Qu’est-ce que le vishing, ou arnaque vocale au faux conseiller bancaire ?

Libération raconte comment une avocate au barreau de Paris et son mari, l'ancien juge antiterroriste Jean-Louis Bruguière, ont été escroqués d'environ 200 000 euros en « à peine une demi-journée », par téléphone, arnaque appelée voice phishing ou encore vishing. L’occasion d’un rappel important : cela n’arrive pas qu’aux autres et il faut toujours être prudent !

Un homme se présentant comme employé du service anti-fraude de la BNP, où le couple est client de longue date, l'avait appelé pour lui expliquer qu'un virement suspect de 2 500 euros vers le Sénégal venait d'être détecté.

Pour rassurer l’avocate, le faux conseiller bancaire l'avait invité à vérifier que son numéro de téléphone correspondait bien à celui de leur banque (mais qu'il avait usurpé via une application dédiée). L'escroc avait également détaillé de nombreuses informations que seule la banque était censée détenir : « l'ensemble de leurs avoirs, la nature de leurs comptes, les montants qui y figurent ou le nom des bénéficiaires de leurs virements », sans que Libé précise comment il avait accédé à ces données.

Ensuite, l’arnaque se lance

Mise en confiance, l'avocate a accepté de faire opposition sur de prétendus nouveaux achats frauduleux. Sauf qu'en fait d'opposition aux virements frauduleux, elle les validait, une technique utilisée depuis des années par des escrocs.

La personne pense être au téléphone avec un conseiller de la banque qui lui dit qu’elle va recevoir un code, en confiance, elle le transmet donc… sauf que le code sert à valider la transaction (un code ne sert jamais à annuler une transaction).

Des banques mettent en garde leurs clients (avec un message préventif accompagnant ces fameux codes) face à ces arnaques, mais les escrocs ont bien souvent réponse à tout, donc encore une fois soyez prudent !

Mis sous pression, le couple a même remis, à la demande de l'escroc, leurs cartes bancaires à un taxi G7 dépêché tout spécialement pour les faire analyser. Là encore, pour rassurer ses victimes, l'escroc leur avait demandé de couper les cartes en deux, afin qu'elles ne soient plus utilisables.

Sauf que si la puce n’est pas coupée en deux, il est facile de continuer à s’en servir : les escrocs n'ont eu qu'à les recoller pour s'empresser d'aller multiplier retraits bancaires et achats dans des boutiques de luxe sur les Champs-Élysées.

Les escrocs ne s’arrêtent jamais et vont toujours plus loin

Une fois l’argent dérobé, les pirates passent la seconde pour tenter d’en récupérer toujours plus. L’escroc a expliqué au couple qu’il semblait avoir été ciblé par « un puissant réseau de cybercriminels basé à Dubaï » connu pour effectuer des cambriolages. Toujours dans le but de les « protéger », le faux conseiller bancaire transféra l'appel à un autre individu se présentant comme « brigadier-chef à la Brigade de fraude au moyen de paiement ».

Ce dernier parvint à les convaincre, « après plusieurs heures de conversation quasi ininterrompue », de remettre à un autre taxi dépêché tout spécialement « ses bijoux les plus précieux, des pièces d'or et même 30 000 euros en liquide qui dormaient dans l'appartement ». Cela paraît fou dit comme ça, mais quand on est pendant des heures au téléphone avec des escrocs jouant sur la peur, c'est probablement bien moins évident.

La révélation… et le coup de chance

Le lendemain, comprenant avoir été dupés, la femme a porté plainte au commissariat, où le faux conseiller bancaire l'a rappelé une nouvelle fois, pour lui proposer, cette fois-là, de sécuriser leurs œuvres d'art.

Or, précise Libé, « en entendant le faux conseiller bancaire, les policiers reconnaîtront formellement un suspect bien connu de leur service, Emmanuel B., interpellé fin 2021 et incarcéré durant seize mois pour avoir escroqué des dizaines de victimes, dont l'ancien ministre de l'Économie Dominique Strauss-Kahn, détroussé de 25 000 euros l'été précédent après avoir benoîtement communiqué au téléphone ses codes bancaires, utilisés pour acheter des bijoux Cartier à Madrid ». Placé sur écoute, l’escroc se vantait alors de « gagner fréquemment 200 000 euros par semaine ».

Des arnaques bien rodées, des formations pour escrocs

Et n’allez pas croire que ce genre d’arnaques va disparaitre. Libé raconte également comment des communautés de « scammers » se forment sur Telegram ou Discord, pouvant réunir « plus de 10 000 membres » se revendant des « formations à l'escroquerie pour 300 euros », des cartes bancaires volées pour 50 euros ou encore des « packs id » comprenant « un lot de cartes d'identité, relevés d'imposition, taxe foncière et bulletins de salaire d'une victime pour 80 euros ».

Ce type d'escroquerie est monnaie courante ces derniers temps, de nombreux arnaqueurs partageant tutos et modes d'emploi sur des réseaux sociaux et messageries chiffrées. Il ne s’agit pas de montrer du doigt ce couple en particulier, mais d’expliquer le processus rudement bien huilé pour éviter de se faire avoir soi-même.

Le YouTubeur Micode avait ainsi raconté dans une longue enquête comment il avait « infiltré un réseau d'arnaqueurs au SMS » sur Telegram réunissant des milliers de membres, et découvert qu'il ne s'agissait pas d'une mafia, mais de « petits indépendants souvent très très jeunes qui se connaissent physiquement, qui se croisent peut-être à l'école et qui ramènent leurs copains ».

À l'instar de ce qui se passe dans les autres formes de cyberdélinquance, et comme dans tout marché structuré, « il y a vraiment des rôles très définis qui travaillent ensemble pour vous voler votre argent », expliquait Micode.

Il y a le faussaire, qui doit trouver des faux papiers d'identité pour permettre aux scammers d'acheter des cartes SIM afin d'envoyer des SMS en masse sans être traçables, le développeur qui va mettre en place le site de phishing « et à la fin, et ça c'est le rôle le plus fascinant que j'ai découvert dans toute cette enquête, le "halloteur" ou la "halloteuse", très souvent fait par des filles », précisait Micode, chargé d'appeler les victimes pour les escroquer.

Du phishing pour commencer et mettre en confiance

Directeur général du site Cybermalveillance.gouv.fr, plateforme d'assistance aux victimes créée en 2017, Jérôme Notin évoque un « phénomène massif » depuis environ trois ans, et « d'autant plus difficile à endiguer qu'il évolue constamment ».

Les dernières « nouveautés » en date utilisent l’intelligence artificielle pour imiter la voix d’une personne, d’un enfant appelant ses parents à l’aide par exemple. Ces derniers, alors paniqués, peuvent très facilement tomber dans le piège et se laisser détrousser par des escrocs.

En 2022, UFC-Que Choisir évoquait déjà ce type d'arnaque et rappelait qu' « avant d’obéir à votre interlocuteur, vérifiez l’information par vous-même : raccrochez puis appelez votre conseiller bancaire afin qu’il confirme l’information. Sachez de plus que ce dernier ne vous demandera pas vos codes par téléphone ».

En 2023, UFC-Que Choisir avait rappelé les conseils pour se prémunir de ce genre de fraudes : « Votre banque ne vous demandera jamais de communiquer ces informations par téléphone, ni de valider des opérations à distance ».

Évoquant des techniques « de plus en plus sophistiquées », nos confrères relevaient déjà que « dans certains cas, le numéro de téléphone affiché correspond même à celui de votre banque ».

Rappel important : les pirates vont toujours utiliser des informations qu’ils ont pu récupérer à droite ou à gauche pour tenter de se faire passer pour un interlocuteur légitime. Ils vont se servir de ces informations pour vous mettre en confiance ou en obtenir d’autres.

On parle de phishing (ou hameçonnage), une technique qui « consiste à récupérer vos données personnelles par la tromperie, puis à les utiliser de manière malveillante », rappelle Service-Public, ou vishing (pour voice phishing, ou hameçonnage par téléphone).

Cybermalveillance.gouv.fr recommande aux victimes de faire opposition « sans délai » à sa carte bancaire en cas d’appel d’un faux conseiller, via le numéro de téléphone de votre banque ou le serveur interbancaire d’opposition à la carte bancaire au 0 892 705 705 (numéro surtaxé), service ouvert 7 jours sur 7, 24h sur 24.

Francenum.gouv.fr souligne qu' « il est important de noter que toutes les banques sont concernées par ce phénomène, et certaines refusent de rembourser les victimes. Il est donc nécessaire d’être vigilant et de ne pas donner ses informations personnelles à des individus non fiables ».

Le site recommande dès lors de sensibiliser les personnes vulnérables de son entourage aux risques liés à ce type d’arnaque et recense une liste de 13 conseils pour se protéger. Il propose notamment d'utiliser une application de blocage des appels émanant de numéros connus pour être utilisés par des escrocs.

• Démarchage téléphonique : comment bloquer et filtrer les appels sur les fixes et smartphones

Google recommande d'installer son application Téléphone, disponible sur la plupart des appareils Android équipés d'Android 9.0 ou d'une version supérieure, pour filtrer les appels indésirables et savoir qui vous appelle avant de décrocher.

Google précise cela dit, en note de bas de page, que « le filtrage automatique est disponible aux États-Unis, uniquement en anglais », que « le filtrage manuel est disponible au Canada et aux États-Unis, uniquement en anglais », et qu' « il se peut que cette fonctionnalité ne parvienne pas à détecter tous les appels automatiques ou indésirables ».

On peut aussi se tourner vers des applications tierces comme Filtre D'appel, gratuite, qui ne contient pas de publicité « et ne collecte ni n'envoie nulle part vos données personnelles ou vos contacts », mais qui va jusqu'à surbloquer certains numéros légitimes.

N'hésitez pas à partager, en commentaires, vos retours d'expérience et conseils en la matière.