Veille Fraude Fintech · AF-2026-018 · Semaine du 21 avril 2026
TL;DR
🔴 ATHR — vishing IA automatisé : le faux conseiller bancaire devient scalable, sans opérateur humain
🔴 Phishing fiscal DGFiP actif **: campagne personnalisée par stocks de données volées, fenêtre jusqu'au 5 juin
🟠 ACPR/Tracfin vIBAN : alerte blanchiment systémique, préambule d'action superviseure dans 12-18 mois
🟡 Opération Atlantic : 12M$ gelés, 20 000 wallets compromis, modèle public-privé désormais opérationnel
Signal 1 — ATHR : le vishing IA industrialise le faux conseiller bancaire
Impact : 🔴
Mécanisme :
ATHR est une plateforme cybercriminelle vendue sur forums underground pour 4 000 dollars plus 10% de commission sur les profits. Elle automatise l'intégralité du TOAD (Telephone-Oriented Attack Delivery) : email d'hameçonnage ciblé passant les filtres techniques, appel entrant simulé par un agent IA vocal guidé par des scripts adaptatifs, récolte des identifiants et codes OTP. Huit services supportés au moment de l'analyse d'Abnormal Security : Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo, AOL. Le délai moyen entre l'envoi de l'email et la récolte des credentials est inférieur à 10 minutes. La plateforme intègre un outil de construction de scripts IA, des templates d'emails par marque, et des mécanismes de spoofing d'expéditeur.
Ce que ça signifie pour vous :
PSP/acquéreur : le pattern d'attaque est "email + appel entrant + tentative d'accès interface sensible dans les 10 minutes suivantes". Ce pattern est détectable si les logs d'appels entrants sont corrélés aux logs d'accès session en temps réel. La grande majorité des systèmes de détection bancaires actuels ne font pas cette corrélation.
Néobanque/BaaS : la barrière d'entrée pour le vishing s'est effondrée cette semaine. Un fraudeur sans compétences téléphoniques peut désormais lancer des campagnes massives multi-cibles. Anticipez une hausse significative du volume d'attaques vishing sur les 3 prochains mois, alimentée par les stocks de données ANTS et FICOBA.
Équipe fraude corporate : le comportement victime est identique au faux conseiller bancaire classique. Les scénarios de formation doivent être mis à jour sur un point essentiel : il est désormais impossible de distinguer un humain d'un agent IA au téléphone sans protocole de vérification hors bande.
Action concrète : implémenter une règle de détection sur le pattern "appel entrant + accès interface sensible dans les 10 minutes suivantes" et déclencher une friction supplémentaire (confirmation hors bande, délai forcé) avant tout virement initié dans cette fenêtre temporelle.
Pattern clé : le faux conseiller bancaire était artisanal. Le +159% Cybermalveillance 2025 était le résultat de travail humain. ATHR le rend scalable à coût marginal quasi nul.
Signal 2 — Phishing fiscal DGFiP : saisonnalité exploitée dès J+1
Impact : 🔴
Mécanisme :
La campagne de déclarations fiscales 2026 a ouvert le 9 avril. Les premières vagues phishing usurpant la DGFiP ont été détectées dès J+1. Emails signés de faux fonctionnaires (dont une "inspectrice générale des finances"), prétextes de saisies fictives et de remboursements. La personnalisation est rendue possible par le stock FICOBA (1,2M d'IBAN DGFiP compromis) + Free (5M) + Bouygues (6,4M) + désormais ANTS (10 à 19M d'identités état civil divulguées le 20 avril). La fenêtre d'exposition court jusqu'au 5 juin 2026, date limite de déclaration.
Ce que ça signifie pour vous :
PSP/acquéreur : les virements déclenchés dans les 24h suivant un clic email ou un appel entrant constituent le signal opérationnel à surveiller. Le vecteur fiscal crée une urgence perçue ("régularisation immédiate", "remboursement bloqué") qui court-circuite la vigilance habituelle et pousse à agir vite.
Néobanque/BaaS : les ouvertures de compte alimentées par de faux documents d'identité vont augmenter pendant la période fiscale. Les contrôles KYC sur les pièces d'identité doivent être renforcés, notamment pour les demandes accompagnées d'une adresse ou situation fiscale récemment modifiée.
Équipe fraude corporate : le prétexte fiscal touche aussi les entreprises via BEC à thème fiscal (remboursements TVA fictifs, régularisations charges sociales). Les équipes comptabilité sont une cible directe. Un mail "de la DGFiP" demandant un virement de régularisation en urgence est un signal d'alerte maximal.
Action concrète : déployer une alerte proactive clients sur le phishing DGFiP cette semaine. Ajouter une règle de détection sur les virements vers nouveaux bénéficiaires dans les 24h suivant une session de déclaration fiscale ou un appel entrant.
Pattern clé : la saisonnalité fiscale est désormais exploitée dès le jour d'ouverture de la campagne, pas en fin de cycle. La fenêtre de réaction défensive se comprime à zéro.
Signal 3 — ACPR/Tracfin vIBAN : préambule d'action superviseure
Impact : 🟠
Mécanisme :
Le 13 avril 2026, l'ACPR et Tracfin publient conjointement "Panorama et analyse des services d'IBAN virtuels offerts en France". Enquête menée en 2023 auprès de 23 établissements, publiée 3 ans après. Deux méthodes d'usage à haut risque formellement identifiées. La structure vIBAN — plusieurs codes IBAN associés à un seul compte de paiement réel — crée une couche d'opacité exploitée pour la dissimulation d'origine des fonds, la structuration de flux et le blanchiment transfrontalier SEPA. Le rapport inclut des études de cas Tracfin : ce n'est plus un risque théorique, c'est un risque documenté avec jurisprudence interne.
Ce que ça signifie pour vous :
PSP/acquéreur : ce rapport est un signal avant-coureur standard dans la méthode de supervision de l'ACPR. Les contrôles sur place ciblant les vIBAN suivent dans les 12 à 18 mois, sans exception historique connue. Si vous proposez des vIBAN à vos clients, vous êtes en scope.
Néobanque/BaaS : la traçabilité du bénéficiaire effectif sur chaque sous-IBAN devient l'enjeu central. Un dispositif LCB-FT qui traite le vIBAN comme un simple alias IBAN est insuffisant. Il faut des contrôles de cohérence spécifiques par sous-IBAN, avec historique de flux.
Équipe fraude corporate : les vIBAN sont utilisés comme comptes rebonds dans les schémas BEC avancés documentés par Tracfin. La vérification de la nature de l'IBAN bénéficiaire (vIBAN vs IBAN standard) doit entrer dans les procédures de contrôle des virements entrants sur de nouveaux tiers.
Action concrète : lancer un audit de la cartographie vIBAN active d'ici 30 jours. Documenter les flux réels par sous-IBAN. Constituer le dossier de réponse superviseur avant qu'il soit demandé.
Pattern clé : 3 ans entre l'enquête (2023) et la publication (2026). Ce délai n'est pas une lenteur administrative. C'est la préparation documentaire d'un dossier de supervision.
Signal 4 — Opération Atlantic : le modèle public-privé est opérationnel
Impact : 🟡
Mécanisme :
Opération conduite par la NCA britannique avec le FBI et la Police provinciale de l'Ontario sur une semaine fin mars 2026, résultats publiés mi-avril. Cible : l'approval phishing, qui convainc la victime de signer une délégation de permission sur son wallet crypto sous prétexte d'un investissement ou d'une mise à jour de sécurité. Bilan : 45M$ de fonds frauduleux identifiés dans 30+ pays, 12M$ gelés, 20 000 adresses de wallets compromises répertoriées. Première opération à ce niveau où les plateformes crypto privées ont participé en temps réel au traçage, permettant d'identifier et protéger des victimes avant la perte totale de leurs fonds.
Ce que ça signifie pour vous :
PSP/acquéreur : le modèle de collaboration public-privé temps réel est désormais documenté et reproductible. Les partenariats avec les plateformes crypto pour le partage de signaux fraude ne sont plus optionnels si vous opérez dans l'écosystème actifs numériques. Le prochain appel à participation viendra probablement d'Europol.
Néobanque/BaaS : l'approval phishing cible en premier les utilisateurs d'apps intégrant un wallet ou une interface de gestion crypto. Si votre produit propose ce type d'interface, les patterns d'approbation de contrats non répertoriés doivent être monitorés avec des alertes dédiées.
Équipe fraude corporate : le FBI IC3 2025 documente 11,3Md$ de pertes crypto US, dont 7,2Md$ via arnaques à l'investissement. L'approval phishing est le premier maillon de la chaîne. Former les équipes qui gèrent des trésoreries crypto ou des wallets d'entreprise sur ce vecteur spécifique.
Action concrète : implémenter des alertes sur les approbations de contrats intelligents non répertoriés sur les wallets clients. Former les équipes support à identifier les victimes d'approval phishing entrant.
Pattern clé : 45M$ identifiés, 12M$ gelés, 33M$ introuvables. Ratio de récupération de 27%. C'est le chiffre opérationnel réel, pas le chiffre de communication.
Lecture stratégique
Ces quatre signaux décrivent une infrastructure criminelle structurée en couches complémentaires qui fonctionnent simultanément.
Le stock de données (FICOBA + Free + Bouygues + ANTS) fournit la personnalisation. ATHR fournit l'automatisation du contact. Le prétexte fiscal fournit la légitimité contextuelle. Les vIBAN fournissent le circuit de blanchiment. L'approval phishing crypto constitue un canal alternatif de sortie des fonds.
Ce qui est nouveau cette semaine, c'est la simultanéité de la documentation de ces quatre couches. Ce n'est pas une coïncidence éditoriale. C'est la description d'un marché de la fraude qui a atteint une maturité industrielle.
La conséquence pratique pour les équipes de défense est simple : les règles de détection mono-signal sont structurellement insuffisantes. Il faut des corrélations multi-signaux dans des fenêtres temporelles courtes, inférieures à 10 minutes pour ATHR, inférieures à 24h pour le phishing fiscal.
Signal faible de la semaine
Le MiCAR deadline du 1er juillet 2026 comme vecteur de fraude organisée.
40% des prestataires crypto actifs en France ont explicitement refusé de se conformer. 30% n'ont pas répondu à l'AMF. Dans 71 jours, ces plateformes seront en situation illégale sur le sol français.
Le scénario à surveiller : des acteurs non conformes qui organisent une migration forcée de leurs clients vers des plateformes tierces non régulées, en usurpant l'urgence réglementaire comme prétexte. "Votre compte sera bloqué au 1er juillet, transférez vos fonds immédiatement vers cette plateforme partenaire." Ce script est prévisible. Il n'est pas encore documenté mais constitue une surface d'attaque évidente.
A surveiller cette semaine
Notification CNIL sur la fuite ANTS : délai légal de 72h sous RGPD article 33. Deadline mercredi 22 avril. Si la notification publique n'est pas publiée, c'est un manquement documentable.
FNC-RF : J-15 au 6 mai. Vérifier si la Banque de France a publié des précisions techniques sur les modalités d'alimentation du fichier.
KelpDAO/Aave governance : vote en cours sur le traitement des 123M$ à 230M$ de pertes potentielles suite au hack du 18 avril. Précédent de résolution DeFi à surveiller pour les équipes crypto EU.
AMF blacklist semaine 17 : kempia.com/kempi[[]]a[.]io signalé sans agrément. Entrée formelle probable cette semaine.
Verdict procès FCB Paris (11 prévenus / 740k€) : toujours en attente.
Checklist — Ce que vous devez faire cette semaine
- [ ] Implémenter la règle de détection "appel entrant + accès session sensible dans les 10 minutes" dans les outils de monitoring
- [ ] Déployer une alerte proactive clients sur le phishing DGFiP cette semaine, pas en fin de campagne
- [ ] Lancer l'audit cartographie vIBAN avec deadline interne fixée avant fin mai
- [ ] Vérifier si les interfaces crypto/wallet proposées aux clients déclenchent des alertes sur les approbations de contrats non répertoriés
- [ ] Adapter les contrôles KYC et la communication clients si vous avez des utilisateurs dont les données ANTS sont exposées
- [ ] Vérifier la roadmap FNC-RF : J-15 au 6 mai, les PSP en retard ne peuvent plus rattraper l'échéance sans plan d'urgence
Sources
ACPR — Rapport IBAN virtuels (13/04/2026)
Numerama — Analyse IBAN virtuels
BleepingComputer — ATHR vishing platform (17/04/2026)
Les Numériques — Phishing DGFiP (14/04/2026)
Help Net Security — Opération Atlantic (13/04/2026)
