382 millions d'euros. C'est le montant de la fraude par manipulation, dont le vishing (l'arnaque par appel téléphonique) est le principal vecteur, en 2024, selon l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France.

Derrière ce chiffre se cache une mécanique bien rodée : un appel téléphonique, un numéro qui semble provenir de votre banque, des données personnelles issues de fuites massives et une mise en scène suffisamment crédible pour tromper même les utilisateurs les plus vigilants.

Vous êtes sûr que votre banque ne vous appellera jamais pour vous demander vos codes ?

Dans cet article, vous allez comprendre exactement comment fonctionne le vishing, pourquoi il est si dangereux et surtout les actions concrètes à mettre en place dès aujourd’hui pour ne jamais en être victime.

En résumé : ce qu’il faut savoir en 30 secondes

Le vishing est une escroquerie par appel téléphonique qui usurpe l’identité d’un opérateur, d’un assureur, d’une banque ou d’une administration pour obtenir des codes ou faire valider des opérations.

Les fraudeurs utilisent des données personnelles issues de fuites (Free, France Travail, Boulanger, Booking etc..) et des faux sites créés pour l’occasion (Mondial Relay, SNCF), vendues sur le dark web. Le spoofing (usurpation de numéro) et l'urgence psychologique sont les piliers de l'attaque.

Aucun organisme légitime ne demande vos codes d’accès, vos codes de validation ou une approbation immédiate par téléphone.

Qu’est-ce que le vishing ?

Le terme vishing est la contraction de « voice phishing ». Il désigne toute tentative d’escroquerie réalisée par appel téléphonique (voix humaine, voix synthétique ou robotisée) dans le but d’obtenir des informations confidentielles ou de faire réaliser une action financière dommageable.

À la différence du phishing classique (par e-mail) ou du smishing (par SMS), le vishing supprime le délai de réflexion. L’interlocuteur est en ligne, pose des questions, répond en temps réel et exerce une pression psychologique immédiate. Cela rend la manipulation plus efficace sur un grand nombre de personnes, quel que soit leur niveau de maîtrise du numérique.

Les cibles ne se limitent pas aux banques : les fraudeurs se font également passer pour des opérateurs téléphoniques, des services fiscaux, des assureurs, des plateformes de paiement ou des administrations. L’objectif reste le même : accéder à vos données personnelles ou à vos moyens de paiement.

Cette technique s’appuie sur une infrastructure criminelle organisée. Les données personnelles proviennent de cyberattaques massives (opérateurs, services publics, grandes enseignes) qui ont inondé le dark web ces dernières années.

Vos données personnelles sont-elles dans la nature ?

Découvrez en 30 secondes si vos infos circulent en ligne ou sur le dark-web – et comment Green-Got les protège même si vous tombez dans un piège.

Faire le diagnostic

Pourquoi le vishing est-il si dangereux ?

Le vishing est particulièrement risqué car il combine plusieurs leviers puissants : personnalisation des attaques, usurpation technologique et manipulation émotionnelle.

Conséquences concrètes :

  • Virements irréversibles vers des comptes à l’étranger.
  • Vol d’identité pouvant entraîner des fraudes en chaîne.
  • Perte financière moyenne souvent comprise entre plusieurs centaines et plusieurs milliers d’euros par victime.

Selon l’OSMP, après une forte hausse entre 2021 et 2023, cette fraude par manipulation s'est stabilisée en 2024, marquant sa première baisse depuis qu'elle est mesurée. Elle reste néanmoins à un niveau élevé et les attaques se sophistiquent, notamment avec le recours croissant à l'intelligence artificielle.

Le vishing n’est pas une menace marginale. Il touche tous les profils, y compris les personnes attentives au numérique.

Exemple concret : Le faux conseiller

Mars 2025. Thomas, 34 ans, reçoit un appel.

Une voix assurée se présente comme son conseiller bancaire. Pour gagner sa confiance, l’interlocuteur lui donne sa date de naissance, les derniers chiffres de sa carte bancaire et son adresse postale.

Puis il annonce :

« Nous avons détecté une tentative de paiement frauduleux de 534 €. Pour bloquer l’opération, j’ai besoin que vous validiez ma demande dans votre application. »

Pris de panique, Thomas s’apprête à valider… sans réaliser qu’il s’agit en réalité d’une authentification 3D Secure pour autoriser un paiement. Le piège est en place. Mais au moment d'approuver l'opération, son application bancaire affiche un avertissement clair : « Aucun conseiller ne vous demandera de valider une telle opération par téléphone. ». Ce détail change tout.

Thomas prend une seconde, réfléchit, et décide de raccrocher. Dans la foulée, il contacte lui-même le service client de sa banque via le numéro officiel.

La règle à bien retenir : raccrochez systématiquement et contactez vous-même l’organisme via un canal officiel (application ou mail vérifié).

Comment fonctionne une attaque de vishing ?

Une attaque de vishing suit généralement un scénario rodé en cinq phases.

  1. Collecte de données : Les fraudeurs achètent sur le dark web des bases issues de fuites (noms, adresses, IBAN, historiques de transactions). Ces informations permettent de personnaliser l’appel.
  2. Usurpation de numéros : À l’aide d’outils accessibles, ils font apparaître sur votre écran le vrai numéro de votre banque, opérateur ou administration, parfois même avec le logo de l’organisme. La loi Naegelen et le mécanisme d’authentification des numéros (MAN), entrés en vigueur progressivement depuis 2024, rendent cette pratique plus difficile sur les lignes françaises, mais ne l’éliminent pas totalement.
  3. Création de l’urgence : Un SMS arrive souvent en premier (exemple : « Opération suspecte de 1 250 € : appelez ce numéro »). Vous rappelez et tombez sur un « conseiller » qui connaît déjà des détails sur vous.
  4. Manipulation psychologique : L’interlocuteur utilise l’autorité, la peur (« votre compte va être bloqué »), la preuve de légitimité (il cite vos dernières dépenses) et l’isolement (« ne contactez personne d’autre »).
  5. Exploitation : Il vous amène à communiquer des codes, à partager votre écran, à valider une opération sur votre application ou à installer un logiciel de prise en main à distance.

L’intelligence artificielle commence à permettre le clonage vocal, rendant ces appels encore plus crédibles.

Comment reconnaître un appel de vishing ?

Posez-vous systématiquement ces questions :

  • L’interlocuteur vous demande-t-il des codes, un mot de passe ou une validation immédiate ?
  • Crée-t-il une urgence forte avec un délai très court ?
  • Le numéro affiché correspond-il à celui de votre banque, mais l’appel arrive-t-il de façon inattendue ?
  • L’appel vous demande-t-il de ne pas raccrocher et de ne pas vérifier par un autre canal ?

Si la réponse est oui à l’une de ces questions, il s’agit très probablement de vishing. Sachez qu’aucun organisme sérieux ne procède ainsi.

Exemple type : un SMS d'alerte (smishing) déclenche l'appel frauduleux (vishing).
Règle fondamentale (DSP2 et bonnes pratiques bancaires) : Aucun établissement réglementé (sous supervision de l'ACPR ou de la BCE) ne demande de codes d'accès ou de validation d'opération lors d'un appel entrant.

👉 À lire aussi : SIM Swapping : comprendre l'arnaque, réagir vite et protéger vos comptes.

Quelles sont les étapes à suivre en cas de vishing ?

Si vous pensez avoir été victime :

  1. Raccrochez immédiatement sans donner d’information.
  2. Vérifiez vos comptes via l’application ou le site officiel (jamais via un lien fourni).
  3. Contactez votre banque ou l’organisme concerné par le numéro officiel figurant sur vos documents ou directement dans votre application.
  4. Conservez toutes les preuves (historique d’appels, SMS, captures d’écran).
  5. Déposez plainte en ligne sur la plateforme THESEE ou en commissariat.

Comment se protéger durablement contre le vishing ?

La protection repose sur des réflexes simples et systématiques.

Checklist à appliquer sans exception :

  1. Ne communiquez jamais vos codes d’accès, codes SMS ou mots de passe par téléphone.
  2. Lisez attentivement les messages de prévention de votre banque. Ils sont là pour vous aider.
  3. Contactez toujours vous-même l’organisme en utilisant le numéro officiel inscrit sur votre carte, votre contrat ou votre application.
  4. Activez les notifications en temps réel sur tous vos comptes.
  5. Utilisez une seconde authentification physique quand elle est proposée.
  6. Méfiez-vous des appels non sollicités, même s’ils paraissent parfaitement légitimes.
  7. Vérifiez que votre banque propose des alertes en temps réel et des messages de prévention intégrés à l'application : ce sont des garde-fous utiles au moment critique.

Ce qu’il faut retenir

  • Le vishing repose sur la voix et la confiance, pas seulement sur la technique.
  • Les données personnelles circulent massivement sur le dark web, rendant les attaques très personnalisées.
  • La règle d’or reste : jamais de code ni de validation lors d’un appel entrant.
  • La loi Naegelen et le MAN compliquent le spoofing, mais la vigilance humaine reste déterminante.
  • En cas de doute, le temps est votre allié : raccrochez et vérifiez par vous-même.

FAQ - Qu'est ce que le vishing ?

Le vishing est-il réservé aux personnes âgées ou peu à l'aise avec la technologie ?

Non. Ces fraudes touchent toutes les catégories de la population, y compris des profils avertis. La sophistication des attaques : spoofing, données personnelles précises, mise en scène crédible, les rend redoutables pour n'importe quel utilisateur, quel que soit son niveau de familiarité avec le numérique.

Comment les fraudeurs connaissent-ils mes coordonnées bancaires ?

Principalement via les fuites de données massives. Des dizaines de millions d'IBAN, noms, adresses et numéros de téléphone sont disponibles sur le dark web à la suite des cyberattaques majeures de 2024. Les fraudeurs achètent ces bases pour quelques dizaines d'euros et construisent un profil suffisamment précis pour paraître crédible.

Vishing, phishing, smishing : quelles différences ?

Ces trois termes désignent des vecteurs d'attaque distincts. Le phishing opère par e-mail avec un lien ou une pièce jointe frauduleuse. Le smishing utilise les SMS. Le vishing repose sur un appel vocal. Les trois peuvent être combinés dans une même attaque : un SMS d'alerte (smishing) qui déclenche un appel entrant frauduleux (vishing) est aujourd'hui l'une des séquences les plus répandues.

Sources :
- Observatoire de la sécurité des moyens de paiement (OSMP), Rapport annuel 2024, Banque de France
- OSMP, Statistiques de fraude (1er semestre 2024), Banque de France
- Loi n° 2020-901 (loi Naegelen) et mécanisme d'authentification des numéros (MAN), Legifrance / Arcep