Top 10 des arnaques de phishing à reconnaître en 2026

Par Équipe Se Connecter Belgique · Publié le 28/04/2026 · 9 min de lecture

Le phishing — l'art de vous faire saisir vos identifiants ou données bancaires sur un faux site — est aujourd'hui la première cause de piratage de comptes en Belgique. La police judiciaire fédérale signale plus de 50 000 cas par an, et les pertes dépassent 50 millions d'euros annuellement. Sur seconnecter.be, nous publions ce guide indépendant pour vous aider à reconnaître les 10 arnaques les plus répandues en 2026.

1. Le SMS « livraison Bpost / Mondial Relay »

Format type : « Votre colis n'a pas pu être livré. Réglez 1,50€ ici : bpost-track.com/xy12 ».

Pourquoi ça marche : vous attendez peut-être un colis. Le scam est plausible.

Comment détecter :

  • Bpost et Mondial Relay ne demandent JAMAIS de paiement par SMS.
  • L'URL n'est pas le domaine officiel (bpost.be, mondialrelay.be).
  • Les vrais frais de douane (pour colis hors UE) sont notifiés via lettre officielle ou app, pas par SMS d'1,50€.

Que faire : ignorez et supprimez. Vérifiez votre suivi sur le vrai site (bpost.be) avec votre numéro de suivi.

2. L'email « problème de paiement Amazon / Netflix »

Format type : « Votre paiement a été refusé. Mettez à jour vos informations ici pour éviter la suspension du compte ».

Pourquoi ça marche : la peur de perdre l'accès à vos services.

Comment détecter :

  • Le lien ne pointe pas vers le vrai domaine (amazon.com.be, netflix.com).
  • L'expéditeur est suspect (« [email protected] » au lieu de « [email protected] »).
  • Le ton est urgent et alarmiste.

Que faire : allez directement sur le site officiel (tapez l'URL vous-même). Vous y verrez si un problème de paiement réel existe.

3. Le faux conseiller bancaire au téléphone

Format type : « Bonjour, je suis Mr Dupont du service sécurité de Belfius. Nous avons détecté une transaction suspecte. Pour bloquer, j'ai besoin que vous validiez avec votre lecteur de carte ».

Pourquoi ça marche : l'appelant connaît votre nom, votre banque, parfois même votre numéro de carte (acheté sur dark web).

Comment détecter :

  • Aucune banque ne vous demande de valider quoi que ce soit avec votre lecteur de carte par téléphone.
  • Aucune banque ne vous demande votre code PIN, code lecteur, ou code itsme.
  • L'appelant insiste, crée l'urgence.

Que faire : raccrochez immédiatement. Rappelez vous-même votre banque (numéro au verso de votre carte) pour vérifier.

4. Le faux email du SPF Finances / MyMinFin

Format type : « Vous avez droit à un remboursement fiscal de 247€. Cliquez ici pour le recevoir sous 48h ».

Pourquoi ça marche : l'idée d'argent inattendu fait baisser la vigilance.

Comment détecter :

  • Le SPF Finances envoie les remboursements automatiquement sur votre IBAN connu, jamais via lien email.
  • L'URL ne pointe pas vers fgov.be ou minfin.fgov.be.
  • Le formulaire demande votre carte bancaire « pour vérifier votre identité » (faux prétexte).

Que faire : connectez-vous à MyMinFin directement (eservices.minfin.fgov.be) pour voir vos remboursements éventuels. Ils sont visibles dans votre espace.

5. La fausse application bancaire sur Google Play

Format type : une app « Belfius Bank » avec icône similaire mais éditeur inconnu.

Pourquoi ça marche : les utilisateurs cherchent vite et installent sans vérifier.

Comment détecter :

  • Vérifiez l'éditeur officiel : « Belfius Banque SA » et non « TechApps Inc ».
  • Nombre de téléchargements faible (<100 000 pour une banque belge = suspect).
  • Avis mauvais ou absents.

Que faire : téléchargez les apps bancaires UNIQUEMENT depuis le lien officiel sur le site de la banque (belfius.be, ing.be, etc.).

6. L'arnaque au support technique Microsoft / Apple

Format type : pop-up sur votre écran « Votre Windows est infecté ! Appelez le 02 XXX XX XX immédiatement » ou appel téléphonique « Microsoft » qui veut vérifier votre PC.

Pourquoi ça marche : peur d'un virus, manque de connaissance technique.

Comment détecter :

  • Microsoft, Apple, Google ne vous appellent JAMAIS pour signaler un problème sur votre PC.
  • Une vraie alerte de sécurité ne demande pas d'installer un logiciel ou donner accès à distance.

Que faire : fermez le pop-up (Alt+F4), n'appelez pas le numéro. Si on vous appelle : raccrochez sans donner d'info.

7. Le SMS « code de validation » alors que vous n'avez rien fait

Format type : vous recevez un SMS avec un code à 6 chiffres pour Facebook/Gmail/Belfius. Vous n'avez rien demandé. Ensuite, un appel ou message « Donnez-moi le code, c'est pour vérifier votre compte ».

Pourquoi ça marche : c'est une tentative active de piratage : l'attaquant a déjà votre mot de passe et tente de contourner la 2FA en vous demandant le code.

Comment détecter : dès qu'on vous demande un code SMS de validation, c'est de l'escroquerie.

Que faire : NE COMMUNIQUEZ JAMAIS le code à qui que ce soit. Changez immédiatement le mot de passe du compte concerné, le pirate l'a déjà.

8. Le faux profil amoureux (« scam love »)

Format type : rencontre via Facebook, Tinder, Instagram. La personne est charmante, raconte une histoire émouvante, demande progressivement de l'argent (« mère malade », « bloqué à l'aéroport »).

Pourquoi ça marche : exploitation de la solitude et des sentiments.

Comment détecter :

  • Refus catégorique de se voir en vidéo ou en personne.
  • Photos trop parfaites (souvent de mannequins/militaires).
  • Demande d'argent rapide après quelques semaines.

Que faire : ne jamais envoyer d'argent à une personne rencontrée en ligne. Vérifiez les photos via Google Image Reverse.

9. La fausse facture Proximus / Engie

Format type : SMS « Votre facture Proximus n'a pas été payée, régularisez ici sous 24h pour éviter la coupure : proxim-pay.com ».

Pourquoi ça marche : peur de la coupure, plausibilité.

Comment détecter :

  • URL non officielle (le vrai est proximus.be ou my.proximus.be).
  • Proximus n'envoie jamais de lien SMS pour payer.

Que faire : connectez-vous à MyProximus directement pour vérifier vos factures.

10. L'usurpation eID / itsme

Format type : email « votre identité numérique itsme va être désactivée, validez ici ».

Pourquoi ça marche : panique de perdre l'accès à toute votre vie numérique.

Comment détecter :

  • Itsme ne désactive jamais une identité par email.
  • Itsme n'a pas de hotline téléphonique (tout email proposant un numéro à appeler est un faux).
  • L'URL n'est pas itsme-id.com.

Que faire : ignorer. Vérifier sur l'app itsme directement.

Les 5 réflexes à adopter en 2026

  1. Ne jamais cliquer sur un lien dans un email/SMS suspect, allez vous-même sur le site officiel.
  2. Vérifier l'URL avant toute saisie d'identifiants : orthographe exacte, https, pas de tiret bizarre.
  3. Ne jamais communiquer de code SMS, code itsme, code PIN à qui que ce soit, même un « conseiller ».
  4. Activer la 2FA partout pour limiter les dégâts en cas de mot de passe compromis.
  5. En cas de doute, raccrocher et appeler vous-même la vraie organisation via le numéro officiel.

Que faire si vous êtes tombé(e) dans un piège ?

  1. Changez immédiatement le mot de passe du compte concerné.
  2. Si données bancaires : Card Stop 070 344 344 immédiatement.
  3. Déposez plainte à la police (PV utile pour contestation auprès de la banque).
  4. Signalez à safeonweb.be (Centre pour la cybersécurité Belgique).
  5. Surveillez vos relevés bancaires les semaines suivantes.

FAQ

Si je clique sur un lien de phishing par erreur, suis-je piraté ?

Pas forcément. Vous l'êtes seulement si vous saisissez vos identifiants ou installez quelque chose. Si vous avez juste cliqué et fermé : scanner antivirus à jour, et changement de mot de passe par précaution si saisie eu lieu.

Les antivirus protègent-ils du phishing ?

Partiellement. Les bons antivirus bloquent les URL connues comme malveillantes. Mais les nouveaux sites de phishing (créés chaque jour) passent souvent à travers. Votre vigilance reste essentielle.

Le 2FA SMS est-il vraiment moins sûr ?

Oui, vulnérable au SIM-swap (le pirate prend le contrôle de votre numéro chez l'opérateur). Préférez une app authenticator ou itsme pour les comptes sensibles.

Comment signaler une arnaque rencontrée ?

Centre pour la Cybersécurité Belgique (CCB) : safeonweb.be. Vous pouvez aussi signaler à votre banque (qui peut bloquer le site) et à la police pour les cas de fraude.

En résumé

Le phishing exploite votre confiance, votre peur et votre urgence. La règle d'or : prenez 30 secondes avant de cliquer, vérifiez toujours l'URL, et en cas de doute, allez vous-même sur le site officiel. Ces 30 secondes peuvent vous éviter des milliers d'euros de pertes et des semaines de procédures.

Pour des guides détaillés par service, consultez nos pages Belfius, ING, Facebook, Gmail et tous les sites populaires de seconnecter.be.