Les appels téléphoniques frauduleux sont devenus une réalité quotidienne pour des millions de personnes à travers le monde. Les victimes sont de plus en plus souvent ciblées par des conversations en direct, impliquant de faux agents des forces de l’ordre, des représentants bancaires ou des assistants techniques, tous utilisant des tactiques de pression psychologique pour extorquer des informations sensibles ou de l’argent.
Les conséquences de cette cybercriminalité impactent fortement la société, tant sur le plan financier qu’émotionnel. Selon le FBI, les citoyens américains âgés de 60 ans et plus ont perdu 3,4 milliards de dollars en 2023. De plus, une étude récente indique que le vishing a augmenté de 449 % en 2025, avec une perte moyenne de 3 690 dollars par appel frauduleux.
Nous nous intéressons ici au phénomène du « Caller-as-a-Service », une facette encore peu explorée, mais en pleine expansion, de la cybercriminalité moderne. À l’instar des organisations de vente légitimes, les acteurs malveillants adoptent des modèles d’exploitation structurés, avec spécialisation, évolutivité et exécution orientée vers des résultats.
Ces écosystèmes ne sont plus aléatoires. Ils se composent de rôles distincts, chaque acteur se concentrant sur des étapes spécifiques du cycle d’attaque, allant des infrastructures et des outils à l’exécution des techniques de social engineering.
Nous analysons le fonctionnement de ces réseaux, y compris leurs stratégies de recrutement, rôles et responsabilités définis, ainsi que des modèles de rémunération sur mesure, rappelant étroitement la dynamique des marchés légitimes.
Un marché organisé et structuré
L’écosystème des appels frauduleux s’est professionnalisé et segmenté, ressemblant à des opérations commerciales légitimes. Des rôles distincts existent désormais tout au long de la chaîne de valeur, incluant des développeurs de malware, des distributeurs, des créateurs de kits de phishing, et des opérateurs d’infrastructure, parmi d’autres.
Cette division du travail permet à chaque participant de se spécialiser, en mettant l’accent sur la qualité du recrutement et le professionnalisme opérationnel plutôt que sur des capacités techniques.
Par conséquent, la barrière à l’entrée est considérablement abaissée. Les personnes engageant des appels n’ont plus besoin de développer des malwares ou de gérer des infrastructures. Elles peuvent se concentrer sur l’amélioration de leurs compétences en communication, techniques de persuasion et tactiques de manipulation.
Les annonces de recrutement reflètent cette spécialisation, en indiquant clairement des exigences telles qu’une maîtrise de l’anglais, une familiarité avec la sécurité opérationnelle (OPSEC) et une expérience préalable dans la fraude. Certaines fonctions demandent même aux participants de rester en partage d’écran durant les appels.
Cela suggère que les opérateurs ne se contentent pas d’externaliser des tâches, mais supervisent activement les performances en temps réel, introduisant ainsi un niveau de contrôle de la qualité plus commun aux centres d’appels légitimes qu’à la cybercriminalité traditionnelle.
Cette supervision a plusieurs objectifs : garantir le respect des scripts, améliorer les taux de conversion, et prévenir la fraude interne ou les fuites de données. Ce modèle complexe et contrôlé démontre comment les opérations de fraude modernes sont gérées avec la même logique et efficacité que les entreprises légitimes.
Les opérations de fraude structurées reposent sur des identifiants compromis et des listes de victimes provenant des marchés clandestins.
Flare surveille des milliers de forums du dark web, de chaînes Telegram et de places de marché, permettant ainsi à votre équipe de détecter des données exposées avant qu’elles n’alimentent la prochaine campagne d’escroquerie.
Tactiques de recrutement clandestin
Pour attirer des employés potentiels, les entreprises légitimes mettent en avant leur solide fond financier, des témoignages de clients, et des photos d’employés satisfaits. Dans le monde souterrain, une capture d’écran affichant un solde élevé du portefeuille de cryptomonnaie d’une entreprise suffit. Un solde d’environ 475 000 dollars sert d’outil de recrutement. Ces visuels de « preuve de profit » sont couramment utilisés dans les communautés souterraines pour établir une crédibilité et démontrer des possibles gains.
Modèles de rémunération des appelants frauduleux
Les analyses de Flare révèlent l’existence de divers modèles de rémunération, incluant des paiements fixes, des paiements basés sur le succès, et une approche hybride combinant les deux. Dans un modèle, les appelants reçoivent un pourcentage des fonds extraits, avec des pourcentages plus élevés pour des gains plus importants. Dans un autre modèle, des paiements fixes de 1 000 dollars par appel réussi sont proposés, complétés par un pourcentage supplémentaire.
Des échanges entre acteurs malveillants mettent en lumière ce modèle de rémunération. Un opérateur explique que le succès du social engineering ne se traduit pas toujours par une monétisation immédiate, entraînant des compensations différées ou conditionnées.
Cette nuance est significative, indiquant que le processus de fraude va au-delà de l’appel initial, impliquant des étapes supplémentaires pour convertir l’accès ou les informations en gains financiers. De ce fait, les opérateurs compensent les appelants pour un engagement réussi tout en contrôlant les processus de monétisation en aval.
Les participants ne se contentent pas d’accepter les conditions. Ils posent des questions, comparent des offres et évaluent leur rémunération avant de s’engager. C’est une dynamique étonnamment semblable à celle d’un marché de travail légitime.
Exigences, rôles et responsabilités des appelants frauduleux
À l’instar des annonces d’emploi sur LinkedIn, les opérateurs clandestins rédigent des annonces de recrutement bien définies et ciblées. Ces publications vont bien au-delà du générique et mentionnent clairement les traits, responsabilités et expériences requis pour chaque poste, témoignant d’un niveau de maturité comparable à celui d’organisations légitimes.
Pour les appelants, l’accent est mis sur des compétences relationnelles fortes, incluant une communication claire, une intelligence émotionnelle, et des techniques avancées de manipulation psychologique. Ces rôles sont centrés sur la capacité à instaurer la confiance, créer un sentiment d’urgence et persuader les victimes d’agir, ce qui mène à des pertes financières ou des compromissions de comptes.
Un schéma notable est la préférence pour des locuteurs natifs d’anglais, signalant un ciblage délibéré de régions géographiques spécifiques. Cela souligne l’importance de l’alignement culturel et de la fluidité linguistique pour maximiser les taux de succès.
Combinées avec une supervision en temps réel et des retours de performances, ces opérations ressemblent à des étages de vente structurés, où le social engineering est non seulement exécuté, mais continuellement affiné et optimisé pour des conversions supérieures.
Vers une industrialisation du social engineering
La convergence des stratégies de recrutement, de supervision, des incitations structurées et des flux de travail modulaires illustre un virage vers des opérations de fraude industrialisées. Ce modèle ressemble à ceux observés dans le ransomware-as-a-service ou le courtage d’accès initial, où la spécialisation et la division du travail favorisent l’efficacité.
Cependant, dans ce cas, le vecteur d’attaque principal est l’interaction humaine, rendant ces fraudes accessibles tout en étant difficiles à détecter.
Implications pour les défenseurs et les particuliers
Ces menaces témoignent d’un virage marqué vers des opérations de fraude structurées et évolutives, posant des défis croissants tant pour les organisations que pour les individus.
La nature décentralisée de ces écosystèmes rend leur disruption difficile. Éliminer des appelants individuels impacte peu, car des éléments critiques (données des victimes, opérateurs, et canaux de monétisation) sont distribués et résilients.
Parallèlement, la dépendance à des sources de données compromises renforce une réalité majeure : les violations de données en amont alimentent directement la fraude en aval.
La montée en professionnalisme exacerbe ce problème. Avec la supervision en temps réel, des flux de travail définis, et des modèles de rémunération structurés, ces opérations deviennent plus cohérentes, efficaces et difficiles à détecter.
Pour contrer cette menace, il est essentiel que les défendeurs privilégient :
- Des mécanismes de vérification d’identité renforcés
- Une détection des anomalies comportementales
- Une sensibilisation des utilisateurs centrée sur des scénarios de social engineering en temps réel
Pour les particuliers, il est crucial de comprendre que les appels frauduleux ne sont que rarement aléatoires : ils font souvent partie de campagnes coordonnées et basées sur des données.
Il convient d’être vigilant face aux appels non sollicités qui :
- Créent un sentiment d’urgence
- Demandent des informations sensibles ou financières
- Exigent une action immédiate
Même si un appelant semble crédible, il est conseillé de ne jamais partager de mots de passe, codes de vérification ou détails financiers par téléphone.
Si quelque chose vous paraît suspect, la meilleure approche est simple : raccrochez et contactez directement l’organisation par des canaux officiels.
Enfin, activer l’authentification multi-facteurs (MFA) peut réduire significativement l’impact des informations d’identification compromises, ajoutant une couche de protection cruciale contre le piratage de comptes.