Des adhérents de l’URSSAF victimes d’une tentative de hameçonnage

LE 02.08.22

L’URSSAF a récemment alerté ses cotisants concernant des messages frauduleux émanant soi-disant de ses services. Certains portent sur la mise en demeure urgente de règlement des cotisations, d’autres réclament le transfert de pièces d’identité et justificatif de domicile. Le public est incité à faire preuve de vigilance face à cette tentative de hameçonnage.

Une fraude par courriels dénoncée par l’URSSAF

Selon le communiqué de l’URSSAF par mail et sur son site web, les messages frauduleux ont été relevés depuis le 11 mai dans différentes régions. Ils proviendraient d’une adresse de messagerie électronique avec l’extension @urssaf-gouv.fr. Leur teneur varie, mais certaines, portant l’en-tête de l’URSSAF Île-de-France/Montreuil, mettent le cotisant en demeure de régulariser ses retards de cotisations et incluent un relevé d’identité bancaire.

Les potentielles victimes, qui auraient effectué un virement sur le compte bancaire portant l’intitulé TREEZOR (ou similaire) doivent déposer plainte immédiatement. En cas de doute, elles peuvent également contacter l’URSSAF par téléphone au 3698, ou depuis l’étranger au +33 9 69 36 00 98.

De son côté, l’URSSAF Ile-de-France a déposé plainte pour usurpation d’identité et faux et engagé une procédure visant à identifier le titulaire du RIB frauduleux. En parallèle, en vue de renforcer l’information de ses cotisants, elle a recensé les cibles de l’attaque.  

Les consignes de sécurité partagées par l’URSSAF

L’URSSAF rappelle que les adresses utilisées par ses agents ont pour nom de domaine @urssaf.fr.

  • Elle recommande par conséquent de comparer avec celle de l’expéditeur du message afin de s’assurer de l’authenticité du courrier reçu.
  • En outre, les SIREN mentionnés dans lesdits messages correspondent à des codes APE d’activité de restauration rapide.
  • Quant à l’IBAN, il doit commencer par FR, code pour la France, pays de domiciliation de l’URSSAF.

S’il s’agit d’un indice fiable d’un compte frauduleux, il ne constitue pas une garantie de l’exactitude de l’IBAN fourni.

De manière générale, elle recommande de ne jamais cliquer sur les liens ou les boutons d’appel à l’action contenus dans les courriers suspects provenant supposément de l’URSSAF ou d’un autre organisme officiel. Par mesure de sécurité, elle envisage d’ailleurs de ne plus inclure de RIB dans ses communications aux adhérents.

Il est préférable pour un auto-entrepreneur de passer directement par son espace personnel URSSAF en ligne pour effectuer ses formalités, déclarer son chiffre d’affaires et payer ses cotisations par des moyens sécurisés. Cela évite d’avoir à partager son mot de passe ou numéro de compte bancaire par téléphone ou par messagerie électronique, ce qui constitue une règle d’or.