Imaginez: vous téléphonez à la hotline d’une plate-forme de réservation ou d’un établissement de crédit. Vous vous entretenez avec le collaborateur, divulguez des données, pour finalement découvrir que tout cela était faux. Un cauchemar! C’est pourtant ce qui est arrivé à la cliente d’AXA Laura Zanetti*.
Deux semaines à Fuerteventura: soleil, plage, surf! Depuis des mois, Laura Zanetti et son amie Manuela Wyler se faisaient une joie de ces vacances. Mais quelques jours avant le voyage, l’amie se fait voler son porte-monnaie dans le tramway, avec sa carte d’identité.
Laura Zanetti a contacté la prétendue hotline d’une compagnie aérienne, pour savoir si, même sans carte d’identité, son amie peut malgré tout faire le voyage de Zurich à Fuerteventura. Au cours de l’entretien, la Zurichoise est invitée à installer une application lui permettant de saisir ses données simplement, en toute sécurité. Laura Zanetti y télécharge la photo de sa propre carte d’identité et saisit également ses données bancaires et d’autres données personnelles.
«À aucun moment je ne me suis méfiée. Le collaborateur était très aimable et serviable. L’application a fonctionné à merveille. Et je trouvais tout à fait logique qu’on doive saisir quelques informations si l’on prend l’avion sans papiers d’identité.»
Ce que la jeune femme de 29 ans ignorait, c’est que des cybercriminels avaient placé un faux numéro de téléphone sur Internet, prétendant être la hotline de la compagnie aérienne. Par la suite, le faux agent du centre d’appels a demandé à la cliente de saisir des informations dans une application frauduleuse.
Les escrocs n’ont pas perdu de temps: pendant que la cliente parlait au téléphone, ils ont transféré de l’argent de son compte bancaire sur un compte de cryptomonnaie ouvert à son nom. Un deuxième compte de cryptomonnaie a également été ouvert à son nom sur Ramp, mais aucun virement n’y a été effectué.
Par chance, Laura Zanetti a souscrit une cyberassurance privée. AXA l’aide notamment à déclarer le vol à la police et à faire supprimer les comptes frauduleux en cryptomonnaies et, pour finir, couvre la perte financière d’un montant de CHF 4781 (après déduction d’une franchise de CHF 200).
*Le nom, connu d’AXA, a été modifié à la demande de la cliente.
Dans le cas présent, quel soutien avez-vous apporté à Laura Zanetti?
Pour commencer, je lui ai conseillé de commander une nouvelle carte d’identité, car le risque est grand, dans ce genre de cas, de voir son identité usurpée sur le Darknet à des fins frauduleuses. Je lui ai en outre recommandé de déclarer l’incident à la police, de porter plainte, de commander une nouvelle carte de crédit et de faire bloquer immédiatement l’ancienne. Mon conseil a aussi été de choisir impérativement une authentification à deux facteurs pour sa nouvelle carte de crédit. J’ai signalé tout de suite les faux comptes sur les plates-formes de cryptomonnaies MoonPay et Ramp et ai réussi à les faire désactiver au nom de Laura Zanetti.
J’ai aussi aidé la cliente à signaler l’escroquerie auprès de ses banques. Dans ce genre de situations, un soutien professionnel et une certaine ténacité sont précieux. Les banques déclinent souvent toute responsabilité dès lors qu’un comportement négligent peut être imputé au client.
Le vishing est un type d’escroquerie qui consiste, pour des criminels, à passer par des appels téléphoniques pour dérober des informations personnelles. Le terme «vishing» est une combinaison des mots «Voice» (voix) et «Phishing» (escroquerie par e-mail ou par SMS).
L’objectif principal est de voler des données personnelles, telles que données bancaires, numéros de cartes de crédit, carte d’identité ou données d’accès, en vue de s’enrichir financièrement.
Un soutien moral est également important. Quelle a été votre aide dans ce domaine?
Face à une telle situation, toute personne se demande: comment ai-je pu tomber dans le piège? Pourquoi n’ai-je pas fait preuve de méfiance? Pourquoi les cybercriminels ont-ils précisément fixé leur choix sur moi? Avec Laura Zanetti, nous avons analysé l’affaire ensemble. J’ai ainsi pu lui expliquer comment les escrocs l’avaient induite en erreur et l’aider à se sentir moins coupable. Ce soutien moral était essentiel pour elle.
Quelques jours plus tard, j’ai mené un entretien avec la cliente sur le thème de la prévention et l’ai alors sensibilisée à différents types de phishing, de smishing et, surtout, de vishing. Ces arnaques sont de plus en plus sophistiquées et évoluent en permanence; elles ne sont pas près de s’arrêter.
Pour finir, AXA a couvert l’intégralité du préjudice financier subi par Laura Zanetti, soit CHF 4781 (après déduction d’une franchise de CHF 200). J’ai été particulièrement contente pour elle, car cette bonne nouvelle lui est parvenue avant ses vacances.
Comment fonctionne techniquement le vishing?
D’un point de vue technique, le vishing consiste pour un escroc à utiliser le téléphone ou une technologie Voice-over-IP (VoIP, téléphone via Internet) pour dissimuler son identité ou son numéro de téléphone. Il appelle d’un numéro de téléphone qui, en réalité, n’est pas rattaché à son adresse IP. Ce stratagème permet aux malfaiteurs de passer des appels VoIP pour une somme modique et, en cas de tentative concluante, de recueillir une grande quantité de données.
Quelles sont les tactiques émotionnelles employées par les auteurs de vishing?
Les criminels inventent souvent des histoires qui semblent plausibles aux victimes et visent à ce qu’elles agissent immédiatement et dévoilent des informations sensibles. C’est ce qu’on appelle l’ingénierie sociale: des méthodes ciblées destinées à influencer les personnes et à obtenir des informations confidentielles. Les auteurs de vishing utilisent des astuces psychologiques afin d’exploiter le comportement humain typique et d’amener la victime à livrer des données sensibles.
Bien qu’il existe différents types d’escroquerie par vishing, tous reposent sur une trame commune:
Les cybercriminels n’hésitent pas à user de différentes techniques pour parvenir à leurs fins. Ils peuvent par exemple utiliser de faux numéros de téléphone, à l’aide desquels ils se font passer pour des institutions connues et racontent des histoires crédibles destinées à gagner la confiance de la victime. Ils peuvent aussi mettre la pression et inventer des scénarios qui exigent une action immédiate, le but étant d’amener la victime à agir rapidement et à divulguer des informations la concernant.
Comment se protéger des attaques par vishing?
Il est important d’être prudent et de ne jamais divulguer des informations financières ou personnelles par téléphone, à moins d’être absolument sûr de la légitimité de la personne qui appelle. En cas de doute, mieux vaut rechercher par vous-même le numéro de téléphone officiel de l’entreprise et vous mettre directement en contact avec elle afin de vérifier l’authenticité de l’appel.
Les organisations sérieuses ne vous demanderont jamais de leur communiquer par téléphone des données personnelles telles que mots de passe, numéros de carte de crédit ou numéro d’assurance sociale.
Autre conseil: vérifier les appels de numéros inconnus en faisant une recherche sur le numéro de téléphone, ou bloquer le numéro et le signaler à l’opérateur téléphonique. Vous pouvez également signaler la tentative d’escroquerie au Centre national pour la cybersécurité, ce qui permettra d’avertir d’autres victimes potentielles et d’ouvrir une enquête.
Les services de cyberprévention d’AXA attachent une grande importance à la prévention et alertent régulièrement la clientèle sur les escroqueries en cours. Vous avez ainsi une longueur d’avance sur le reste de la population.