants. Comme rien ne semble se passer, il ferme la page et n’y pense plus.
Une minute plus tard, un appel : « Bonjour, ici l’équipe de sécurité de Finom. Nous constatons une tentative de retrait de 3 900 €. Pour l’annuler, veuillez nous lire le code figurant dans votre SMS. » Il le lit à voix haute. « Merci, le paiement est bloqué, tout est en ordre. »
En réalité, à ce moment précis, le numéro de téléphone associé au compte est modifié, puis l’adresse e-mail, et enfin le mot de passe. Quelques minutes plus tard, un virement instantané est effectué. L’entrepreneur ne remarque rien : l’application a cessé d’envoyer des notifications, car les coordonnées ne sont plus les siennes. En moyenne, c’est seulement trois semaines plus tard que le problème est découvert, lorsqu’il devient impossible de récupérer quoi que ce soit.
Et nous insistons encore une fois sur ce point essentiel : dans cette situation, la véritable entreprise Finom n’appelle pas et ne demande pas de code. L’appel lui-même est le signe d’une attaque.
Signaux d’alerte
Faites preuve de vigilance si :
- Quelqu’un vous contacte de sa propre initiative et vous demande un code, un mot de passe ou de cliquer sur un lien.
- Votre interlocuteur vous met la pression et ne vous laisse pas « raccrocher pour rappeler ».
- Vous recevez une notification concernant une modification de votre numéro de téléphone, de votre adresse e-mail ou de votre mot de passe que vous n’avez pas effectuée.
- Vous cessez soudainement de recevoir les SMS et notifications push habituels de votre banque
- Un lien dans un e-mail renvoie vers une adresse similaire, mais légèrement différente (par exemple finom-secure.com au lieu du véritable nom de domaine).
- On vous demande de transférer de l’argent vers un compte « sécurisé » ou « de secours ».
Comment faire pour vous protéger
Voici quelques mesures concrètes, classées par ordre d’importance :
- Ne communiquez jamais à qui que ce soit les codes reçus par SMS ou par notification push. Aucun collaborateur bancaire légitime, y compris chez Finom, ne vous demandera jamais un code : ce sont toujours les actions de personnes malintentionnées. C’est la règle numéro un.
- Ne cliquez pas sur les liens contenus dans les e-mails ou les SMS. Accédez à votre compte bancaire uniquement via l’application officielle ou en saisissant manuellement l’adresse du site web.
- Passez des codes SMS à la confirmation via l’application (notification push/clé d’accès) si votre banque prend en charge cette fonctionnalité. Ainsi, une modification de votre numéro de téléphone privera le fraudeur de tout contrôle.
- Protégez votre boîte mail : c’est la deuxième clé de voûte pour tout. Activez l’authentification à deux facteurs et utilisez un mot de passe unique.
- Utilisez des mots de passe forts et diversifiés, ainsi qu’un gestionnaire de mots de passe. Utiliser le même mot de passe pour votre messagerie et vos services bancaires signifie qu’une seule violation compromet les deux.
- Activez toutes les notifications pour les connexions, les modifications de données et les transactions : vous pourrez ainsi détecter une attaque en quelques minutes, et non en plusieurs semaines.
- En cas de doute, raccrochez et connectez-vous vous-même via l’application officielle.
Que faire si vous soupçonnez une intrusion
Si vous avez lu un code à voix haute, cliqué sur un lien suspect ou constaté des modifications que vous n’avez pas effectuées, agissez immédiatement ; chaque minute compte :
- Ouvrez l’application et vérifiez si vous y avez toujours accès.
- Modifiez votre mot de passe à la fois sur le site de la banque et dans votre messagerie.
- Contactez Finom via l’application officielle et signalez le piratage ; demandez-leur de bloquer le compte ainsi que les transactions.
- Passez en revue les transactions récentes et notez tout élément suspect.
- Vérifiez votre numéro de téléphone et votre adresse e-mail dans les paramètres ; assurez-vous qu’ils n’ont pas été modifiés.
- Signalez la fraude à la police si de l’argent a été dérobé.
La rapidité fait toute la différence : les virements instantanés sont pratiquement impossibles à récupérer, mais un blocage rapide permet souvent de sauver les fonds restants.
En résumé
La prise de contrôle d’un compte n’est pas l’œuvre de hackers de génie. Il suffit d’une voix calme, d’un faux lien et d’une minute de précipitation de votre part. Les escrocs cherchent à capter votre attention et à gagner votre confiance, pas à exploiter des « failles » dans le système bancaire. La meilleure défense est d’adopter quelques habitudes simples, mais rigoureuses. Et la plus simple d’entre elles est évidente : si quelqu’un vous appelle « de la part de Finom » pour vous demander un code, sachez que ce n’est pas nous. Raccrochez.
Liste de contrôle : 6 mesures à prendre dès aujourd’hui
- Ne communiquez jamais vos codes SMS ou push, même à « l’équipe de sécurité ». Finom ne vous les demandera en aucune circonstance.
- Activez la connexion via l’application ou un mot de passe à usage unique à la place des codes SMS.
- Activez l’authentification à deux facteurs pour votre messagerie et définissez un mot de passe unique.
- Utilisez un gestionnaire de mots de passe : des mots de passe différents pour votre banque, votre messagerie et vos autres services.
- Activez toutes les notifications pour les connexions, les modifications de données et les paiements.
- N’oubliez pas la règle : en cas de doute, mettez fin à la conversation et connectez-vous vous-même à votre banque via l’application.
Derniers articles

Compte pro Shine : tarifs, fonctionnalités et avis

PayPal compte pro : tarifs et services en bref

Compte pro Crédit Mutuel : tarifs et services en bref

Compte pro Crédit Agricole : tarifs et services en bref

Compte pro SumUp : tarifs et services en bref

Compte pro Société Générale : tarifs et services en bref

Affacturage ou prêt bancaire : quelle solution choisir pour son entreprise ?

