Nous sommes "presque" habitués au phishing, l'email frauduleux qui tente de voler nos données. Et aussi au smishing, la variante via sms. Mais qu'en est-il du vishing, ledernière variante sophistiquée du piège téléphonique classique via la voix. Cela fonctionne comme ceci : nous recevons un appel téléphonique, de préférence sur notre téléphone portable afin que le numéro d'appel puisse être visualisé clairement et immédiatement. Le voilà, notre numéro de confiance. Accompagné, comme c'est souvent le cas maintenant, d'une inscription qui l'identifie clairement, en toutes lettres. Notre banque, compagnie d'assurance, opérateur de gaz ou d'électricité nous appelle. Ou peut-être l'Agence du revenu, car c'est exactement ce qui est indiqué sur notre écran. Et puis il y a cette voix professionnelle qui nous met tout de suite à l'aise. Il y a un problème avec le compte bloqué, mais nous pouvons le résoudre avec notre partenaire efficace pour le moment. Il y a quelque chose qui cloche dans le projet de loi, mais nous pouvons le régler tout de suite. Une voix nous guidera : il suffit d'insérer un code personnel et de suivre la procédure indiquée. Le nombre qui apparaît semble être une garantie absolue. Nous avons confiance. Malheur à nous.
Comment fonctionne l'arnaque
Le vishing (voice phishing) n'est pas né d'hier, mais depuis quelques temps il est devenu véritablement insidieux grâce à la combinaison avec un autre fléau des technologies de télécommunication : le usurpation d'identité de l'appelant, dont nous avons déjà beaucoup parlé, à savoir la manipulation du numéro transmis au téléphone récepteur, qui semble être ce qu'il n'est pas. Les dispositifs et procédures pour mettre en œuvre l'astuce sont largement utilisés par les centres d'appels qui nous massacrent tous chaque jour pour nous faire changer de prestataire ou nous proposer d'improbables opportunités d'investissement. Mais il y a, en fait, pire : l'usurpation d'identité de l'appelant utilisé pour gagner notre confiance et peut-être vider notre compte bancaire.
De l'autre côté du téléphone, tentant de frauder, il y a souvent un criminel professionnel sophistiqué, une organisation frauduleuse complexe, capable d'utiliser habilement le soi-disant ingénierie sociale, l'ensemble des techniques qui reposent sur des sentiments innés : la confiance et la peur, la cupidité et l'altruisme. La dynamique est celle du double temps : altérer nos émotions en nous mettant face à un événement inattendu, pour nous proposer immédiatement une bouée de sauvetage qui nous garantit une solution quasi immédiate. Un bon service, qui vient de ceux que nous avons déjà choisis pour résoudre nos tâches quotidiennes. Pourquoi être surpris ?
Le catalogue des pièges
Il existe un véritable catalogue personnalisé dans les arnaques mises en place avec ces techniques. Le malfaiteur sait-il qu'il s'en prend à une personne âgée et probablement pas très intelligente ? Voici l'arrêt de ce que nous croyons être notre banque : une attaque informatique est en cours qu'il faut désamorcer en changeant les codes d'accès au compte. Celui qui se trouve de l'autre côté du combiné peut le faire directement. Donnez-lui simplement les codes. Et puis, ensemble et par téléphone, la procédure de validation de l'opération depuis notre téléphone portable, étant donné qu'il s'agit désormais d'une pratique universellement répandue justement pour empêcher la fraude. Et qu'en est-il du gang avec lequel il travaille fonctionnaires autoproclamés de l'Agence du revenu qui nous informent du délai dans la journée de la possibilité de remédier aux impôts impayés (dont nous n'avons peut-être pas connaissance) en évitant de très lourdes sanctions ? Même technique : opération par téléphone "et tout se met en place en rectifiant le passé et sans sanctions évitées à la dernière minute".
Compte, codes, messages de confirmation, validation de l'opération : le tout réalisé avec la collaboration du fonctionnaire diligent et extrêmement serviable. Après tout, est-il vrai ou non que tous, absolument tous, les derniers gouvernements en place ont mis en place des projets fantastiques pour le « fisc ami » ? Tellement sympathique qu'un fonctionnaire autoproclamé particulièrement voué à la protection des personnes âgées propose même d'envoyer quelqu'un retirer l'argent nécessaire directement à notre domicile : le numéro qui apparaît sur notre afficheur en est la preuve et le nouveau coup de fil que nous recevrons "pour sécurité » lorsque le responsable se prêtera à sonner à la porte. Cela semble incroyable mais quelqu'un tombe dedans même aujourd'hui.
Attention : si les troubles causés par les exemples que nous venons de donner sont certainement pertinents, il y a bien plus à nous créer des problèmes potentiels. Non seulement partager nos données de carte de crédit, mais aussi simplement demander les détails d'un document et de notre compte courant peut nous exposer à une série interminable de fraudes : par exemple, la stipulation de prêts à notre nom.
Comment prévenir et comment se défendre
Première règle universelle : nos données, quelles qu'elles soient, ne fonctionnent pas jamais partagé ni simplement confirmé par téléphone, même si l'appelant ressemble à l'employé de notre banque ou au fonctionnaire de l'entreprise dont nous sommes clients. Cependant, une demande de ce type est anormale, en pratique elle ne respecte personne qui opère correctement dans les règles. Il doit nous avertir immédiatement d'une tentative de fraude. Et moins que jamais il vaut mieux répondre à des numéros inconnus ou masqués. Si quoi que ce soit, laissons-le inséré répondeur, écoutez le message puis évaluez calmement la situation : si nous pensons qu'il existe une possibilité réelle que l'appel soit authentique, il nous suffira de rappeler ce numéro.
Mais pour plus de sécurité, prenons des précautions supplémentaires : si l'appel a été reçu sur un téléphone fixe, rappelez depuis un téléphone mobile et non depuis le même appareil, qui dans le cas d'un téléphone traditionnel encore relié au central avec un cuivre torsadé paire (objectivement rare, mais qui se produit encore aujourd'hui) peut avoir été momentanément déconnectée et reconnectée à un simulateur de ligne par les criminels directement depuis l'armoire téléphonique locale. Une arnaque dans l'arnaque, qui est pourtant impossible à mettre en oeuvre si notre téléphone fixe fonctionne avec une connexion en fibre optique qui arrive directement chez nous.
Soupçonnons-nous d'avoir fait l'objet d'une tentative de vishing ? Ou peut-être sommes-nous simplement tombés dans le panneau ? Les étapes à suivre sont immédiatement intuitives. Première étape : nous changeons instantanément les codes d'accès que nous avons partagés. Deuxième étape, et peut-être contemporaine : pour tenter de désamorcer le produit frauduleux, nous avertissons immédiatement l'entreprise ou l'opérateur impliqué. Troisième étape (aussi rapide) : faisons un plainte exposée au poste de police ou au poste local des Carabiniers.
