Après le phishing, le vishing ! Avec cette nouvelle technique d'escroquerie par téléphone, les cybercriminels récupèrent les infos personnelles de leurs victimes pour vider leur compte en banque en se passer pour leur conseiller bancaire... Et ça marche !

Le démarchage téléphonique depuis un 06 et 07 et le démarchage pour le CPF ont peut-être été interdits, mais les Français ne sont pas pour autant au bout de leurs peines ! Les escrocs font preuve de beaucoup d'imagination lorsqu'il s'agit de piéger leurs victimes et de leur soutirer de l'argent. Et quoi de mieux que de les avoir en ligne pour les manipuler et les amener à leur donner, en toute confiance les codes confidentiels de leur compte en banque et autres informations personnelles sensibles ?

Si, ces derniers temps, les arnaques par phishing – lorsque les cybercriminels essayent de récupérer des données personnelles à travers des liens frauduleux envoyés par e-mail ou par SMS – se font plus nombreuses, la nouvelle tendance est au vishing, comme le signale l'alerte de Cybermalveillance, le service du Gouvernement. Ce néologisme résulte de la contraction de "voice" (voix) et de "phishing" (hameçonnage), et désigne une arnaque où des personnes malveillantes contactent la victime par téléphone en se faisant passer pour leur conseiller bancaire – mais d'autres usurpations d'identité sont possibles, comme une organisation gouvernementale – afin de les alerter sur des mouvements suspects sur les comptes bancaires – ce qui est bien évidemment faux. Comme la victime panique et se retrouve alors pressée par la situation, elle finit par tomber dans le piège et livrer ses informations personnelles et surtout bancaires, voire valide elle-même des transactions. Pas étonnant qu'en seulement quelques mois, le vishing soit devenu l'une des arnaques à distance les plus rentables – surtout qu'elle s'effectue à bas coût.

Comment fonctionne une arnaque par vishing ?

Le but d'une attaque par vishing est le même que celui d'une attaque de phishing : dérober les informations bancaires de la victime. Cependant, sa force est qu'elle a recours à des méthodes d'ingénierie sociale, qui tirent profit des sentiments de la victime, notamment la peur, l'angoisse et la cupidité. Les pirates vont tout faire pour susciter ces émotions et ainsi obscurcir sa capacité de jugement et obtenir sa confiance. Ils vont alors lui faire croire que son compte a été compromis et que son argent n'est plus en sécurité – mais cela marche aussi avec des promesses d'investissement incroyables, le renouvellement de sa carte vitale ou encore la victoire d'un concours – et créer une impression de devoir agir rapidement afin de ne pas lui laisser le temps d'analyser la situation et d'utiliser son esprit critique. Autant dire que le rôle d'un conseiller bancaire est parfait pour obtenir ce genre de réaction.

Cette arnaque profite du contexte actuel, où les vols de données se multiplient – en quelques semaines seulement, Twitter a laissé fuiter les données de pas moins de 235 millions d'utilisateurs, et Deezer celles de 250 millions d'entre eux – et où il n'a jamais été aussi facile de récupérer des informations personnelles sur le Dark Web. Autant d'éléments qui rendent le discours des pirates crédible, surtout qu'ils n'hésitent pas à adapter le contenu de leurs appels en utilisant des éléments comme le nom, la date de naissance, l'adresse postale, voire le numéro de compte de la victime pour la mettre en confiance. Et si celle-ci tombe dans le panneau, elle risque de subir une fraude à la carte bancaire, la contraction de prêts à son nom ou le vol de ses prestations sociales ou de ses économies.

Quels sont les différents types d'arnaques par vishing ?

Généralement, les escrocs contactent leurs victimes pour les informer que leur compte en banque a été compromis et qu'il pourrait être la cible d'une cyberattaque. Ils vont ensuite chercher à les persuader de transférer l'argent de leur compte bancaire vers un autre compte soi-disant "sécurisé" ou de leur communiquer ses informations de connexion afin qu'ils puissent régler le problème. Pourtant, jamais une banque ne demandera de telles requêtes par téléphone ! S'il s'agit du type de vishing le plus courant, il existe cependant d'autres variantes. L'Autorité des marchés financiers (AMF) a notamment alerté sur une campagne actuellement active d'appels frauduleux de personnes prétendant être des enquêteurs de l'institution financière et qui proposent à des victimes d'arnaques à l'investissement en crypto-actifs de recouvrer leurs fonds – elles se font donc arnaquer deux fois.

D'autres escrocs contactent de potentielles victimes pour leur proposer un prêt, une récompense ou une opportunité d'investissement trop belle pour être vraie. Ils peuvent également se faire passer pour des percepteurs des impôts et les menacer ou les intimider en inventant des dettes fiscales impayées et des pénalités importantes – un type d'appels des plus déstabilisants ! Ils peuvent même se faire passer pour un représentant de l'assurance-maladie ou de la sécurité sociale ! Bref, on l'a compris, ils ne manquent pas d'imagination et sont capables d'inventer toutes sortes de scénario.

Comment se protéger du vishing ?

Avant tout, il faut comprendre que les appels ne sont pas sûrs et doivent être gérés avec prudence. Même un numéro connu qui s'affiche n'est pas gage de sécurité. En effet, le spoofing téléphonique permet de falsifier un numéro de téléphone – ce qui n'est en vérité pas très compliqué – afin d'usurper l'identité d'une personne membre d'autorités ou d'institutions publiques. C'est pourquoi il est important d'éviter de partager toute information personnelle (téléphone, e-mail, pièces d'identité, RIB, IBAN, justificatifs de domicile…) par SMS ou par appel vocal, surtout lorsque l'identité de l'interlocuteur n'a pas été vérifiée. Même s'il fournit des informations personnelles pour prouver qui il est, il faut vérifier la légitimité de la demande de façon indépendante en appelant le numéro de téléphone public et officiel pour joindre l'organisation ou l'entreprise en question.

"Jamais un conseiller de votre banque ne vous demandera de lui communiquer votre mot de passe, des codes de confirmation ou encore d'effectuer des actions de validation ou d'annulation d'opérations sur votre application bancaire pour de supposées fraudes en cours sur vos comptes", explique le Gouvernement. Enfin, mieux vaut posséder une authentification forte et unique pour accéder à son compte et, si possible, activer l'authentification à double facteur.

Que faire en cas d'arnaque par vishing ?

Dans le cas où la victime a partagé ses informations personnelles et bancaires par téléphone ou qu'elle suspecte avoir été victime de vishing, elle doit agir rapidement. Il faut immédiatement faire opposition à sa carte bancaire et modifier les mots de passe qui permettent d'accéder aux comptes. Le numéro de téléphone d'opposition de la banque figure sur son site Internet et sur ses distributeurs de billets. Il est également possible de contacter par téléphone le serveur interbancaire d'opposition à la carte bancaire au 0 892 705 705 (numéro surtaxé), un service qui est ouvert 7 jours sur 7, 24h sur 24.

Si les escrocs ont déjà commencé à se servir, il faut immédiatement identifier les opérations frauduleuses ainsi que les comptes bénéficiaires et, surtout, bien conserver les preuves, comme les numéros de téléphone, les messages ou e-mails reçus, les ordres de virement, les relevés de paiements ou toute autre information qui pourrait servir pour signaler l'escroquerie aux autorités. Il faut ensuite contacter sa banque le plus rapidement possible, qui indiquera les étapes à effectuer pour minimiser le mieux possible les conséquences de l’arnaque. Comme le rappelle le Gouvernement sur son site, "selon le cas, demandez-en le remboursement, la suspension ou encore le retour des fonds. Votre banque pourra exiger une copie de votre dépôt de plainte pour instruire votre demande." 

Justement, il est primordial de signaler les faits sur la plateforme Perceval. Elle appartient au ministère de l'Intérieur et permet aux victimes de fraude à la carte bancaire de signaler en ligne l'escroquerie dont elles ont été victimes – et ce y compris lorsque la banque les a remboursées. Le signalement aidera les autorités à identifier les auteurs de ces fraudes. Enfin, les victimes doivent porter plainte au commissariat de police ou à la brigade de gendarmerie, ou d'écrire au procureur de la République du tribunal judiciaire dont elles dépendent en fournissant toutes les preuves en leur possession.

Pour se faire accompagner dans leurs démarches, les victimes peuvent prendre contact auprès d'une association de France Victimes au 116 006 (appel et service gratuits), qui est le numéro d'aide aux victimes du ministère de la Justice ouvert 7 jours sur 7 de 9h à 19h, ou auprès de la plateforme Info Escroqueries du ministère de l'Intérieur au 0 805 805 817 (appel et service gratuits), qui est ouvert de 9h à 18h30 du lundi au vendredi. Enfin, mieux vaut sécuriser tous ses appareils électroniques en effectuant les mises à jour de sécurité et en effectuant un scan via son antivirus afin d'être sûr de ne pas avoir été piraté.