Dans nos différents articles sur les arnaques qui peuvent viser tous les consommateurs sans distinction, nous avons régulièrement évoqué le phishing (ou hameçonnage, en bon français) qui consiste à se laisser piéger par un courriel ou un SMS, qui semble venir d’un organisme comme notre banque, la sécurité sociale, le fisc ou autres et qui nous incite à nous connecter de toute urgence sur leur site afin de vérifier qu’il n’a pas été piraté.

Et c’est justement là que vous vous faites pirater car le site sur lequel vous allez vous connecter et donc saisir vos identifiants est en fait une belle imitation du site original et les personnes qui sont derrière cette arnaque vont ensuite en profiter pour accéder à votre véritable compte avec les identifiants que vous leur avez aimablement fournis.

Le vishing est arrivé !

Comme l’imagination des arnaqueurs est sans fin, voici maintenant venir le « vishing » ou voice phishing, c’est-à-dire l’hameçonnage par la voix.

La majorité des attaques par vishing concerne les fraudes aux feux conseillers bancaires.

Mais elles peuvent aussi servir au vol de données personnelles pour de l’usurpation d’identité ou à la prise de contrôle de l’ordinateur pour y voler des fichiers ou générer un chantage.

Comment ça se passe ?

Soit l’arnaqueur vous appelle, soit il vous incite à l’appeler via un SMS à caractère urgent.

Il faut savoir que, pour réussir à vous piéger, cette personne a déjà connaissance de plusieurs de vos données personnelles qui ont été récupérées soit par un hameçonnage préalable, soit par un un piratage, par exemple.

Cette connaissance va lui servir à vous mettre en confiance car, dans le cas d’une arnaque financière, votre interlocuteur va se faire passer pour votre conseiller bancaire ou pour un responsable anti-fraude de votre banque.

Il va alors probablement vous alerter à propos de mouvements suspects sur vos comptes. Si vous mordez à l’hameçon, car il aura été très persuasif ou intimidant (il sait y faire !), il va alors vous proposer de les confirmer ou de les bloquer en urgence. Pressé par la situation, vous allez accepter et tomber dans le piège en lui livrant vos informations bancaires ou en validant vous-même des transactions sur votre application bancaire.

Et vous n’aurez ensuite plus que vos yeux pour pleurer.

Quelques pistes pour détecter et contrer ce genre d’anarque

1. Aucune institution officielle ne vous demandera de communiquer par téléphone votre mot de passe ou un code de validation ou encore d’effectuer ou de valider en ligne une transaction quelconque.
   Ce genre de demande, quelle que soit l’urgence apparente, doit impérativement vous mettre la puce à l’oreille.

2. Dans le cas où la personne prétend être de votre banque, il vous suffit de lui dire que vous allez raccrocher et appeler vous-même votre conseiller ou le responsable d’agence pour procéder avec lui au contrôle des prétendus mouvements suspects.
   Il est probable que l’interlocuteur vous raccroche alors au nez.

3. Si la personne se présente comme appartenant à un autre organisme que vous connaissez, une fois qu’elle vous a expliqué pourquoi elle vous appelle, vous lui demandez de repréciser clairement le nom de l’organisme et son propre nom, puis vous lui dites que vous allez vous-même de suite appeler l’organisme en question et le demander, lui personnellement.
   Là encore, sauf s’il s’agit d’un appel réellement motivé, vous allez de nouveau vous faire raccrocher au nez.

4. Enfin, plus simple encore, si vous ne connaissez pas le numéro qui vous appelle, ne décrochez pas. Si la personne veut réellement vos contacter, elle vous laissera un message.
   Mais si elle le fait et que, inquiété par la teneur du message vocal, vous rappelez la personne, il vous faudra quand même rester très vigilant et tenir compte des 3 points précédents.  

Que faire si, par oubli de nos consignes, vous pensez vous être fait avoir ?

• Conservez tous les éléments (numéros de téléhone, SMS, courriels…) qui faciliteront une enquête éventuelle ;
• Déposez rapidement plainte ;
• Dans le cas d’une arnaque bancaire, signalez de suite la chose à votre banque et faites les éventuelles oppositions nécessaires ;
• Changez vite les mots de passe des comptes concernés.

Georges Planelles

PS : Pour la petite histoire, l’image associée à cet article a été produite par une intelligence artificielle à laquelle j’ai simplement demandé de me générer une image pour un article sur le voice phishing. Visiblement, l’IA a compris le mot fishing (pêche, d’où le poisson) au lieu de phishing.

J’ai conservé l’image par amusement, mais il est clair qu’il y a encore un peu de progrès à faire dans ce domaine (ce qui ne saurait tarder vu la progression fulgurante de ces outils).