Vishing Boursorama « sécurisation de compte » avec validation app
Faux conseillers Boursorama appellent en se présentant comme service fraude, poussent un virement vers compte « tampon » via validation app.
L'indice qui prouve qu'il y a déjà eu compromission
Si tu reçois un appel d'un « service sécurité Boursorama » qui connaît ton solde du compte ou tes dernières opérations, ne te dis pas « ça doit être une vraie alerte alors ». Dis-toi exactement l'inverse : c'est la preuve qu'un attaquant a déjà accès à ton espace bancaire, probablement via un phishing antérieur, et qu'il essaie maintenant de récupérer la deuxième couche défensive — ta validation manuelle.
Vague observée à partir du 7 mai 2026 ciblant les clients Boursorama. Mécanique identique aux vagues parallèles sur Crédit Agricole et Crédit Mutuel, avec adaptation aux interfaces et au vocabulaire Boursorama.
La séquence d'attaque complète
Vishing-virement-securite, en deux phases :
Phase 1 — compromission silencieuse (jours ou semaines avant l'appel) :
- L'attaquant phishe les identifiants Boursorama via un faux email « action requise » ou un faux SMS
- Il se connecte en lecture seule sur l'espace de la victime — consulte solde, opérations, RIB, contacts
- Il prépare son scénario d'attaque avec ces données concrètes
Phase 2 — appel pour finaliser :
- Appel d'un numéro qui peut s'afficher « Boursorama » (Caller ID spoofé — facile à faire, ne prouve rien)
- L'attaquant se présente comme « service sécurité » et mentionne le solde réel ou une opération récente, ce qui établit instantanément la crédibilité
- Il évoque une « tentative de virement frauduleux » détectée — l'irruption est crédible parce qu'il décrit un scénario plausible
- Il guide la victime à valider un « virement de sécurisation » vers un compte « interne Boursorama » — en réalité un compte mule
- La validation se fait via l'app Boursorama Banque avec authentification biométrique ou code, ce qui rend l'opération non-contestable juridiquement (la victime a validé elle-même)
Aucune banque ne te demandera jamais de valider un virement par téléphone, quelle que soit la raison. Le vrai service fraude bloque les opérations côté banque, pas côté client. Cette règle n'a pas d'exception.
Si l'attaquant connaît tes informations bancaires en début d'appel, c'est qu'il y a eu compromission préalable. Dans ce cas, ne te contente pas de raccrocher : change immédiatement ton mot de passe Boursorama et signale la compromission.
Comment reconnaître
- Tout appel demandant de valider une opération sur ton app pendant qu'on te parle = arnaque
- Le spoofing du Caller ID est trivial — l'affichage « Boursorama » ne prouve rien
- Rappelle Boursorama via le numéro imprimé au dos de ta carte, jamais via le numéro qui t'a appelé
Que faire si concerné
- Raccroche, ne valide rien
- Si virement validé : appelle Boursorama au 01 46 09 49 49 dans la minute pour tenter un rappel SEPA
- Change ton mot de passe Boursorama et ton code secret depuis un appareil sain
- Révoque toutes les sessions actives sur ton espace
- Dépôt de plainte rapide au commissariat
- Si tu soupçonnes la compromission préalable : vérifie tes autres comptes (mail, autres banques) — l'attaquant a peut-être tenté plusieurs accès
Sources
Sources
Pour comprendre toute la mécanique de ce type d'arnaque et comment se protéger en amont :
Guide faux conseiller bancaire →Même marque ou même canal
Alerte rédigée par l'équipe éditoriale killscam après recoupement de sources publiques (2 références citées ci-dessus). Première observation par notre veille le 07 mai 2026. Dernière vérification le 15 mai 2026.
Nos critères de publication, nos sources et nos garanties éditoriales sont détaillés sur la page méthodologie. Une info à corriger ou une nuance à ajouter ? écris-nous.