Les organisations criminelles les plus dangereuses du monde ne ressemblent pas à ce que l’on imagine: elles s’apparentent à des entreprises du Fortune 500. Sophistiquées, disciplinées et structurées à l’échelle industrielle, elles opèrent avec une efficacité redoutable. Dans cette deuxième partie de notre série sur la fraude, nous analysons les rouages internes du crime le plus répandu: la fraude par ingénierie sociale. Nous pénétrons au cœur de ces réseaux et de leurs départements organisés sur le modèle de l’entreprise pour révéler la mécanique qui les rend si difficiles à démanteler.
Arnaques sentimentales, spear phishing, fraude au virement autorisé (APP fraud): ces attaques d’ingénierie sociale ne sont plus des menaces marginales. Pour les banques et institutions financières, elles représentent l’une des formes de fraude à la croissance la plus rapide, coûtant des milliards chaque année et sapant la confiance des client ainsi que la réputation des établissements.
Dans le premier article de notre série, nous avons révélé qui se cache derrière cette industrie mondiale pesant plus de 1 000 milliards de dollars, ous nous concentrons désormais sur le fonctionnement de ces usines à escroquerie: comment elles reproduisent la structure d’une entreprise, s’appuient sur la technologie, déploient la fraude en tant que service (FaaS) et génèrent des menaces qui mettent en péril non seulement l’argent, mais aussi la réputation et la confiance.
L’industrie de la fraude : des départements comme dans les vraies entreprises
En pénétrant dans un complexe d’escroquerie, on découvre un environnement qui ressemble bien plus à un siège social d’entreprise qu’à une simple planque criminelle. Ces opérations fonctionnent comme de véritables écosystèmes d’affaires.
Tout ommence par le recrutement, un processus qui alimente continuellement l’organisation. Les recruteurs publient de fausses offres d’emploi sur les réseaux sociaux et les plateformes d’embauche, promettant des salaires élevés et des conditions attractives. Beaucoup de candidats sont des étudiants, des retraités ou des personnes en situation économique précaire. Peu réalisent qu’ils sont aspirés dans un réseau de traite humaine. Une fois arrivés sur leur prétendu lieu de travail, ils se retrouvent piégés dans des complexes gardés, contraints au travail, puis formés et déployés pour escroquer des victimes à travers le monde.
Les nouveaux arrivants intègrent ensuite des académies de formation structurées, calquées sur l’intégration en entreprise. On leur fournit des scripts, les entraîne à la persuasion et à l’imitation de personnes ou d’institutions de confiance. Ils apprennent à surmonter les objections, à créer un sentiment d’urgence et à rédiger des messages ou des emails convaincants: tous les codes de la formation commerciale sont détournés au service de la tromperie.
Une fois formées, les recrues rejoignent les centres d’appels, véritable cœur de l’opération. Étages après étages, des équipes « commerciales » exécutent des escroqueries en continu. Les performances sont suivies de près: taux de conversion, valeur par victime, nombre d’interactions réussies, temps de réponse aux prospects. Les meilleurs sont récompensés, les moins performants sévèrement sanctionnés.
L’ensemble est soutenu par des équipes opérationnelles et informatiques, garantes du bon fonctionnement de l’entreprise criminelle. L’infrastructure est maintenue, les systèmes surveillés, les données gérées. Les fonctions paie et comptabilité traitent les fonds issus de la fraude, blanchissent l’argent et le réinvestissent pour étendre et pérenniser l’activité.
Mais le département le plus sophistiqué reste la R&D, dont l’unique mission est de garder une longueur d’avance sur les dispositifs anti-fraude des banques. Ces équipes font évoluer et affinent en permanence de nouvelles méthodes d’attaque pour contourner les défenses les plus récentes. Elles testent des scénarios d’ingénierie sociale, perfectionnent les contournements de l’authentification à deux facteurs et exploitent les failles de la vérification d’identité. De plus en plus, elles utilisent des outils d’IA pour approfondir la tromperie : voix deepfake,& identités synthétiques, plateformes de phishing générées par IA.
Sur le papier, il serait impossible de distinguer leur structure interne de celle d’une entreprise légitime.
L’industrialisation de la fraude via l’IA et le FaaS
Aucun complexe n’a besoin de réinventer la roue – aujourd’hui, ces grandes organisations criminelles vont jusqu’à franchiser leurs opérations. Grâce au modèle de fraude en tant que service (FaaS), elles vendent ou louent des « kits d’escroquerie prêts à l’emploi » sur le dark web. Ces kits incluent des services d’usurpation d’identité, des packs d’exploitation et des bibliothèques de scripts, accessibles en quelques clics. Ils facilitent le déploiement d’attaques sophistiquées sans compétence technique préalable. C’est le modèle de la franchise appliqué à la cybercriminalité.
Logiciels et IA au service de l’automatisation des escroqueries
Pour atteindre les volumes d’appels nécessaires chaque jour, les escrocs s’appuient sur les services VoIP, qui leur permettent de passer des appels internationaux à moindre coût tout en usurpant des numéros avec des indicatifs UK ou EU pour gagner en crédibilité. Ces outils fournissent également un flux constant de nouveaux numéros lorsque ceux des agents sont blacklistés comme spam.
Les escrocs utilisent aussi des logiciels similaires à ceux des entreprises légitimes. Des tableaux de bord de type CRM suivent les prospects et collectent des informations sur les victimes : expérience d’investissement, historique d’appels, données personnelles. Des bases de données d’identités volées permettent des attaques hautement personnalisées. De plus en plus, des chatbots IA automatisent la personnalisation des messages et génèrent des deepfakes. Des outils comme ChatGPT sont déployés dans les complexes pour rédiger des récits d’investisseur convaincants et entretenir des conversations de confiance prolongées avec les victimes.
Pourquoi les banques doivent aller au-delà de la transaction ?
Les pertes liées à la fraude explosent. En 2024, les consommateurs américains ont perdu plus de 12,5 milliards de dollars à cause des escroqueries, dont la majorité provient des arnaques à l’investissement et à l’usurpation d’identité. En Norvège, les pertes dues à l’ingénierie sociale ont augmenté de 21 % entre 2021 et 2022, atteignant 290,3 millions NOK (soit 25 à 30 millions USD), alors que de plus en plus d’utilisateurs sont manipulés pour autoriser des paiements – une tendance également observée par les banques européennes, qui ont vu la fraude aux paiements digitaux augmenter de 43 % en 2024 par rapport à 2023, avec une hausse de 156 % des tactiques d’ingénierie sociale et de 77 % du phishing.
Ces opérations nuisent aux banques bien au-delà de la perte financière immédiate. Chaque escroquerie réussie érode la confiance – celle des clients, des régulateurs et du public. Si les clients estiment que leur banque ne peut les protéger, ils risquent de se tourner vers la concurrence ou de perdre confiance. La surveillance réglementaire et les amendes augmentent également, l’ingénierie sociale étant désormais le vecteur de fraude le plus scruté par les autorités.
L’impact humain et les solutions
La fraude évolue, passant de compromissions purement techniques à la manipulation de la confiance humaine – et pas seulement celle des victimes financières. De nombreux escrocs sont eux-mêmes recrutés sous de faux prétextes, victimes de traite ou contraints de travailler sous la menace. Cette réalité sombre est au cœur de ces machines industrielles de la fraude.
Les outils pour lutter contre la fraude par ingénierie sociale
Les escroqueries par ingénierie sociale comptent parmi les menaces les plus difficiles à contrer pour les banques. Contrairement à la fraude traditionnelle (documents falsifiés, etc.), ces attaques manipulent de véritables clients pour qu’ils autorisent des paiements ou partagent des informations sensibles, souvent sans réaliser qu’ils sont dupés. C’est notamment le cas de la fraude APP, où la victime est incitée à envoyer elle-même l’argent : la transaction paraît légitime et initiée par le titulaire du compte, rendant la détection particulièrement complexe et exigeant des technologies plus intelligentes.
Pour lutter contre ce type de fraude, les banques doivent disposer d’outils allant au-delà des vérifications d’identité classiques. Les solutions doivent être capables de repérer en temps réel les signes subtils de coercition et de manipulation. Les solutions de vérification vidéo sont conçues pour cela et représentent la seule méthode capable de détecter les tentatives d’ingénierie sociale grâce à des interactions dynamiques et des questions ciblées, révélant des incohérences comportementales ou des signes de détresse indiquant qu’un client est manipulé.
Avec l’ingénierie sociale, l’objectif passe de la vérification d’identité à la compréhension de l’intention. C’est là que des plateformes telles que la Trust Platform d’IDnow interviennent. En intégrant des biométries comportementales – historiques de transactions erratiques, incohérences géographiques, changements d’appareils – elle signale les schémas suspects et permet une évaluation du risque en temps réel tout au long du cycle de vie client, et pas seulement lors de l’onboarding.
En outre, la sensibilisation des utilisateurs finaux est essentielle : au Royaume-Uni, où la fraude APP est massive, les banques doivent désormais indemniser les victimes jusqu’à 85 000 £. Grâce aux efforts de prévention, le nombre de cas a diminué de 15 %.
En combinant ces capacités, la prévention de la fraude passe d’une approche réactive à une défense proactive.
L’ingénierie sociale a toujours existé, mais dans le monde numérique et hyperconnecté d’aujourd’hui, elle s’est transformée en un commerce mondial. Ce qui n’était autrefois que des escroqueries isolées est devenu une industrie fonctionnant 24h/24, automatisée et à grande échelle. Les usines à fraude exploitent le maillon le plus faible de la chaîne – la vulnérabilité humaine – rendant leur détection plus difficile et représentant la plus grande menace pour les banques aujourd’hui. Pour les institutions financières, le défi n’est plus de colmater des failles ponctuelles, mais de démanteler des lignes de production entières de la tromperie. Comprendre ce qui se passe à l’intérieur de ces opérations est désormais la première ligne de défense dans une guerre que les criminels sont en train de gagner.
Vous souhaitez lire d’autres articles sur ce sujet ? Découvrez :
- Le vrai visage de la fraude #1 : Anatomie d’une industrie de 1 000 milliards. Explorez qui se cache derrière les schémas frauduleux à la croissance la plus rapide, où se trouvent les principaux centres de « scam compounds » et ce que les organisations financières doivent comprendre de leurs adversaires.
- Fraude sur les réseaux sociaux : l’histoire d’un homme qui a presque tout perdu. Pour en savoir plus sur les arnaques sentimentales, les fraudes à l’investissement et la multitude de méthodes utilisées par les fraudeurs pour cibler leurs victimes via les réseaux sociaux.
Par
Nikita Rybová
Customer & Product Marketing Manager chez IDnow
Connectez vous avec Nikita sur LinkedIn
