Connexion
Abonnez-vous

Qu’est-ce que le vishing, ou arnaque vocale au faux conseiller bancaire ?

Ça n'arrive pas qu'aux autres

Qu’est-ce que le vishing, ou arnaque vocale au faux conseiller bancaire ?

Photo de Igor Omilaev sur Unsplash

Libération raconte comment une avocate au barreau de Paris et son mari, l'ancien juge antiterroriste Jean-Louis Bruguière, ont été escroqués d'environ 200 000 euros en « à peine une demi-journée », par téléphone, arnaque appelée voice phishing ou encore vishing. L’occasion d’un rappel important : cela n’arrive pas qu’aux autres et il faut toujours être prudent !

Le 31 janvier à 10h25

Un homme se présentant comme employé du service anti-fraude de la BNP, où le couple est client de longue date, l'avait appelé pour lui expliquer qu'un virement suspect de 2 500 euros vers le Sénégal venait d'être détecté.

Pour rassurer l’avocate, le faux conseiller bancaire l'avait invité à vérifier que son numéro de téléphone correspondait bien à celui de leur banque (mais qu'il avait usurpé via une application dédiée). L'escroc avait également détaillé de nombreuses informations que seule la banque était censée détenir : « l'ensemble de leurs avoirs, la nature de leurs comptes, les montants qui y figurent ou le nom des bénéficiaires de leurs virements », sans que Libé précise comment il avait accédé à ces données.

Ensuite, l’arnaque se lance

Mise en confiance, l'avocate a accepté de faire opposition sur de prétendus nouveaux achats frauduleux. Sauf qu'en fait d'opposition aux virements frauduleux, elle les validait, une technique utilisée depuis des années par des escrocs.

La personne pense être au téléphone avec un conseiller de la banque qui lui dit qu’elle va recevoir un code, en confiance, elle le transmet donc… sauf que le code sert à valider la transaction (un code ne sert jamais à annuler une transaction).

Des banques mettent en garde leurs clients (avec un message préventif accompagnant ces fameux codes) face à ces arnaques, mais les escrocs ont bien souvent réponse à tout, donc encore une fois soyez prudent !

Mis sous pression, le couple a même remis, à la demande de l'escroc, leurs cartes bancaires à un taxi G7 dépêché tout spécialement pour les faire analyser. Là encore, pour rassurer ses victimes, l'escroc leur avait demandé de couper les cartes en deux, afin qu'elles ne soient plus utilisables.

Sauf que si la puce n’est pas coupée en deux, il est facile de continuer à s’en servir : les escrocs n'ont eu qu'à les recoller pour s'empresser d'aller multiplier retraits bancaires et achats dans des boutiques de luxe sur les Champs-Élysées.

Les escrocs ne s’arrêtent jamais et vont toujours plus loin

Une fois l’argent dérobé, les pirates passent la seconde pour tenter d’en récupérer toujours plus. L’escroc a expliqué au couple qu’il semblait avoir été ciblé par « un puissant réseau de cybercriminels basé à Dubaï » connu pour effectuer des cambriolages. Toujours dans le but de les « protéger », le faux conseiller bancaire transféra l'appel à un autre individu se présentant comme « brigadier-chef à la Brigade de fraude au moyen de paiement ».

Ce dernier parvint à les convaincre, « après plusieurs heures de conversation quasi ininterrompue », de remettre à un autre taxi dépêché tout spécialement « ses bijoux les plus précieux, des pièces d'or et même 30 000 euros en liquide qui dormaient dans l'appartement ». Cela paraît fou dit comme ça, mais quand on est pendant des heures au téléphone avec des escrocs jouant sur la peur, c'est probablement bien moins évident.

La révélation… et le coup de chance

Le lendemain, comprenant avoir été dupés, la femme a porté plainte au commissariat, où le faux conseiller bancaire l'a rappelé une nouvelle fois, pour lui proposer, cette fois-là, de sécuriser leurs œuvres d'art.

Or, précise Libé, « en entendant le faux conseiller bancaire, les policiers reconnaîtront formellement un suspect bien connu de leur service, Emmanuel B., interpellé fin 2021 et incarcéré durant seize mois pour avoir escroqué des dizaines de victimes, dont l'ancien ministre de l'Économie Dominique Strauss-Kahn, détroussé de 25 000 euros l'été précédent après avoir benoîtement communiqué au téléphone ses codes bancaires, utilisés pour acheter des bijoux Cartier à Madrid ». Placé sur écoute, l’escroc se vantait alors de « gagner fréquemment 200 000 euros par semaine ».

Des arnaques bien rodées, des formations pour escrocs

Et n’allez pas croire que ce genre d’arnaques va disparaitre. Libé raconte également comment des communautés de « scammers » se forment sur Telegram ou Discord, pouvant réunir « plus de 10 000 membres » se revendant des « formations à l'escroquerie pour 300 euros », des cartes bancaires volées pour 50 euros ou encore des « packs id » comprenant « un lot de cartes d'identité, relevés d'imposition, taxe foncière et bulletins de salaire d'une victime pour 80 euros ».

Ce type d'escroquerie est monnaie courante ces derniers temps, de nombreux arnaqueurs partageant tutos et modes d'emploi sur des réseaux sociaux et messageries chiffrées. Il ne s’agit pas de montrer du doigt ce couple en particulier, mais d’expliquer le processus rudement bien huilé pour éviter de se faire avoir soi-même.

Le YouTubeur Micode avait ainsi raconté dans une longue enquête comment il avait « infiltré un réseau d'arnaqueurs au SMS » sur Telegram réunissant des milliers de membres, et découvert qu'il ne s'agissait pas d'une mafia, mais de « petits indépendants souvent très très jeunes qui se connaissent physiquement, qui se croisent peut-être à l'école et qui ramènent leurs copains ».

À l'instar de ce qui se passe dans les autres formes de cyberdélinquance, et comme dans tout marché structuré, « il y a vraiment des rôles très définis qui travaillent ensemble pour vous voler votre argent », expliquait Micode.

Il y a le faussaire, qui doit trouver des faux papiers d'identité pour permettre aux scammers d'acheter des cartes SIM afin d'envoyer des SMS en masse sans être traçables, le développeur qui va mettre en place le site de phishing « et à la fin, et ça c'est le rôle le plus fascinant que j'ai découvert dans toute cette enquête, le "halloteur" ou la "halloteuse", très souvent fait par des filles », précisait Micode, chargé d'appeler les victimes pour les escroquer.

Du phishing pour commencer et mettre en confiance

Directeur général du site Cybermalveillance.gouv.fr, plateforme d'assistance aux victimes créée en 2017, Jérôme Notin évoque un « phénomène massif » depuis environ trois ans, et « d'autant plus difficile à endiguer qu'il évolue constamment ».

Les dernières « nouveautés » en date utilisent l’intelligence artificielle pour imiter la voix d’une personne, d’un enfant appelant ses parents à l’aide par exemple. Ces derniers, alors paniqués, peuvent très facilement tomber dans le piège et se laisser détrousser par des escrocs.

En 2022, UFC-Que Choisir évoquait déjà ce type d'arnaque et rappelait qu' « avant d’obéir à votre interlocuteur, vérifiez l’information par vous-même : raccrochez puis appelez votre conseiller bancaire afin qu’il confirme l’information. Sachez de plus que ce dernier ne vous demandera pas vos codes par téléphone ».

En 2023, UFC-Que Choisir avait rappelé les conseils pour se prémunir de ce genre de fraudes : « Votre banque ne vous demandera jamais de communiquer ces informations par téléphone, ni de valider des opérations à distance ».

Évoquant des techniques « de plus en plus sophistiquées », nos confrères relevaient déjà que « dans certains cas, le numéro de téléphone affiché correspond même à celui de votre banque ».

Rappel important : les pirates vont toujours utiliser des informations qu’ils ont pu récupérer à droite ou à gauche pour tenter de se faire passer pour un interlocuteur légitime. Ils vont se servir de ces informations pour vous mettre en confiance ou en obtenir d’autres.

On parle de phishing (ou hameçonnage), une technique qui « consiste à récupérer vos données personnelles par la tromperie, puis à les utiliser de manière malveillante », rappelle Service-Public, ou vishing (pour voice phishing, ou hameçonnage par téléphone).

Cybermalveillance.gouv.fr recommande aux victimes de faire opposition « sans délai » à sa carte bancaire en cas d’appel d’un faux conseiller, via le numéro de téléphone de votre banque ou le serveur interbancaire d’opposition à la carte bancaire au 0 892 705 705 (numéro surtaxé), service ouvert 7 jours sur 7, 24 h sur 24.

Francenum.gouv.fr souligne qu' « il est important de noter que toutes les banques sont concernées par ce phénomène, et certaines refusent de rembourser les victimes. Il est donc nécessaire d’être vigilant et de ne pas donner ses informations personnelles à des individus non fiables ».

Le site recommande dès lors de sensibiliser les personnes vulnérables de son entourage aux risques liés à ce type d’arnaque et recense une liste de 13 conseils pour se protéger. Il propose notamment d'utiliser une application de blocage des appels émanant de numéros connus pour être utilisés par des escrocs.

Google recommande d'installer son application Téléphone, disponible sur la plupart des appareils Android équipés d'Android 9.0 ou d'une version supérieure, pour filtrer les appels indésirables et savoir qui vous appelle avant de décrocher.

Google précise cela dit, en note de bas de page, que « le filtrage automatique est disponible aux États-Unis, uniquement en anglais », que « le filtrage manuel est disponible au Canada et aux États-Unis, uniquement en anglais », et qu' « il se peut que cette fonctionnalité ne parvienne pas à détecter tous les appels automatiques ou indésirables ».

On peut aussi se tourner vers des applications tierces comme Filtre D'appel, gratuite, qui ne contient pas de publicité « et ne collecte ni n'envoie nulle part vos données personnelles ou vos contacts », mais qui va jusqu'à surbloquer certains numéros légitimes.

N'hésitez pas à partager, en commentaires, vos retours d'expérience et conseils en la matière.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Pour les applis, je recommande Yet another call blocker, qui fait très bien le job et qui utilise une base de données publique qu'on peut mettre à jour lorsqu'on reçoit des appels indésirables.
De plus on peut rajouter des filtres en local, j'ai par exemple ajouté un filtre sur tous les numéros officiels de démarchage, c'est à dire tous ceux sous la forme : +33162, +33163, +33270, +33271, +33377, +33378, +33424, +33425, +33568, +33569, +33948, +33949
Source : next.ink Next
votre avatar
J'utilise pour ma part l'application Orange Téléphone qui fonctionne très bien également pour filtrer les démarchage et arnaques "classiques".
Dans le cas précis décrit par la news, le fait que le vrai numéro de la banque ait été usurpé ne permet pas de filtrer malheureusement.
votre avatar
Si tu es chez Free, tu peux bloquer directement des pans entier chez l'opérateur (donc ça n'atteint même pas ton téléphone).

J'ai bloqué tout sauf les numéros de la région Alsace (+33388 / +33389 / +33390 etc) et j'autorise aussi les portables (+336 / +337 etc).

Je suis, passé de 4 spams téléphoniques par semaine à 0 en 4 ans 😅.

Deux problématiques cependant chez Free :
- le site plante quand tu essayes de mettre plus de 50 règles
- les règles ne sont pas traités dans l'ordre de la liste (donc tu ne peux pas autoriser par exemple le 05780000 en règle 1 puis bannir les 05* en règle deux).

Pour le fixe chez Free, ça marche aussi mais faut le faire directement depuis le téléphone en numérotant sur le clavier, donc un peu chiant à mettre en place
votre avatar
C'est très violent !

Tu n'as personne hors Alsace (ou société avec un central tel hors Alsace) qui n'a eu besoin de te contacter ?

Moi, j'ai juste bloqué les numéros de démarchage officiels.
Du coup, le peu qui reste de démarchage, je sais que c'est très probablement de l'arnaque et je me lâche.
Ensuite, je bloque aussi, si jamais ils rappellent une seconde fois (c'est très rare).
votre avatar
Dans mon cas, c'est une redirection vers la messagerie donc si c'est important : message vocal
votre avatar
L'app remplace l'app téléphone du tél ou bien ?
Cette app se trouve uniquement sur F-Droid j'ai pas vu (ou mal) sur google play ?
votre avatar
L'app ne remplace pas l'app de téléphone, elle bloque juste les appels indésirables avec une petite notif si tu l'acceptes.
Je viens de vériifier et elle n'est en effet que sur FDroid.
votre avatar
Merci pour ta réponse
Entre-temps je l'ai installée et il y a une option pour qu'elle puisse remplacer le dialer, mais effectivement sans ça elle fonctionne tout de même. Enfin, pas eu encore d’appels pour me rendre compte de son fonctionnement.
votre avatar
D'ailleurs cela remplace l'appli dialer ou cela agit en amont ?
votre avatar
Non, voir commentaire ci-dessus
votre avatar
Merci,
Lu sur Mastodon que plus vraiment maintenue, en effet 2 ans.
A voir comment est enrichi la liste, ou si fork, mais pas familier avec gitlab
D'ailleurs c'est un travail de fond de maintenir des listes à jour de logiciels FOSS.
votre avatar
Merci pour cette suggestion (libre en plus) :yes:
Le développement semble être arrêté (pas de MAJ depuis 2 ans), espérons qu'un fork émerge.
votre avatar
un peu hors sujet mais est-ce que vous avez eu un warning du Play store ce week-end concernant Yet another call blocker ?
Installé via F-droid mais Play store s'en mêle avec un avertissement "L'application est dangereuse, la sécurité de votre appareil est compromise" et conseille de désinstaller l'application.
Pas trouvé de publication récente qui parle de ce problème :keskidit:
votre avatar
J'ai pas de play store sur /e/ os 😅
votre avatar
J'ai une copine quui a failli craquer... mais le dernier appel a été de trop heureusement.
Ils mettent une sacré pression
votre avatar
Pour quelqu'un qui "juge en son intime conviction", sans devoir rendre de comptes, ça laisse songeur de la qualité des jugements apportés.
votre avatar
Si j'ai bien compris, c'est l'avocate (la femme du juge) qui a répondu au téléphone, donc ce n'est pas elle qui « juge en son intime conviction ».
votre avatar
mais quel est le rapport en fait ?
votre avatar
La vieillesse est un naufrage !
votre avatar
De mon côté, j'utilise l'appli Orange Téléphone qui s'appuie sur la communauté. Et effectivement, c'est toujours une bonne idée d'en parler avec ses amis et sa famille pour sensibiliser les gens
votre avatar
« Votre banque ne vous demandera jamais de communiquer ces informations par téléphone, ni de valider des opérations à distance »
Eh bien si. Moi si je fais un gros virement par internet, il reste en attente, et ma banque m'appelle pour me demander de le valider. Ça m'a toujours semblé incroyable comme procédure, mais c'est véridique.
votre avatar
Les banques ont parfois des fonctionnements assez louches, quasi plus d’agences physiques et des conseillers qui changent régulièrement, rien pour vraiment rassurer.

Dans le même genre aux US :
arstechnica.com Ars Technica
votre avatar
Oui mais du coup ça renforce la plausibilité qu'ils m'appellent pour une opération soi-disant frauduleuse.
votre avatar
Ils suivent la même procédure que celle qu'ils te recommandent : le contre appel.
Par contre, je ne pense pas qu'ils te demandent un code de validation
votre avatar
Pas forcément un contre-appel : si j'anticipe leur appel (qui peut prendre jusque 3 jours selon leur humeur) et que c'est moi qui les appelle, ça marche aussi.
votre avatar
Ça m'est déjà arrivé, à plusieurs reprises, avec une banque physique ayant pignon sur rue. Besoin de faire un virement supérieur au plafond autorisé, appel au banquier, et j'ai dû transmettre - par mail, si je me souviens bien - un code reçu par sms.
La procédure m'avait fait tiquer, j'ai hésité et ai finalement transmis parce que c'était moi qui avait initié l'opération... mais ça m'a tout de même laissé une impression étrange.
votre avatar
Et à noter aussi la saleté des commandes de contrat (téléphone, internet, mutuelle) qui te réclame les codes SMS de validation pour valider à ta place (en gros ce sont des prestataires qui remplisse juste le même formulaire que toi à ta place...)
Ou les achats par téléphones (laredoute etc.) qui te réclamaient code de carte et les 3 chiffres de validation.

Même des partenaires de Pole-Emploi te réclame parfois les codes de connexions car "beaucoup de gens les oublis et on doit souvent leur re-donner".

Heureusement que ça tend à disparaitre...
votre avatar
Ou les achats par téléphones (laredoute etc.) qui te réclamaient code de carte et les 3 chiffres de validation.
Effectivement ils sont devant une interface qui leur demande afin de valider l’achat et ça fait toujours bizarre.
Mais contre ça tu es protégé par le code bancaire et financier : si tu n’as pas composé le code pin de ta carte ou signé le papier carbone du sabot (des années que j’en ai plus vu), la banque est responsable.
Bon dans certains cas, le temps que la banque réagisse et rembourse cela peut devenir problématique.
votre avatar
Je suis toujours sur l'appli doisjerepondre
votre avatar
Dès qu'on m'appelle et qu'on veut que je donne des informations, la réponse est la même : je vous rappelle. Sur le numéro officiel.
Facile de changer le numéro présenté (suffit d'avoir un opérateur qui l'autorise et que l'opérateur à l'autre bout accepte, de ce côté là j'avais un opérateur qui me proposait de systematiquement "démasquer" les appels masqués).
Beaucoup plus compliqué de détourner le standard national d'une grande banque.
votre avatar
D'ailleurs la vidéo (J'ai infiltré un réseau d'arnaqueurs au SMS) de Micode est pas mal du tout, un peu longue mais il fait bien le tour du sujet des arnaques téléphoniques actuelles.
Le YouTubeur Micode avait ainsi raconté dans une longue enquête comment il avait « infiltré un réseau d’arnaqueurs au SMS » sur Telegram réunissant des milliers de membres, et découvert qu’il ne s’agissait pas d’une mafia, mais de « petits indépendants souvent très très jeunes qui se connaissent physiquement, qui se croisent peut-être à l’école et qui ramènent leurs copains ».
À l’instar de ce qui se passe dans les autres formes de cyberdélinquance, et comme dans tout marché structuré, « il y a vraiment des rôles très définis qui travaillent ensemble pour vous voler votre argent », expliquait Micode.
votre avatar
j'ai vu la news hier sur un autre site.
Serieusement, l'avocate est vraiment credule... le taxi qui l'attends en bas de chez elle pour lui remettre ses cartes bancaires et un sac avec des objets de valeur et du liquide, mais c'est pas possible quoi!!!!!
votre avatar
Facile à dire après coup quand on lit l'histoire comme ça.
Mais on parle d'une attaque ciblée et ils avaient plein d'éléments pour mettre en confiance, des heures d'appels et une équipe de plusieurs personnes pour embrouiller et manipuler comme il faut.

Et il faut ajouter que les banques ont elle même de mauvaises pratiques ce qui augmente le risque que les clients se fassent avoir.
Comme ça a été souligné plus haut dans les commentaires, cette affirmation est malheureusement fausse :
"Votre banque ne vous demandera jamais de communiquer ces informations par téléphone, ni de valider des opérations à distance"

Personnellement, ma banque m'a appelé l'année dernière pour une opération flaggée comme suspecte avec ma carte bancaire.
Après m avoir indiqué ça, le conseiller m a demandé mes informations personnelles (nom, prénom, adresse, etc) pour confirmer mon identité, alors que c'est lui qui m'a appelé.

J'ai raccroché direct et j'ai rappelé moi même la banque, et en effet ils voulaient une confirmation sur une opération suspecte...
votre avatar
Il y a quelques mois, le process de validation des opérations initiées lors d'un appel avec mon conseiller bancaire a évolué. Dans la version précédente, ma conseillère pouvait faire ce que je lui demandé. Le changement qu'ils ont apporté pour "sécuriser" le process, ça a été de faire basculer le client sur un serveur vocal et de lui demander de saisir son identifiant et son mot de passe de connexion à sa gestion de compte en ligne.
Pris par surprise, je l'ai fait la première fois. Puis en réalisant ce qui venait de se passer j'ai recontacté ma conseillère pour lui dire que c'était la dernière fois que je saisissais ces informations de cette manière et que ça me semblait une manière particulièrement stupide de faire les choses, mais très intéressante pour un escroc. En lui recommandant chaudement de remonter cette réclamation à ses services IT et à ses services de sécurité.

Qu’est-ce que le vishing, ou arnaque vocale au faux conseiller bancaire ?

  • Ensuite, l’arnaque se lance

  • Les escrocs ne s’arrêtent jamais et vont toujours plus loin

  • La révélation… et le coup de chance

  • Des arnaques bien rodées, des formations pour escrocs

  • Du phishing pour commencer et mettre en confiance

Fermer