Les arnaques via le téléphone


La plupart de ces attaques visent à vous contacter par téléphone (appel ou SMS) en usurpant l'idendité d'un organisme tiers, afin de récupérer vos données personnelles, très souvent pour pirater votre compte bancaire.



image phone_attack.png (25.0kB)


Le smishing

  • C'est l'équivalent du phishing mais le message frauduleux est envoyé par SMS. Il contient en général un lien menant vers une page de récupération de vos coordonnées parsonnelles.
Exemples : faux problème de livraison de colis postal, mise à jour carte vitale, compte CPF, prix gagné à un "concours"...

image Exemple1.png (75.6kB)
Exemple de SMS frauduleux. Parmi les éléments incitant à la vigilance, on notera le numéro de l'expéditeur, les fautes d'orthographe, la pertinence du contenu du message ainsi que le lien ne commençant pas par https


  • Le vishing

  • C'est l'équivalent du phishing réalisé avec un appel vocal et une usurpation d'identité.
  • Il en existe de plusieurs types; en voici quelques exemples :

- L'appel robotisé
Un logiciel robot d'appels téléphoniques (logiciel de phone marketing) est utilisé pour appeler tous les numéros de téléphone détenus dans un fichier (tableur, etc.) ou récupérés, avec des outils de pillage, sur des annuaires comme les « pages blanches » ou les « pages jaunes ».

La « cible » décroche et un message pré-enregistré, prétendument provenant de sa banque, prévient qu'une opération inhabituelle a été détectée sur son compte. Une confirmation est demandée. Il faut rappeler un numéro de téléphone (probablement surtaxé, mais c'est habituel avec les banques). En appelant, la « cible » tombe sur une boîte vocale (une autre forme de robot téléphonique) qui lui demande de s'identifier pour vérification en composant ses identifiants bancaires (numéro de carte bancaire, date d'expiration, éventuellement le cryptogramme visuel). Si la « cible » donne ces informations, elle devient une victime et des opérations frauduleuses vont être effectuées.

Comme il n'existe aucun moyen de vérifier ce que saisit la « cible », un jeu consiste à saisir n'importe quoi, ce qui fait perdre du temps au cybercriminel (et de l'argent s'il tente de fabriquer une fausse carte…).

- L'arnaque au faux conseiller bancaire
Un pirate appelle une victime et se fait passer pour son conseiller bancaire (au besoin avec un numéro de téléphone proche de celui de son centre financier) afin de lui faire croire qu'une opération inhabituelle est en cours sur son compte et qu'il est urgent de le sécuriser. L'imposteur s'exprime d'une manière très professionnelle et est en mesure de donner à la victime des éléments précis la concernant (nom, prénom, adresse, connaissances proches) récupérés suite à des fuites de données. Le but étant, après un échange pouvant aller jusqu'à plusieurs minutes, d'obtenir le numéro de compte et le mot de passe de la victime.

  • - La fraude au président ou FOVI (faux ordre de virement international)

image violation_avril_2021.png (76.1kB)
D'après le site de la CNIL - https://www.cnil.fr/fr/violation-du-trimestre-le-faux-ordre-de-virement-international-ou-fraude-au-president

Lors de cette fraude, qui peut combiner plusieurs techniques, l’attaquant peut tenter, par exemple, de convaincre un dirigeant ou une personne décisionnaire de l’entreprise (souvent appartenant au service de comptabilité) de transférer de l’argent (par exemple en contrepartie d’une commande) en ayant préalablement réussi à modifier ou mettre à jour les coordonnées bancaires du destinataire légitime (un fournisseur par exemple) afin de récupérer en son nom les fonds devant lui être versés.
Le fraudeur, se faisant passer pour quelqu'un d'important, cherche à mettre la personne ciblée dans une situation d'urgence, notamment quand son responsable hiérarchique est absent, afin de la dissuader de contacter ce dernier.

Cette attaque peut concerner toutes les entreprises, quels que soient leur taille et leur secteur d’activité.

Pour en savoir plus

  • Le SIM-SWAP

Arnaque à la carte SIM en français : le pirate récupère d'abord vos informations personnelles (par exemple sur des réseaux sociaux ou en vous appelant et en se faisant passer pour un faux conseiller). Ensuite, il contacte votre opérateur téléphonique et, à l'aide de vos données, demande à transférer votre numéro de téléphone sur une autre carte SIM qu'il possède.
Cette fraude ne nécessite aucune compétence particulière en informatique ou en téléphonie.

Comment s'en prémunir

- Il faut savoir qu'un conseiller bancaire ne demande jamais d'informations personnelles par téléphone (ou par mail) même pour vérification.
- Se méfier notamment des appels qui arrivent le vendredi soir ou le week-end (en d'autres termes, des moments où il est impossible de contacter son centre financier).

Pour en savoir plus
600 000 euros dérobés par un détenu


  • Le quishing

  • Ou en français, arnaque au QR Code.
  • Cette arnaque consiste à récupérer les données de la victime via un faux QR Code qui renvoie vers un site de paiement frauduleux. Elle est très utilisée dans le cas de fausses contraventions ou au niveau d'équipements publics comme les bornes de rechargement de voitures électriques par exemple.


  • Comment s'en prémunir
  • Si le QR code est donné sur un site en ligne, vérifier la fiabilité du site en contrôlant l'adresse et les fautes d'orthographe par exemple (voir les cas de phishing et d'url spoofing).
  • Si le QR code est donné sur l'écran d'un équipement (borne de recharge par exemple) ou une structure du domaine public (pharmacie...), vérifier s'il se trouve sur un autocollant et dans le doute passer par un site internet ou une application.

Cyberattaque Cybersécurité Ingénierie sociale Phishing Téléphone