Le phishing ou hameçonnage téléphonique, également appelé « vishing » (contraction de Voice Phishing) représente un défi croissant tant pour les particuliers que pour les entreprises. Si la plupart des internautes sont aujourd’hui familiers des emails frauduleux ou des arnaques par SMS, beaucoup sous-estiment encore le danger que peut représenter un simple appel téléphonique.
Qu’est-ce que le phishing téléphonique ?
Le phishing téléphonique est une forme d’escroquerie, où les criminels contactent leurs victimes par téléphone en se faisant passer pour des collaborateurs de banques, d’autorités publiques ou d’entreprises renommées. Leur objectif est de soutirer des données sensibles telles que des mots de passe, des identifiants d’e-banking, des données de cartes de crédit ou des codes de validation (TAN). Pour y parvenir, les auteurs exercent une pression psychologique et jouent souvent sur le sentiment d’urgence pour pousser leurs victimes à agir vite et sans réfléchir. Ils racontent des histoires bien ficelées pour instaurer un climat de confiance et obtenir les informations confidentielles souhaitées.
Comment opèrent les escrocs ?
Les auteurs de ces attaques font souvent preuve d'un grand professionnalisme, ce qui leur permet d’agir en temps réel tout en inspirant confiance. Leurs méthodes vont bien au-delà du phishing classique par email. Les techniques les plus courantes sont les suivantes :
- Usurpation du numéro d’appel : le numéro qui s’affiche à l’écran semble légitime, comme le numéro de votre banque par exemple, alors que ce n’est pas du tout le cas (call ID Spoofing).
- Usurpation d’identité : les escrocs se présentent comme des employés de banques, d'opérateurs téléphoniques, de services de sécurité ou d'organismes officiels.
- Scénarios réalistes : comme par exemple, la nécessité de bloquer une transaction frauduleuse en cours. Pour ce faire, les escrocs exigent qu’on leur communique des données confidentielles ou que la victime se connecte sur un faux site web.
Pourquoi le phishing téléphonique représente une menace grandissante ?
Selon l’Office fédéral de la cybersécurité (OFCS), les incidents de phishing téléphonique ont considérablement augmenté ces derniers temps en Suisse. Ces attaques sont particulièrement redoutables dans la mesure où elles combinent la prise de contact directe par téléphone avec l'utilisation de données personnelles récupérées au préalable (via du phishing classique, de l’ingénierie sociale ou des fuites de données).
Les précautions à prendre :
- Ne jamais divulguer d'informations personnelles par téléphone.
Les numéros de contrat, mots de passe bancaires, codes TAN ou autres données de connexion ne doivent jamais être communiqués par téléphone. - Ne pas céder à la pression de l’urgence.
Aucune entreprise sérieuse ne vous demandera jamais de prendre une décision immédiate ou précipitée. - Vérifier les numéros.
Ne vous fiez pas uniquement au numéro qui s’affiche sur votre écran. En cas de doute, raccrochez et rappelez l’organisme en question via les numéros officiels habituels. - Utiliser les canaux officiels.
Contactez votre banque uniquement via les numéros qui figurent sur vos relevés de compte, sur le site web officiel ou dans l’application mobile.
Conclusion
Le phishing téléphonique n’est plus un phénomène de science-fiction, mais une réalité quotidienne. En adoptant un comportement prudent, il est toutefois possible de réduire considérablement les risques. À vous de rester vigilant, de rester critique lorsque vous recevez des appels inattendus et de ne transmettre vos données sensibles que par des voies sécurisées et officielles.
Pour en savoir plus, consultez notre article « Arnaques par téléphone : les faux services d’assistance ».
