Les appels téléphoniques frauduleux sont devenus une réalité quotidienne pour des millions de personnes dans le monde. Des faux agents des forces de l'ordre aux représentants bancaires en passant par les faux techniciens de support, les victimes sont de plus en plus ciblées par des conversations directes et en temps réel conçues pour créer un sentiment d'urgence, accompagné d'une forte pression psychologique, afin d'obtenir des informations sensibles ou de l'argent. Les rapports indiquent que ce type de cybercriminalité a un impact significatif sur la société, tant sur le plan financier qu'émotionnel. Selon le **FBI**, les citoyens américains âgés (60+) ont perdu 3,4 milliards de dollars en 2023. Un autre rapport montre que le vishing a augmenté de 449 % en 2025 et que la perte moyenne par appel frauduleux s'élève à 3 690 $. Dans cet article, nous mettons en lumière ce que l'on peut décrire comme le « Caller-as-a-Service », une facette sous-explorée mais en évolution rapide de la cybercriminalité moderne. Nous examinons comment, à l'instar des organisations de vente légitimes, les acteurs malveillants ont adopté des modèles opérationnels structurés et professionnels, avec une spécialisation, une évolutivité et une exécution axée sur la performance. Ces écosystèmes ne sont plus ad hoc. Ils sont composés de rôles et de fonctions distincts, avec différents acteurs se concentrant sur des étapes spécifiques du cycle de vie de l'attaque : de l'infrastructure et des outils à l'exécution de l'ingénierie sociale. Nous explorons le fonctionnement de ces réseaux, y compris leurs stratégies de recrutement, leurs rôles et responsabilités définis, et même leurs modèles de rémunération sur mesure, qui reflètent tous de près la dynamique du marché légitime. Le résultat est une économie très organisée et axée sur les services qui professionnalise la fraude à grande échelle, abaissant le seuil d'entrée tout en augmentant l'efficacité et l'impact. ## Un marché structuré et organisé L'écosystème des appels frauduleux est devenu hautement professionnalisé et segmenté, reflétant les opérations commerciales légitimes. Des rôles distincts existent désormais tout au long de la chaîne de valeur, y compris les développeurs de malware, les distributeurs, les créateurs de kits de phishing, les opérateurs d'infrastructure, les vendeurs de logs, les analystes de données, les traders de listes de victimes, et enfin, les fraudeurs qui exécutent les attaques. Cette division du travail permet à chaque participant de se spécialiser. Pour les fraudeurs, qui se concentrent uniquement sur l'interaction avec les victimes, l'accent est mis sur la qualité du recrutement et le professionnalisme opérationnel plutôt que sur les capacités techniques. En conséquence, le seuil d'entrée est considérablement abaissé. Les individus n'ont plus besoin de développer de malware ou de gérer l'infrastructure, et ils peuvent se concentrer sur le perfectionnement de leurs compétences en communication, de leurs techniques de persuasion et de leurs tactiques d'ingénierie sociale.  Les offres de recrutement reflètent cette spécialisation. Elles décrivent généralement des exigences claires telles que la maîtrise de l'anglais, la familiarité avec la sécurité opérationnelle (OPSEC) et une expérience préalable en matière de fraude. Notamment, certains postes exigent que les participants restent sur un partage d'écran pendant les appels en direct. Cette exigence est particulièrement révélatrice. Elle indique que les opérateurs ne sous-traitent pas simplement des tâches, mais supervisent activement les performances en temps réel. Cela introduit un niveau de contrôle qualité et de supervision opérationnelle plus couramment associé aux centres d'appels légitimes qu'à la cybercriminalité traditionnelle. Une telle supervision sert plusieurs objectifs : assurer le respect des scripts, améliorer les taux de conversion et prévenir la fraude interne ou les fuites de données. En fin de compte, ce modèle stratifié et contrôlé souligne la manière dont les opérations de fraude modernes sont gérées avec la même logique, structure et efficacité que les entreprises légitimes. ## Tactiques de recrutement underground Lorsque les entreprises légitimes souhaitent attirer des employés potentiels, elles mettent en avant une solide assise financière, des témoignages de clients et même des photos d'employés satisfaits. Dans l'underground, une capture d'écran d'un solde élevé du portefeuille de cryptomonnaies de l'entreprise suffit. Un solde d'environ 475 000 $ sert d'aide au recrutement conçue pour attirer des candidats. Ces visuels de « preuve de profit » sont couramment utilisés dans les communautés underground pour établir la crédibilité et démontrer les gains potentiels. Qu'ils soient authentiques ou fabriqués, leur objectif est de réduire le scepticisme et d'encourager la participation. Cette tactique reflète les tendances générales des écosystèmes cybercriminels, où la réputation et le succès perçu jouent un rôle important dans le recrutement et la collaboration.  ## Modèles de rémunération des fraudeurs L'analyse indique qu'il existe divers modèles de rémunération, y compris des paiements fixes, des paiements basés sur le succès et une approche hybride combinant les deux. Dans un modèle, les fraudeurs reçoivent un pourcentage des fonds extorqués, avec des pourcentages plus élevés attribués pour des gains plus importants. Dans un autre modèle, les opérateurs proposent un paiement fixe de 1 000 $ par appel réussi, complété par un pourcentage supplémentaire. Les conversations entre acteurs malveillants donnent un aperçu du modèle de rémunération. Un opérateur explique que l'ingénierie sociale réussie ne se traduit pas toujours par une monétisation immédiate, par conséquent, la rémunération est également retardée ou conditionnée. Cette distinction est importante. Elle indique que le processus de fraude s'étend au-delà de l'appel initial, impliquant des étapes supplémentaires pour convertir l'accès ou les informations en gains financiers. Par conséquent, les opérateurs rémunèrent les fraudeurs pour un engagement réussi tout en conservant le contrôle des processus de monétisation en aval. Les participants n'acceptent pas simplement les conditions. Ils posent des questions, comparent les offres et pèsent la rémunération avant de s'engager. C'est une dynamique indiscernable de tout marché du travail légitime. ## Exigences professionnelles, rôles et responsabilités des fraudeurs Tout comme les offres d'emploi sur LinkedIn, les opérateurs underground rédigent des annonces de recrutement bien définies et hautement ciblées. Ces offres sont loin d'être génériques, et elles décrivent clairement les traits, les responsabilités et l'expérience requis pour chaque rôle, reflétant un niveau de maturité typiquement associé aux organisations légitimes. Pour les fraudeurs, l'accent va au-delà des capacités techniques. Les candidats doivent démontrer de solides compétences interpersonnelles, y compris une communication claire, une intelligence émotionnelle et des techniques de manipulation psychologique avancées. Au cœur de ces rôles se trouve la capacité à établir la confiance, à créer un sentiment d'urgence et à persuader les victimes d'agir de manière à entraîner une perte financière ou un compromis de compte. Une tendance notable est la préférence pour les locuteurs natifs anglais, indiquant un ciblage délibéré de régions géographiques spécifiques. Cela souligne l'importance accordée à l'alignement culturel et à la fluidité linguistique pour maximiser les taux de réussite. Combinées à la supervision en temps réel et aux retours de performance, ces opérations ressemblent à des plateaux de vente structurés, où l'ingénierie sociale n'est pas seulement exécutée, mais continuellement affinée et optimisée pour une conversion plus élevée. ## Passage à une ingénierie sociale industrialisée La convergence du recrutement, de la supervision, des incitations structurées et des flux de travail modulaires reflète un passage plus large vers des opérations de fraude industrialisées. Ce modèle reflète les développements observés dans le ransomware-as-a-service (RaaS) et le courtage d'accès initial, où la spécialisation et la division du travail stimulent l'efficacité. Cependant, dans ce cas, le vecteur d'attaque principal est l'interaction humaine, ce qui le rend à la fois accessible et difficile à détecter. ## Implications pour les défenseurs et les particuliers Ces menaces reflètent une nette tendance vers des opérations de fraude structurées et évolutives, posant des défis croissants tant pour les organisations que pour les particuliers. La nature décentralisée de ces écosystèmes rend la perturbation intrinsèquement difficile. La suppression d'appels individuels a un impact limité, car les composants critiques (données des victimes, opérateurs et canaux de monétisation) sont distribués et résilients. Dans le même temps, la dépendance à l'égard de sources de données compromises renforce une réalité clé : les violations en amont alimentent directement la fraude en aval. À cela s'ajoute le niveau croissant de professionnalisme. Avec des éléments tels que la supervision en temps réel, des flux de travail définis et des modèles de rémunération structurés, ces opérations deviennent plus cohérentes, efficaces et difficiles à détecter. Pour contrer cela, les défenseurs devraient prioriser : * Des mécanismes de vérification d'identité plus solides * La détection des anomalies comportementales * La sensibilisation des utilisateurs axée sur les scénarios d'ingénierie sociale en temps réel Pour les particuliers, il est important de comprendre que les appels frauduleux sont rarement aléatoires. Ils sont souvent ciblés, basés sur des données compromises, et exécutés par des professionnels. La vigilance, le scepticisme et la sensibilisation sont les meilleures défenses.