Appels frauduleux : les pros ne sont pas épargnés

Les faux appels téléphoniques (vishing) sont une des cybermenaces les plus courantes. On estime que les cyberattaques frappant les entreprises ont augmenté de 13% en 2021*. Comment se protéger ?

Qu'est-ce que le faux appel téléphonique ?

Le vishing, ou hameçonnage par téléphone, est une arnaque téléphonique utilisant souvent des techniques d’ingénierie sociale (usurpation d’identité) qui a pour but de faire réaliser des opérations frauduleuses ou de soutirer des informations sensibles susceptibles de compromettre l’activité de l’entreprise. La finalité est identique à la technique du phishing, qui consiste à envoyer des mails frauduleux.

L’appel téléphonique provient directement du fraudeur, qui utilise une fausse identité et peut se faire passer selon le cas, pour :

  • Une personne se faisant passer pour un collaborateur Société Générale (service fraude, assistance technique, etc.) : elle vous contacte dans le but d’obtenir vos codes de carte bancaire et/ou de banque à distance.
  • Un support informatique : vous naviguez sur internet, un message apparaît pour vous avertir que votre PC est bloqué, vous conseillant d’appeler un numéro. Ce numéro est celui d’un faux support technique qui va vous soutirer de l’argent en prétendant réparer votre équipement.
  • Un fournisseur, un supérieur hiérarchique lointain, comme le président de la société mère ou du groupe pour lequel vous travaillez (technique de « la fraude au président »), un cabinet comptable ou d’avocat : ils ont pour but de vous faire exécuter des opérations frauduleuses à leur profit.
  • Des représentants d’organismes reconnus (Trésor public, Assurance Maladie…) ou des opérateurs de mobile (Orange, SFR…) : ils s’appuient sur la légitimité de ces organismes pour vous tromper plus facilement. Un interlocuteur vous appelle par exemple sous une fausse identité pour vous signaler un incident de facturation ou de paiement.
    Il vous demande alors :

    • de lui confirmer vos codes de carte bancaire pour effectuer ensuite des achats frauduleux à vos dépends.
    • ou d’exécuter un virement vers des nouvelles coordonnées bancaires.

Notez enfin que les cybercriminels savent parfaitement afficher le numéro de l’appelant usurpé. Le numéro et la localisation de l’appel, tout comme l’identité de l’appelant, ne sont pas un gage de sécurité. Par ailleurs, ils peuvent disposer d’informations personnelles ou professionnelles, vous concernant, pour vous rassurer.

Quelles peuvent être les conséquences pour l'entreprise victime ?

Les conséquences pour l’entreprise sont le plus souvent commerciales et financières :

  • Pertes financières :
    • Opérations de paiement (carte bancaire, virement) frauduleuses sur votre compte.
    • Problèmes de trésorerie : fournisseurs légitimes non payés et perte de confiance des fournisseurs.
  • Atteinte à la sécurité du système d’information de l’entreprise :
    • Diffusion de logiciels malveillants.
    • Fuite d’informations (salariés, clients, fournisseurs…).
    • Perturbation de la production.
    • Contrôle des serveurs de l’entreprise.
  • Altération de l’image de l’entreprise victime auprès de ses clients et de ses partenaires.

Comment se protéger ?

Il existe de nombreuses façons de se protéger contre les cybercriminels qui tentent de vous contacter par téléphone. Elles font toutes appel à la vigilance et nécessitent de connaître les bonnes pratiques à adopter :

  • Sensibilisez les collaborateurs pour leur apprendre à repérer les appels suspects, surtout en période de vacances quand les effectifs ne sont pas au complet.
  • Respectez en permanence les procédures internes sécurisées, y compris pendant les absences : double contrôle, respect des procédures, accès limité aux données sensibles.
  • Méfiez-vous des demandes inhabituelles : si une demande paraît suspecte, c’est probablement qu’elle l’est !
Gardez votre sang-froid en cas d’appel urgent :
  • Ne cédez pas au caractère pressant de la demande qui doit au contraire vous interpeller.
  • Ne validez pas une action (opération ou annulation, validation, blocage…) dont vous n’avez pas été l’initiateur.
  • Refusez toute demande de prise de contrôle à distance de votre ordinateur, de votre tablette ou de votre téléphone.
  • Vérifiez la légitimité d’une telle demande en effectuant un contre-appel vers un numéro déjà référencé.
  • En cas de doute, ne réalisez aucune action et ne divulguez aucune information confidentielle et notamment aucune donnée bancaire.

Reconnaitre un appel téléphonique reçu de Société Générale

Votre Conseiller Société Générale est susceptible de vous appeler pour vous donner une information ou confirmer un rendez-vous mais il ne réalisera pas d’opérations à distance, encore moins en urgence.

Société Générale ne vous appellera jamais pour vous demander :

  • D’annuler une opération avec votre Pass Sécurité Pro1.
  • D’annuler, bloquer ou rembourser un achat par carte.
  • De lui communiquer ou renseigner le code reçu par sms, le code secret banque à distance ou le numéro de votre carte bancaire.
  • De prendre le contrôle de votre ordinateur, de votre tablette ou de votre téléphone.
  • De rajouter le RIB ou l’IBAN d’un nouveau tiers bénéficiaire.

Comment réagir lorsqu'on pense avoir été victime de fraude ?

Vous pensez avoir donné par imprudence des informations sensibles au téléphone ? Gardez votre calme et agissez sans perdre de temps :

  • Raccrochez immédiatement.
  • Changez le mot de passe d’accès à votre Espace Client Société Générale et aux autres sites sur lesquels vous avez pu l’utiliser.
  • Prévenez immédiatement les dirigeants et/ou vos managers de l’entreprise.
  • Faites opposition à votre carte bancaire si vous en avez fourni les informations directement sur votre Espace Client ou en contactant le centre d’opposition: (+33) 09 69 39 77 772.
  • Vérifiez depuis votre Espace Client s’il y a des virements suspects à venir pour les annuler avant qu’ils soient réellement débités.
  • Surveillez vos opérations bancaires : si des opérations frauduleuses sont débitées, vous pourrez remplir un Kit de réclamation opérations carte en ligne 3 disponible dans votre Espace Client dans la rubrique Vos Cartes > Liens utiles, en bas de page.
  • Appelez le 3933 ou votre Conseiller Société Générale en utilisant ses coordonnées habituelles pour contester les éventuelles opérations frauduleuses.
  • Vous pouvez consulter la rubrique Sécurité du site internet societegenerale.fr pour toutes questions relatives à votre sécurité bancaire.
  • Vous pouvez contacter Info Escroqueries au 0 805 805 817 (appel gratuit du lundi au vendredi de 9h à 18h30). Cette plateforme téléphonique composée de policiers et de gendarmes peut vous informer et vous conseiller.
  • Conservez les preuves de la fraude en vue d’un dépôt de plainte auprès de la police ou de la gendarmerie.

Les faux appels téléphoniques – et la cybercriminalité en général – continueront à prospérer tant que les fraudeurs arriveront à leur fin. Prendre le temps d'identifier les tentatives d'hameçonnage et surtout réussir à les déjouer est la meilleure façon de conserver votre sérénité.

* Selon un rapport d’Orange Cyberdéfense, publié fin 2021
1 Nécessite une activation préalable. Service optionnel gratuit, obligatoire pour utiliser Paylib.
2Appel non surtaxé hors éventuel surcoût opérateur.