Mise à jour : 03/05/2021
DESCRIPTION
L'hameçonnage vocal est une fraude téléphonique au cours de laquelle le fraudeur s'efforce d'obtenir de sa victime des données personnelles, financières ou de sécurité, voire va l’inciter à réaliser un transfert d'argent.
Ce type d’arnaque utilise la manipulation psychologique et l’intimidation à des fins d'escroquerie (technique dite de « l’ingénierie sociale »).
Le fraudeur va commencer par établir une relation de confiance en se présentant généralement comme faisant partie d’un service de sécurité de la banque. Il peut appuyer son discours avec quelques informations personnelles sur son interlocuteur récupérées par exemple lors d’un phishing précédent et/ou sur les réseaux sociaux (ou autres sources).
Le fraudeur prétexte une tentative de fraude qu’il vient de bloquer ou des tests de sécurité et insiste sur l’urgence à réaliser une opération en ne laissant pas à son interlocuteur le temps de réfléchir. Il peut également chercher à l’intimider en cas de réticence.
Ensuite l’escroquerie suit un scénario qui dépend des objectifs et de l’imagination du fraudeur. Celui-ci peut, par exemple :
- initier des achats par carte bancaire en utilisant le numéro de carte de la victime et lui demander le code de sécurité que celui-ci aura reçu par SMS, soit disant pour annuler la transaction.
- demander à la victime de tester un virement sur un compte dont il va lui communiquer le numéro, en promettant que l’opération est fictive ou sera annulée dans la foulée.
Dans ce type d’arnaque, la technique d’usurpation de l’identité de l’appelant (en anglais Caller ID spoofing) peut être utilisée. Cette technique légale, notamment utilisée par les centres d’appels, permet d’afficher un numéro d’appelant choisi.
Le plus souvent les fraudeurs usurpent un numéro légitime pour crédibiliser leur démarche. Si la victime émet des doutes, le fraudeur va le plus souvent l’inciter à rechercher sur internet le numéro qui s’affiche pour légitimer son appel.
Vigilance : Noter que si un de ces numéros est enregistré dans la liste de contacts du téléphone de la victime, c’est le nom de son contact qui s’affichera.
Exemples de numéros pouvant être utilisés :
- Le numéro d’opposition carte bancaire (09 69 39 92 91), le standard du siège social de Crédit Agricole SA. ou d’une caisse régionale Crédit Agricole.
Vigilance : Ces numéros sont faciles à trouver sur Internet mais ne sont pas censés être utilisé pour appeler les clients, et certainement pas pour des problèmes en relation avec une fraude.
- Un des numéros du service de Lutte contre la Fraude (09 69 36 23 76 ou 09 69 39 02 67).
- Dans certains cas, très ciblés, le fraudeur va usurper le numéro de l’agence bancaire, ou même la ligne directe d’un conseiller.
Il peut être ainsi difficile de faire la différence entre un appel légitime et un appel frauduleux.
C’est la manière avec laquelle est mené l’entretien et les informations ou actions qui sont demandées qui doivent alerter.
Ci-dessous, en illustration, deux exemples de vishing qui utilisent la thématique de lutte contre la fraude.
Dans les deux cas, le fraudeur s’est débrouillé pour connaitre au préalable le nom, le numéro de téléphone portable et les coordonnées de la carte bancaire de sa victime.