Fraude au faux conseiller bancaire : décryptage de cette attaque par vishing
Dans un monde toujours plus connecté, les cybercriminels ne cessent d’innover pour piéger leurs cibles, qu’il s’agisse de particuliers, d’entreprises, d’administrations ou d’associations.
Si le phishing demeure le principal vecteur des cyberattaques, les escroqueries par téléphone, comme le vishing, se développent à un rythme alarmant.
Parmi celles-ci, la fraude au faux conseiller bancaire connaît une croissance inquiétante en France, touchant chaque année des milliers de victimes.
Selon le dernier baromètre de Cybermalveillance.gouv.fr, les cas de fraude au faux conseiller bancaire ont en effet augmenté de 78 %, illustrant l’ampleur du phénomène.
L’exposition croissante des données personnelles, notamment à travers les récentes fuites d’informations, contribue à l’essor de cette arnaque.
Dans cet article, nous vous proposons de décortiquer cette menace, d’en comprendre les mécanismes, d’analyser ses conséquences et, surtout, de découvrir les meilleures pratiques pour s’en protéger efficacement.
Qu’est-ce que la fraude au faux conseiller bancaire ?
Définition
La fraude au faux conseiller bancaire est une technique d’escroquerie dans laquelle des cybercriminels se font passer pour des employés de banque afin d’obtenir des informations sensibles ou de détourner des fonds.
Cette arnaque s’inscrit dans une catégorie plus large appelée vishing, un terme issu de la contraction de « voice » et « phishing ». Le vishing peut se traduire en français par hameçonnage vocal.
Le vishing repose sur l’utilisation d’appels téléphoniques frauduleux pour manipuler psychologiquement les victimes et les inciter à divulguer des données confidentielles.
Cette méthode exploite les principes de l’ingénierie sociale, un ensemble de techniques visant à influencer les comportements en jouant sur des facteurs émotionnels tels que la peur, l’urgence, la confiance ou encore l’empathie.
Les méthodes utilisées pour la fraude au faux conseiller bancaire
Nous l’avons vu, la fraude au faux conseiller bancaire repose sur des attaques de vishing, qui peuvent se présenter de plusieurs façons, avec des niveaux de complexité différents :
1. Appels téléphoniques directs : L’escroc prend directement contact par téléphone avec une victime. Cet appel peut se faire via le réseau téléphonique traditionnel ou en VoIP avec des applications comme WhatsApp (Voice over IP est une technologie permettant de passer des appels vocaux via Internet).
Dans les deux cas l’appelant se présente comme un conseiller bancaire et prétend vouloir résoudre un problème lié au compte de la victime.
2. Attaque hybride utilisant emails et/ou SMS de phishing : Dans cette situation, la victime reçoit tout d’abord un SMS ou un email l’informant d’un problème sur son compte bancaire ou d’un paiement frauduleux imminent.
Le message demande alors de contacter d’urgence un numéro de téléphone afin d’être mis en relation avec un prétendu conseiller bancaire. Ces messages imitent bien évidemment les communications officielles des banques.
3. Remise d’une carte bancaire à un coursier : Parmi les techniques d’escroquerie les plus sophistiquées, certains fraudeurs font en sorte de subtiliser physiquement la carte bancaire de leur victime.
Après avoir instauré un climat de confiance, ils prétextent une anomalie de sécurité sur le compte et insistent pour que la victime communique son code confidentiel sous couvert de vérification.
Ils invitent ensuite la victime à remettre leur carte à un coursier, affirmant que la banque doit récupérer la carte pour la sécuriser ou la détruire. Une fois en possession de la carte et du code, les escrocs l’utilisent immédiatement pour retirer de l’argent liquide ou effectuer des achats.
4. Utilisation de logiciels infostealer : Ces programmes malveillants sont conçus pour voler des informations sensibles stockées sur un appareil infecté. Une fois installés (grâce à un lien de phishing dirigeant vers un faux magasin d’applications par exemple), ces logiciels espionnent l’activité de l’utilisateur et récupèrent des données (identifiants, mots de passe, etc.).
Certaines applications peuvent aller très loin dans la prise de contrôle du téléphone de la victime comme le révèlent des chercheurs coréens dans une étude :
-
- Suppression des applications anti-phishing éventuellement présentes sur l’appareil.
- Transmissions de photos, vidéos, enregistrements vocaux, etc.
- Transfert d’appel (afin d’annuler tous les appels vers des numéros de téléphone légitimes et forcer les appels vers un numéro frauduleux).
- Affichage d’un overlay (faux écran) pour masquer les appels illégitimes.
- Blocage des appels externes légitimes.
- Manipulation du journal d’appels (pour que le numéro légitime s’affiche en lieu et place du numéro frauduleux).
Comment fonctionne la fraude au faux conseiller bancaire ?
Étape 1 : L’accès initial
La première étape d’une fraude au faux conseiller bancaire consiste donc à prendre contact avec la victime. Le but du cybercriminel est de jouer avec les émotions de sa victime.
Il va donc miser sur la peur, l’urgence, la confiance, le respect de l’autorité. Il utilise un ton rassurant et professionnel pour informer la victime d’une prétendue activité suspecte sur son compte.
Étape 2 : La manipulation
Une fois la conversation établie et la relation de confiance instaurée, le visher peut continuer à manipuler sa victime. Pour renforcer sa crédibilité, l’escroc peut fournir des détails sur la victime, qu’il a obtenus grâce à des bases de données piratées ou via des réseaux sociaux.
Il peut ensuite demander des informations sensibles (comme un code de validation reçu par SMS) ou inciter la victime à effectuer directement des opérations.
Étape 3 : Le transfert frauduleux
Le but d’une fraude au faux conseiller bancaire est de détourner de l’argent. Une fois en possession des informations nécessaires, le fraudeur peut mettre en œuvre son objectif en demandant à la victime :
- Ses numéros de carte bancaire afin de réaliser des achats sur Internet.
- Ses identifiants de connexion à son espace bancaire personnel afin de transférer lui-même des fonds.
- D’effectuer des virements frauduleux sous un prétexte (mettre l’argent à l’abri d’un piratage en le transférant sur un nouveau compte courant par exemple).
Les signes d’une fraude au faux conseiller bancaire
Comportements suspects à surveiller
Malgré la professionnalisation des hackers, certains signes peuvent trahir une tentative de fraude au faux conseiller bancaire :
- Canaux de communication inhabituels : Certains appels de vishing passent par le réseau téléphonique traditionnel, tandis que d’autres utilisent des logiciels de VoIP, un mode de communication que n’utilisera pas une banque.
- Email ou SMS demandant d’appeler un numéro : Il est rare, pour ne pas dire impossible, qu’une banque alerte par SMS ou par email son client d’un problème sur son compte.
- Appels à des heures inhabituelles : Les escrocs contactent souvent leurs victimes tôt le matin, tard le soir ou pendant les jours fériés. Là encore c’est un signe annonciateur d’une arnaque.
- Ton urgent ou menaçant : Le fraudeur incite la victime à agir rapidement, sous prétexte de résoudre un problème ou de s’opposer à un paiement. L’urgence est la clé de ces attaques. Le but est de vous pousser à agir impulsivement au lieu de prendre du recul. Soyez à l’affut de ces signaux.
- Demandes d’informations confidentielles : Le prétendu conseiller bancaire demande des identifiants, des mots de passe ou des codes de validations reçus par SMS ou par email. Jamais un vrai conseiller bancaire ne ferait cela.
Vérifications à effectuer
En cas de doute sur la présence d’une tentative de fraude au faux conseiller bancaire, il convient de suivre ces règles :
- Vérifier le numéro de l’appelant : Même si le numéro affiché semble légitime (numéro déjà enregistré dans votre répertoire ou affichant le nom d’une entreprise connue) cela peut être une usurpation de numéro (spoofing téléphonique). Le mieux est de mettre fin à la conversation et de rappeler le numéro légitime. Idéalement le contre-appel doit se faire depuis un autre appareil, au cas où le téléphone serait infecté par un logiciel espion.
- Poser des questions à l’appelant : Un escroc peut en savoir beaucoup sur vous (nom, prénom, téléphone, adresse, numéros de carte bancaire, numéros de compte, etc.). Pour autant, n’hésitez pas à le questionner et à le pousser dans ses retranchements. Il finira certainement par se démasquer.
- En dire le moins possible et ne rien faire : Une banque ne vous demandera jamais d’identifiants ou autre information sensible par téléphone. De même, elle ne vous incitera jamais à effectuer des transactions entre vos comptes ou vers un compte externe. Si un appelant vous demande de le faire, vous êtes face à une fraude au faux conseiller bancaire.
Que faire en cas de fraude au faux conseiller bancaire ?
Les étapes essentielles
Si vous avez été victime d’une fraude au faux conseiller bancaire, il est crucial d’agir sans tarder pour protéger vos finances et éviter que d’autres personnes ne soient ciblées. Voici les premières actions à entreprendre :
- Contactez immédiatement votre banque pour signaler l’escroquerie et sécuriser vos comptes bancaires ainsi que vos moyens de paiement.
- Déposez plainte auprès de la police, de la gendarmerie ou du procureur de la République.
- En cas de fraude sur carte bancaire, signalez-la sur la plateforme Perceval du ministère de l’Intérieur, conçue pour lutter contre ce type d’arnaque.
- Consultez le site 17Cyber pour obtenir un accompagnement dans vos démarches et des conseils en cybersécurité.
Renforcez votre sécurité et prévenez votre entourage
Outre les démarches officielles, prévenir son entourage est une étape clé. Les fraudeurs ciblent souvent les personnes âgées, mais les jeunes adultes sont également vulnérables même si cela peut sembler paradoxal, comme l’indique une étude récente. Informer ses proches permet d’éviter qu’ils ne deviennent les prochaines victimes.
Dans un cadre professionnel, alertez immédiatement votre service de sécurité des systèmes d’information et vos collègues pour empêcher une propagation de l’attaque.
Enfin, pour éviter toute tentative d’intrusion future :
- Changez tous vos mots de passe pour sécuriser vos accès numériques.
- Réinitialisez votre téléphone portable afin d’éliminer tout potentiel logiciel espion.
Comment se protéger de la fraude au faux conseiller bancaire ?
Rester discret sur les réseaux sociaux
Un cybercriminel ne peut pas mettre en œuvre une stratégie d’ingénierie sociale sans posséder d’informations sur vous. Il est donc important de limiter son empreinte numérique, c’est-à-dire sa surface d’attaque.
Ne publiez rien de personnel sur les réseaux sociaux, y compris sur les réseaux sociaux professionnels qui sont souvent une mine d’or pour les individus malveillants.
Déjà en 2012, le chercheur Michal Kosinski et ses collègues des universités de Cambridge et Stanford ont démontré qu’un algorithme d’apprentissage automatique peut déterminer avec précision les traits de personnalité d’un individu en analysant ses réactions sur Facebook.
Alors que dire d’un CV avec toutes vos coordonnées et informations personnelles disponible publiquement sur LinkedIn.
Si vous souhaitez publier sur les réseaux sociaux, mieux vaut limiter l’audience aux personnes de confiance.
Par ailleurs, ne gardez en contacts que des personnes que vous connaissez réellement et soyez prudents quand un inconnu cherche à rejoindre votre réseau.
S’abriter autant que possible des fuites de données
Les utilisateurs ne sont pas responsables de la sécurité des entreprises auxquelles elles confient leurs informations. Néanmoins, il est du devoir de chacun d’être vigilant.
Cela suppose de ne s’enregistrer que sur des sites fiables qui traitent les données conformément à la loi et notamment au RGPD.
Cela suppose également de ne pas en donner plus qu’il ne faut et par exemple de ne pas renseigner les champs non-obligatoires.
Pour vous inscrire à une newsletter, votre date de naissance ou votre adresse postale ne devraient pas être demandées par exemple.
Conclusion
La fraude au faux conseiller bancaire constitue une menace grandissante, exacerbée par la prolifération des fuites de données sur le dark web, où circulent des informations sensibles telles que les IBAN et autres données personnelles des usagers.
Si des solutions techniques existent pour filtrer les appels et SMS frauduleux, elles ne sont pas infaillibles. Les cybercriminels parviennent parfois à les contourner en utilisant des techniques avancées, comme l’installation de logiciels espions sur les appareils ciblés.
Face à cette menace, la meilleure défense reste l’humain. Développer un esprit critique face aux communications suspectes et apprendre à identifier les signaux d’alerte sont des compétences essentielles pour limiter les risques.
La sensibilisation est donc un levier clé, tant dans la sphère familiale, où il est crucial d’échanger avec ses proches sur ces pratiques frauduleuses, que dans le milieu professionnel, où il est indispensable d’évaluer la résistance des équipes face aux tentatives de vishing.
Dans cette optique, les simulations de vishing, comme celles proposées par AvantdeCliquer, permettent de tester en conditions réelles la capacité des collaborateurs à repérer une attaque.
Ces mises en situation sont suivies d’un rapport détaillé, offrant des recommandations personnalisées pour renforcer les procédures internes et optimiser la stratégie de défense contre ces fraudes sophistiquées.
Contactez-nous pour découvrir si votre organisation est prête à faire face à une attaque par vishing.
