Le scénario type
- Un SMS prétend qu'une "tentative de paiement suspecte" a été détectée et vous invite à appeler un numéro.
- À l'autre bout, "votre conseiller bancaire" (en réalité un arnaqueur) connaît votre nom, votre IBAN, parfois même le solde du compte. Toutes ces données ont fuité quelque part.
- Il prétend qu'une fraude est en cours et qu'il faut "bloquer la transaction" en validant la 3D Secure qui va arriver.
- Vous validez le code reçu par SMS — qui en réalité autorise la transaction frauduleuse au lieu de la bloquer.
- Quelques minutes plus tard, plusieurs centaines à plusieurs milliers d'euros ont disparu.
Pourquoi ça monte
Selon les rapports publics de Cybermalveillance.gouv.fr, le vishing bancaire fait partie des typologies en hausse depuis 2024 — alimenté par la disponibilité croissante de jeux de données fuités qui associent nom, téléphone et établissement bancaire. Les montants individuels peuvent atteindre plusieurs milliers d'euros par victime. Consultez le rapport annuel de Cybermalveillance pour les volumes officiels à jour.
Comment reconnaître ce piège
- Pression temporelle : "Il faut valider tout de suite, sinon votre compte sera bloqué."
- Connaissance de détails privés pour mettre en confiance (ne signifie PAS que l'interlocuteur est légitime, juste qu'il a vos données).
- Demande de validation 3DS "pour bloquer" : un vrai conseiller ne vous demande JAMAIS de valider 3DS pour bloquer quelque chose. La 3DS sert UNIQUEMENT à autoriser une transaction.
La règle absolue
Toute conversation entrante prétendant être votre banque → vous raccrochez et vous rappelez vous-même le numéro inscrit au dos de votre carte.
C'est la seule défense fiable. Aucune banque sérieuse ne vous reprochera ce réflexe.
Réduire l'exposition future
Le problème de fond, c'est que vos données sont en circulation. Les attaquants ne ciblent pas au hasard — ils achètent des listings. Un service de protection identité comme Incogni supprime vos données chez les Incogni en supprime les traces via demandes RGPD/CCPA.">data brokers et réduit progressivement la disponibilité de votre profil sur ces marchés gris.
Activez aussi la 2FA par app authenticator sur votre banque (pas SMS, qui est interceptable). Et utilisez un password manager pour ne jamais réutiliser un mot de passe.