Le vishing est une cyberattaque au cours de laquelle une entité malveillante contacte la victime par téléphone et tente de gagner sa confiance par des pratiques d’ingénierie sociale. Dans cet article, vous allez apprendre la signification du phishing vocal ou vishing, les méthodes courantes et les tactiques de prévention utiles.
Qu’est-ce que le vishing ? Définition !
Le vishing est défini comme une attaque de cybersécurité au cours de laquelle une entité malveillante contacte la victime par téléphone et tente de gagner sa confiance par le biais de pratiques d’ingénierie sociale.
Ce type d’arnaque est possible grâce à une grande ingéniosité de la part des cybercriminels. En ce moment, beaucoup ce servent du sujet de la vignette Crit’air comme alibi pour vous soutirez des informations personnelles ou des coordonnées bancaires.
Quel est le but du phishing ?
Le but de l’attaquant étant d’obtenir des données confidentielles, de soutirer de l’argent de votre compte en banque ou de nuire à la personne de toute autre manière.
Comment fonctionne cette arnaque au téléphone (vishing) ?
Les arnaqueurs au vishing utilisent souvent l’usurpation de l’identité de l’appelant pour faire croire aux victimes qu’un appel téléphonique provient d’une entreprise réputée ou autre organisme trompeur.
Ils se font souvent passer pour des entités dignes de confiance afin d’inciter les victimes à communiquer leurs coordonnées. Par exemple, ils peuvent se faire passer pour un cadre d’une banque, un créancier ou tout autre institution légitime. Ces escrocs suscitent un sentiment d’urgence lorsque la victime visée répond au téléphone. L’objectif est de profiter de ses sentiments et de l’obliger à répondre aux demandes. Nul ne sait vraiment ce qu’il se trouve au bout du fil.
L’hameçonnage vocal peut être de différents types, mais l’objectif est toujours le même : tromper la victime et l’amener à révéler des informations personnelles. Que ce soit pour obtenir un avantage pécunier ou pour commettre d’autres délits tels que l’usurpation d’identité.
Malgré les progrès de la technologie numérique, les criminels ont toujours recours à l’hameçonnage téléphonique. Ils savent qu’en parlant de manière rapide et convaincante, ils peuvent prendre de nombreuses personnes au dépourvu. Si certains de ces stratagèmes sont évidents, d’autres sont suffisamment astucieux pour confondre même les personnes les plus vigilantes ; notamment lorsque l’appelant laisse entendre qu’une action immédiate est requise.
L’une des raisons pour lesquelles ces attaques peuvent être convaincantes est que les fraudeurs peuvent utiliser des informations personnelles obtenues à partir d’autres sources pour que les tentatives de vishing paraissent légitimes. Ils reproduisent également des numéros de téléphone appartenant à des entreprises connues, les faisant paraître réels sur les appels entrants. Ils peuvent même gagner votre confiance et violer les systèmes de sécurité en imitant les employés d’un centre de contact.
Exemples de types de phishing au téléphone (Vish attack)
La ligne directrice la plus importante à retenir est sans doute qu’il ne faut jamais révéler d’informations personnelles, bancaires ou professionnelles par téléphone. Il faut connaître les différents types d’attaques par vishing que les cybercriminels emploient généralement.
Wardialing
Le wardialing utilise différents types de technologies pour composer automatiquement un grand nombre de numéros de téléphone en succession rapide ; généralement pour découvrir des failles dans la sécurité et l’infrastructure informatique. Les pirates utilisent fréquemment des outils de wardialing pour trouver des modems non sécurisés ; parfois appelés « wardialers » ou « demon dialers ». Cela prend très peu de temps si le fraudeur établit la liste des numéros connectés aux modems.
Vishing basées sur la VoIP
Le transfert de la voix et du contenu multimédia via une connexion Internet est connu sous le nom de VoIP (Voice over Internet Protocol). Les utilisateurs peuvent passer des appels vocaux en utilisant la VoIP via leurs ordinateurs, leurs smartphones, d’autres plates-formes numériques comme les téléphones VoIP et les sites Web de communication en temps réel (WebRTC).
La VoIP est une technologie bénéfique tant pour les particuliers que pour les entreprises. Elle offre souvent des fonctionnalités supplémentaires qui n’existent pas dans les systèmes téléphoniques traditionnels. Elle est également utile aux entreprises en tant que moyen d’unifier les communications.
Malheureusement, la VoIP peut être exploitée par des personnes frauduleuses pour lancer des attaques de vishing. L’attaquant enregistre un domaine et crée des pages d’hameçonnage qui ressemblent à la page de connexion au réseau de l’organisation. Par conséquent, les appels VoIP lancés par l’acteur de la menace semblent provenir du même réseau. De plus, comme la VoIP nécessite souvent une action de validation multifactorielle, l’appelant peut demander à une victime de visiter la page frauduleuse et de partager ses coordonnées.
C’est pourquoi, en janvier 2021, le FBI a publié un avis mettant spécifiquement en garde les employés contre les attaques par vishing basées sur la VoIP.
La fouille de poubelles (banques, entreprises..), technique courante de vishing ?
Fouiller les poubelles physiques et numériques, appartenant à des banques, des immeubles commerciaux et d’autres institutions est un moyen facile et populaire de recueillir les coordonnées des victimes d’hameçonnage vocal.
Les criminels peuvent recueillir suffisamment d’informations à partir de documents déchiquetés, de dispositifs de stockage jetés, de vieux calendriers ou de photocopies par exemple. Le but étant de mener une attaque ciblée de vishing sur le sujet. En effet, les informations provenant des bennes à ordures peuvent aider à l’ingénierie sociale. Celle ci est essentielle au succès de toute attaque de phishing.
Outre les quatre stratégies d’hameçonnage de base mentionnées ci-dessus, une autre variante consiste à utiliser des fenêtres pop-up sur les écrans de PC pour avertir les utilisateurs du système d’exploitation de problèmes techniques.
L’utilisateur est invité à appeler le « support Microsoft » ou un équivalent et un numéro de téléphone lui est fourni pour le faire. Il est alors mis en contact avec l’acteur de la menace, qui communique avec lui en utilisant un mélange de réponses vocales automatisées et en direct pour mener à bien l’attaque par phishing.
8 pratiques de prévention des attaques d’hameçonnage par téléphone (vishing) pour 2023
Une fois qu’une personne est la proie d’une attaque par vishing, il est difficile d’en inverser les effets et de récupérer les dommages. Même si les forces de l’ordre identifient le coupable, il est difficile d’obtenir une indemnisation à la place des dommages. C’est pourquoi il est crucial de prendre des mesures proactives pour prévenir les attaques de vishing en suivant ces bonnes pratiques.
Utiliser une connexion VPN
Un réseau privé virtuel (VPN) protège les informations partagées sur l’internet et rend difficile aux fraudeurs le fait de mettre la main sur vos coordonnées. Le VPN crypte le trafic réseau et l’envoie via un tunnel sécurisé avant d’atteindre un serveur VPN qui masque votre adresse IP.
Par conséquent, les acteurs de la menace ne connaîtront pas votre emplacement, ce qui rendra difficile l’exécution d’attaques d’ingénierie sociale. La victime visée peut simplement demander à l’appelant où il se trouve pour vérifier si l’appel est légitime.
Inscrivez-vous au registre « Bloctel » pour limiter l’escroquerie au téléphone
Il s’agit d’une méthode simple pour éviter les appels téléphoniques non sollicités. Le Bloctel a été créé pour que les appelants n’aient pas à éviter les télévendeurs individuellement. Au lieu de cela, ils peuvent mettre en place une liste noire générale qui bloquera tous les appels non sollicités ou non reconnus.
Toutefois, l’utilisateur continuera à recevoir les appels des entreprises avec lesquelles il fait régulièrement affaire. Par conséquent, si un fraudeur se fait passer pour une telle entreprise, on ne sera pas à l’abri à 100 %. Cette pratique constitue la première ligne de défense contre les attaques de vishing.
Gardez un œil sur les appels « urgents » pour éviter le vishing
Lorsqu’un appelant crée un sentiment d’urgence, cela doit être considéré comme un signal d’alarme. Par exemple, les auteurs de vishing peuvent essayer de convaincre la victime qu’il pourrait y avoir des conséquences négatives si elle ne communique pas réellement ses coordonnées bancaires ou ne paie pas immédiatement une facture impayée. Autre ruse courante : un appelant prétend que l’ordinateur de la victime est infecté par un virus ou qu’il infecte d’autres machines sur le réseau de l’entreprise.
On peut soit raccrocher, soit demander les coordonnées de l’appelant et mentionner qu’on le rappellera plus tard. S’il s’agit d’une fraude, l’appelant exercera généralement une pression supplémentaire ou raccrochera.
Vérifiez le moment de la journée où l’appel a lieu
Les escrocs essaient généralement d’imiter une entreprise connue de la victime. Mais ils peuvent opérer à partir d’un fuseau horaire différent ou ne pas connaître les heures de travail de l’entreprise. Il faut garder à l’esprit que si une organisation vous appelle réellement, elle ne le fera que pendant les heures de travail.
Elle est également susceptible de partager une transcription de l’appel ou une enquête de suivi pour renforcer la relation. Les appels à des heures inhabituelles, sans contexte, sont des signes d’alerte qui permettront de prévenir les attaques d’hameçonnage par la voix (vishing). En outre, lors d’un appel téléphonique inattendu, une organisation ou l’équipe informatique de votre entreprise ne cherchera jamais à accéder à votre ordinateur.
Utilisez des outils de blocage des robocalls
Les outils de blocage des robocalls, communément appelés filtres d’appels, sont des logiciels qui détectent les appels automatisés. Si une entité tierce a utilisé des techniques de wardialing, le bloqueur de robocall l’identifiera et le bloquera immédiatement. Plusieurs opérateurs télécoms proposent des bloqueurs de robocalls dans le cadre de leur offre.
Ne répondez pas aux numéros de téléphone inconnus
Les fraudeurs n’utilisent pas toujours une seule source pour contacter leurs victimes. Le blocage des numéros de téléphone n’est pas toujours pratique. S’ils composent votre numéro à partir de plusieurs services VoIP différents et tentent d’obtenir des informations d’identification, il faut rester vigilant à tout moment. L’approche la plus simple pour éviter ce genre de situation est de ne jamais accepter d’appels inconnus.
Évitez de répondre au téléphone ou d’annuler l’appel si vous voyez un numéro inhabituel. Essayez d’utiliser votre mécanisme d’authentification à deux facteurs en demandant à l’appelant de vérifier son identité par SMS ou sur les médias sociaux.
En outre, les professionnels de l’informatique doivent examiner régulièrement les applications VoIP de leur entreprise pour détecter tout accès ou activité non autorisé. Les journaux d’accès des utilisateurs authentifiés doivent être vérifiés et audités, et les journaux d’appels doivent être surveillés pour détecter les interactions inhabituelles ; par exemple, après les heures de travail.
Proposer et suivre une formation à l’ingénierie sociale pour limiter le vishing
L’éducation et la sensibilisation à la cybersécurité sont souvent la meilleure protection contre les attaques de cybersécurité liées à l’ingénierie sociale. Il est possible d’effectuer des recherches proactives sur les incidents de vishing et d’apprendre de l’expérience d’autres personnes sur la façon dont les escrocs les ont affectées ; ou comment elles ont réagi à l’incident. Cela vous aidera à évaluer les personnes qui ont été touchées et l’étendue des dégâts.
Les organisations devraient elles aussi proposer des formations dans le cadre de leur campagne interne de sensibilisation à la cybersécurité. Les utilisateurs doivent être conscients des vulnérabilités psychologiques qu’un attaquant pourrait cibler et éviter de s’engager dans de telles conversations. Les entreprises peuvent simuler des appels d’hameçonnage dans un environnement sûr afin de former les employés à la réaction et à la réponse les plus appropriées.
Appliquer une politique de confiance zéro
La confiance zéro n’est pas seulement une mesure de cybersécurité qui permet d’appliquer le principe du moindre privilège d’accès aux données et aux systèmes de l’entreprise. Elle doit être le moteur d’une culture organisationnelle afin que les équipes et les individus authentifient l’identité d’une personne avant de partager des informations avec elle. Pour y parvenir, les organisations peuvent créer des documents et des manuels de politique de confiance zéro qui couvrent les conversations téléphoniques.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !
Questions fréquemment posées sur le vishing
Quelle est la traduction du mot vishing ?
Il n'y a pas de traduction littérale au mot Vishing. C'est simplement un mot issu de la contraction "VOIP/Voice" ainsi que "Phishing".
Quels sont les deux types de phishing ?
Il existe plusieurs types de phishing, nous venons de voir le vishing, voyons désormais le smishing.
C'est quoi le smishing ou phishing par SMS ?
Le smishing est une contraction de SMS et de phishing. C'est une technique d'arnaque courante par SMS qui permet à un acteur malveillant une prise de contrôle et/ou la mise en place d'opérations frauduleuses.
Bien évidement d'autres techniques de phishing, un peu moins usitées, sont également utilisées par les pirates informatiques. Parmi eux on retrouve : l'e-mail phishing, le spear phishing, le whaling ou encore le pharming.
Comment reconnaître un numéro de téléphone malveillant ?
Les numéros de téléphone malveillants sont souvent utilisés par des criminels pour mener des attaques de vishing contre les consommateurs. Pour vous protéger, il est important de savoir comment reconnaître un numéro de téléphone malveillant. Les numéros de téléphone malveillants sont souvent des numéros à l'international, des numéros à plusieurs chiffres, ou des numéros qui sont associés à une activité frauduleuse connue.
Comment vérifier un numéro de téléphone suspect qui tenterait une attaque de vishing ?
La meilleure façon de vérifier si un numéro de téléphone est suspect est de rechercher ce numéro en ligne. Vous pouvez également consulter les forums et les réseaux sociaux pour voir si quelqu'un a déjà signalé ce numéro comme étant lié à une fraude.
De plus, vous pouvez vous renseigner auprès de votre fournisseur de télécommunications pour vérifier si ce numéro a été signalé comme étant lié à un vishing.
Comment se fait le phishing ?
Le vishing, ou l'utilisation de l'audio pour le phishing, est une forme de fraude qui consiste à utiliser des appels téléphoniques ou des messages vocaux pour tromper les victimes et voler leurs informations personnelles. Les pirates informatiques appellent leurs victimes et leur demandent de fournir des informations sensibles telles que des numéros de cartes de crédit, des codes d'accès ou des mots de passe.