Le vishing est une arnaque téléphonique (hameçonnage vocal) où un fraudeur se fait passer pour un interlocuteur de confiance afin de vous soutirer des informations ou de l’argent. Cette forme d’escroquerie par téléphone est en forte hausse et vise autant les particuliers que les professionnels.
À retenir
- Le vishing est une arnaque téléphonique qui imite votre banque, une administration ou un service client pour obtenir vos données ou valider des opérations frauduleuses.
- Un appel non sollicité, urgent, qui demande des codes, mots de passe ou numéros de carte bancaire doit être considéré comme suspect.
- En cas de doute : raccrochez, puis rappelez uniquement via les coordonnées officielles de l’organisme (site web, espace client, courrier).
Qu’est‑ce que le vishing ?
Le vishing (contraction de « voice » et « phishing ») est un hameçonnage par téléphone qui repose sur des appels vocaux, parfois automatisés, pour se faire passer pour une entité de confiance (banque, administration, opérateur, support technique, assurance, etc.).
L’objectif est d’obtenir des informations sensibles (coordonnées bancaires, codes de validation, mots de passe) ou de vous pousser à effectuer des actions qui permettront ensuite de détourner de l’argent ou de pirater vos comptes.
Contrairement au phishing « classique », qui passe surtout par l’e‑mail ou les SMS, le vishing exploite la voix et la relation directe au téléphone pour installer confiance, urgence et pression psychologique. Le fraudeur peut, en plus, usurper le numéro d’appel affiché pour imiter celui d’une banque ou d’une administration et rendre l’arnaque plus crédible.
Comment fonctionne une arnaque de vishing ?
Une arnaque de vishing commence généralement par un appel inattendu prétendument « important » pour votre sécurité, vos finances ou vos démarches administratives.
L’interlocuteur suit un script bien rodé : il se présente, donne parfois des informations basiques sur vous, évoque un problème urgent (fraude, impayé, blocage) puis propose de le résoudre immédiatement… à condition que vous collaboriez.
Il peut notamment vous demander : de confirmer des opérations bancaires, de lire des codes reçus par SMS, de communiquer votre numéro de carte bancaire, ou de vous connecter à un faux site « sécurisé » communiqué par téléphone. Une fois ces informations obtenues, l’escroc peut valider des paiements, usurper votre identité ou prendre la main sur vos comptes.
Exemples courants de scénarios de vishing
Le faux conseiller bancaire
Un interlocuteur se présente comme conseiller de votre banque et prétend avoir détecté des opérations suspectes ou une tentative de fraude sur votre compte.
Il vous demande alors de « sécuriser » la situation en validant des opérations, en lui dictant des codes de confirmation ou en lui fournissant les informations de votre carte bancaire, ce qui lui permet en réalité de finaliser les opérations frauduleuses.
Le faux support technique ou opérateur
Un soi‑disant support Microsoft, Apple, votre fournisseur d’accès Internet ou votre opérateur mobile vous contacte pour un « virus », un piratage ou un problème de connexion.
Il vous incite à installer un logiciel de prise en main à distance, à cliquer sur un lien ou à payer une intervention urgente, ce qui lui donne accès à vos appareils et à vos données ou lui permet d’encaisser des paiements indus.
L’appel au nom d’une administration ou d’un organisme public
Un escroc se fait passer pour les impôts, la CAF, l’Assurance maladie ou une autre administration pour annoncer un remboursement, un trop‑perçu, une amende ou une dette à régler.
Il réclame ensuite vos coordonnées bancaires, vos identifiants de compte en ligne ou un paiement immédiat, alors qu’aucune institution sérieuse ne vous demandera ce type d’informations par simple appel non sollicité.
Comment reconnaître un appel de vishing ?
Un appel de vishing imite un appel légitime, mais plusieurs signaux doivent vous alerter, notamment quand la conversation tourne très vite autour de l’argent ou des codes de sécurité.
Signes qui doivent immédiatement alerter
- L’appel est non sollicité, vous ne l’attendiez pas et vous n’avez pas demandé de rappel.
- L’interlocuteur insiste fortement sur son statut (conseiller bancaire, agent des impôts, policier, support technique) pour instaurer la confiance.
- On vous demande des informations sensibles : numéro de carte bancaire, cryptogramme, codes reçus par SMS, identifiants, mots de passe, réponses à des questions secrètes.
- Le ton est alarmiste ou pressant : menace de blocage de compte, d’amende, de perte de droit, de débit immédiat si vous n’agissez pas tout de suite.
- L’appelant refuse que vous raccrochiez pour vérifier l’information ou rappeler via le numéro officiel indiqué sur le site de l’organisme.
Les bonnes questions à se poser pendant l’appel
- Ai‑je sollicité cet appel ou demandé récemment un contact de cet organisme (banque, opérateur, administration) ?
- Ma banque ou cette administration m’a‑t‑elle déjà indiqué qu’elle ne demanderait jamais de codes ou mots de passe par téléphone ? (C’est ce que rappellent les autorités françaises.)
- Puis‑je retrouver ce numéro ou cette information sur le site officiel ou dans mon espace client avant de faire quoi que ce soit ?
Check‑list express pendant l’appel
- Ne communiquez jamais de codes reçus par SMS, de mots de passe, ni de cryptogramme, même si l’appelant prétend « sécuriser » votre compte.
- Ne cliquez sur aucun lien reçu par SMS ou e‑mail pendant ou juste après l’appel.
- Raccrochez poliment, puis rappelez vous‑même le numéro officiel indiqué sur le site de votre banque, de votre opérateur ou de l’administration concernée.
- En cas de pression, de menace ou d’insistance excessive, considérez immédiatement l’appel comme suspect et mettez fin à la conversation.
Bonnes pratiques pour se protéger du vishing
L’objectif est de réduire votre exposition et d’adopter des réflexes simples pour ne jamais laisser un appel téléphonique dicter vos décisions.
Avant l’appel : limiter la surface d’attaque
- Évitez de publier votre numéro de téléphone sur des sites ou réseaux peu fiables.
- Renforcez vos paramètres de confidentialité sur les réseaux sociaux pour limiter les informations exploitables sur vous.
- Sensibilisez vos proches et collègues aux arnaques téléphoniques, surtout les personnes moins à l’aise avec le numérique.
Pendant l’appel : garder la maîtrise
- Gardez en tête qu’aucune banque, administration ou entreprise sérieuse ne vous demandera vos codes ou mots de passe par téléphone.
- Ne laissez pas l’urgence décider pour vous : prenez le temps de réfléchir, de vérifier et, si nécessaire, de raccrocher pour rappeler plus tard via un canal officiel.
- Utilisez les fonctionnalités de blocage et de signalement des appels indésirables proposées par votre téléphone ou votre opérateur.
Après l’appel : vérifier et consigner
- Si vous avez un doute, contactez directement l’organisme supposément à l’origine de l’appel via ses coordonnées officielles (site, courrier, espace client).
- Notez le numéro, la date, l’heure et le contenu de l’appel pour pouvoir, si besoin, effectuer un signalement ou déposer plainte.
Que faire si vous avez donné des informations au téléphone ?
Si vous avez communiqué des informations sensibles ou validé des opérations au téléphone, il est essentiel d’agir au plus vite pour limiter les conséquences.
Réflexes immédiats en cas de données bancaires divulguées
- Contactez immédiatement votre banque pour faire opposition et demander une surveillance renforcée de vos opérations.
- Demandez, le cas échéant, le renouvellement de votre carte bancaire si son numéro ou son cryptogramme ont été communiqués.
Si vos comptes en ligne sont concernés
- Changez sans délai les mots de passe des comptes potentiellement exposés, en commençant par votre messagerie principale.
- Activez la double authentification (2FA) pour vos boîtes mail, réseaux sociaux, services financiers et autres comptes sensibles.
Signaler l’arnaque
- Signalez l’escroquerie sur les plateformes officielles (PHAROS / THESEE, selon le type de fraude) et suivez les conseils de Service‑Public.
- Prévenez Cybermalveillance.gouv.fr pour obtenir un diagnostic et des conseils personnalisés en cas d’attaque.
- Conservez toutes les preuves (numéro appelant, relevés, captures d’écran) pour un éventuel dépôt de plainte auprès des forces de l’ordre.
Vishing : enjeux pour les entreprises
Les entreprises sont particulièrement visées par le vishing, notamment via les faux supports techniques, les faux prestataires ou les faux clients.
Une seule personne du service comptable, commercial ou informatique qui se laisse piéger peut ouvrir la porte à une fraude importante ou à une compromission de systèmes internes.
Mettre en place des procédures claires (ne jamais communiquer de codes par téléphone, vérifier systématiquement l’identité d’un interlocuteur, rappeler via les numéros officiels) et organiser des sessions régulières de sensibilisation réduit fortement le risque. Des simulations d’appels frauduleux ou des supports pédagogiques internes peuvent ancrer ces réflexes dans la durée.
FAQ – Questions fréquentes sur le vishing
Comment savoir si un appel est une arnaque de vishing ?
Un appel non sollicité qui vous met sous pression et vous demande des informations sensibles ou des actions inhabituelles (codes, paiements, installation de logiciel) doit être considéré comme suspect. Raccrochez et rappelez uniquement via les coordonnées officielles de l’organisme concerné.
Ma banque me demande un code ou un SMS de validation au téléphone : est‑ce normal ?
Non. Les banques rappellent qu’elles ne demandent jamais de codes de validation, de mots de passe ni de cryptogrammes par téléphone. En cas de demande de ce type, raccrochez immédiatement et contactez votre agence via ses coordonnées officielles.
Que faire si j’ai donné mon numéro de carte bancaire par téléphone ?
Appelez sans attendre votre banque pour faire opposition, surveiller vos opérations et, si nécessaire, renouveler votre carte. Pensez aussi à conserver les éléments de l’arnaque pour un éventuel dépôt de plainte.
Le vishing peut‑il aussi passer par WhatsApp, Messenger ou d’autres applications ?
Oui, certains fraudeurs utilisent des appels via WhatsApp, Messenger, Telegram ou d’autres services de messagerie. Les mêmes règles s’appliquent : ne partagez jamais d’informations sensibles et, en cas de doute, coupez la communication et vérifiez via un canal officiel.