Arnaques en cours — semaine du 11 au 17 mai 2026
du 11 mai 2026 au 17 mai 2026 · publié le 18 mai 2026 à 08:00 · lecture 2 min
Trois banques touchées en cascade par le vishing « virement de sécurité ». Après Crédit Agricole en première vague et Boursorama en deuxième, c'est au tour du Crédit Mutuel d'être ciblé cette semaine — principalement en Grand Est et Bretagne, ses zones d'implantation historique. Le mode opératoire est identique d'une banque à l'autre, signe que les attaquants packagent leur attaque et la diffusent en série. À côté de ça, les deepfakes investissement Bernard Arnault / Xavier Niel saturent Meta et TikTok, et le faux site ANTAI continue de générer du débit en masse.
La semaine du vishing bancaire en cascade
Le pattern qui pèse cette semaine : Crédit Mutuel s'ajoute à la liste des banques ciblées par le vishing « virement de sécurité » documenté depuis fin avril sur Crédit Agricole puis Boursorama.
Les particularités de la vague Crédit Mutuel : géographie ciblée (Grand Est et Bretagne — les zones historiques de l'enseigne, donc taux de touches utiles maximal), spoofing du numéro d'agence locale, et parfois mention du nom du conseiller habituel récupéré par OSINT public. Alerte Crédit Mutuel.
La défense est strictement identique d'une banque à l'autre : aucune banque ne te fait jamais valider un virement par téléphone. Si on te le demande, raccroche, rappelle ton agence sur le numéro existant.
IA — saturation des réseaux par les deepfakes célébrités
L'événement d'ampleur de la semaine côté IA : l'explosion des publicités vidéo deepfake utilisant l'image de Bernard Arnault, Xavier Niel, Élise Lucet, Yann Barthès sur Meta et TikTok pour pousser une fausse plateforme crypto promettant « 300 % en 60 jours ».
Le casting choisi n'est pas aléatoire — ce sont les figures publiques françaises avec le plus d'archives vidéo disponibles, donc les plus faciles à deepfaker proprement. Schéma classique de pig butchering) crypto derrière. Alerte deepfake célébrités.
SMS et email — Amazon, Netflix, ANTAI
Amazon : phishing « compte bloqué » sur amaz0n-fr.shop (zéro à la place du o) — diffusion massive cette semaine, c'est le type de typosquatting qui passe parce que la barre d'URL des navigateurs mobiles ne rend pas la différence visible. Détails.
Netflix « paiement refusé » : vague récurrente toujours active. Pattern identique à PayPal et Spotify, une fois reconnu une fois reconnu partout. Détails.
ANTAI « amende 35 € » : reste l'arnaque web la plus dommageable de la semaine en volume. Le design crédible + le délai serré poussent au paiement réflexe. C'est la mécanique fake-admin-site appliquée au créneau routier. Alerte ANTAI.
Marketplace — deux variantes de la même psychologie
- Leboncoin : faux acheteurs poussant à finaliser via un « Colissimo Paiement Sécurisé » qui n'existe pas. L'asymétrie cognitive vendeur (qui attend de recevoir l'argent, pas de saisir sa CB) est le ressort du piège → détails
- WhatsApp « Maman/Papa j'ai changé de numéro » : pic d'activité semaine du 13 au 17 mai. Cible démographique très précise — parents de 50-70 ans dont les enfants n'habitent pas avec eux → détails
Ce qu'il faut retenir
- Vishing bancaire : le pattern « virement de sécurité » est désormais industrialisé sur toutes les grandes enseignes. La règle est unique et sans exception — aucune banque ne demande un virement par téléphone. Si on te le demande, raccroche
- Amendes ANTAI : envoyées par courrier postal, jamais par SMS avec lien de paiement direct. amendes.gouv.fr est le seul portail de télépaiement légitime
- Deepfakes investissement : aucune célébrité française ne « secrètement promeut » une plateforme crypto obscure. Si Bernard Arnault investissait publiquement dans une crypto, ce serait couvert par toute la presse économique
- Famille technique récurrente : ANTAI, carte grise, préfecture, DGFIP — quatre faux sites administratifs qui exploitent la même mécanique. Reconnaître l'un = reconnaître les autres