Le vishing est une forme particulière d'attaque par hameçonnage. La lettre "v" indique que cette forme d'attaque se fait par le biais de la voix au téléphone. Le vishing incite les victimes à donner leurs informations personnelles. Ces tentatives peuvent également faire appel à des techniques d'ingénierie sociale telles que le "pretexting" et à des astuces telles que l'usurpation de l'identité de l'appelant. Les hameçonneurs utilisent généralement la technologie VoIP (Voice over Internet Protocol), qui vous permet de passer des appels en utilisant votre connexion Internet à large bande au lieu d'une ligne téléphonique ordinaire. Cela rend leurs efforts plus efficaces. Que devez-vous savoir sur le vishing et les attaques par hameçonnage ?
Comment fonctionne le vishing ?
Le vishing a pour but de soutirer des données personnelles à la cible visée, le plus souvent dans le but d'en tirer un avantage financier. Le vishing consiste à contacter la victime par téléphone et à lui demander des informations confidentielles, telles que des numéros de compte, des mots de passe, des codes PIN et des numéros de sécurité sociale.
Quelqu'un peut prétendre que les données qu'il demande sont nécessaires pour vérifier les comptes des clients ou améliorer leur protection de sécurité, etc. Tout cela n'est qu'une habile façade d'ingénierie sociale, qui tente de gagner la confiance d'une victime peu méfiante.
Ces criminels peuvent également utiliser une sorte d'argumentaire commercial sur des cadeaux gratuits ou des taux d'intérêt bas pour inciter leurs victimes à donner des informations personnelles. Le hameçonnage vocal n'est pas une nouvelle forme d'escroquerie, mais il a évolué pour devenir une menace beaucoup plus dangereuse de nos jours. Cela est dû principalement au fait que la technologie d'appel VoIP a été rendue compatible avec les robots d'appel. Ce progrès technologique a permis à ces opérations de fonctionner à plus grande échelle et donc d'être beaucoup plus rentables pour ceux qui les conçoivent.
Le hameçonnage peut être très efficace en ciblant des milliers de personnes à la fois, car la connexion se fait en temps réel, alors qu'avec le hameçonnage et les courriels traditionnels, le destinataire a le temps d'analyser et de répondre.
Comment repérer une attaque par vishing ?
Lorsque quelqu'un vous appelle à l'improviste et vous demande de lui transmettre vos données, le hameçonnage devrait être la première chose qui vous vient à l'esprit. Ce n'est peut-être pas vrai dans 100% des cas, mais il est essentiel d'en être conscient. Le fait est qu'aucune entreprise digne de ce nom ne devrait contacter un client par téléphone pour modifier ou discuter de ses données à ce moment précis. Le cas échéant, votre responsable ou votre représentant peut vous appeler pour vous informer que quelque chose ne va pas et vous encourager à changer quelque chose au plus vite, mais il ne vous demandera jamais vos identifiants, numéros de compte bancaire ou mots de passe. Si l'on vous demande l'un de ces éléments, raccrochez et signalez le numéro à votre opérateur et à la société que l'on a essayé d'usurper.
Les fraudeurs essaient généralement de prouver qu'ils sont authentiques et d'authentifier leur identité en mentionnant des détails spécifiques sur vous ou votre compte. Ils peuvent prétendre appeler d'une institution financière, d'une société de cartes de crédit, d'une assistance technique, etc.
Même si l'identifiant de l'appelant correspond à l'entreprise qu'il prétend appeler, il peut s'agir d'une usurpation. Les fraudeurs peuvent utiliser des logiciels spécialisés pour modifier les numéros qui s'affichent sur votre identification d'appelant. Vous devez donc toujours être vigilant et vérifier l'intégralité de leur numéro par un autre canal avant de répondre ou de donner quelque information personnelle que ce soit. En cas de doute, ne prenez même pas la peine de répondre au téléphone.
Exemples notables d'attaques par vishing
Comme vous pouvez probablement le deviner, et comme nous l'avons déjà mentionné, il s'agit de l'une des plus vieilles ruses du livre. Seulement maintenant, avec les appels robotisés et une technologie beaucoup plus sophistiquée à leur disposition, les vishers deviennent de plus en plus dangereux. Tout au long de l'histoire, il y a eu de nombreux exemples valables d'attaques par vishing.
L'IRS exige des paiements en cartes-cadeaux iTunes
L'une d'elles qui me vient à l'esprit est celle qui s'est produite en 2015, à travers les États-Unis. Vishers a ciblé près d'un million de personnes tout autour des États-Unis en se faisant passer pour des employés de l'IRS et en demandant des paiements pour les impôts et les amendes dus, liés à la mauvaise gestion des impôts, et à des questions similaires. Tout semble bien se passer jusqu'à ce que l'on apprenne comment le paiement a été demandé. Avec des cartes-cadeaux iTunes !
Des milliers de personnes sont tombées dans le panneau et ont transféré jusqu'à 500 dollars de cartes-cadeaux iTunes par demande. Cependant, désolé, mais les victimes ne peuvent s'en prendre qu'à elles-mêmes pour n'avoir apparemment pas pris conscience de la situation. Lorsque des agents du fisc ou de l'IRS vous appellent pour percevoir un paiement via des cartes-cadeaux iTunes, vous devez savoir que quelque chose ne va pas.
Escroqueries à l'identification pour les services bancaires mobiles en Europe
Une autre arnaque très répandue de nos jours, réalisée par smishing et vishing, concerne l'Europe. Elle s'appelle tout simplement l'arnaque du Mobile Bank ID.
En Scandinavie et dans de nombreux autres pays de l'UE, il existe des applications d'identification distinctes que les gens utilisent pour se connecter à la banque en ligne et authentifier les transactions. Elles sont intégrées, mais entièrement indépendantes et distinctes des banques (une sorte de 2FA).
Dans cette arnaque, les pirates suédois du vishing contactaient les clients des banques, s'identifiaient comme des représentants de la banque et présentaient un problème de sécurité inquiétant concernant leur identifiant bancaire. Ils les encourageaient à suivre quelques étapes simples pour vérifier si le compte avait été compromis ou non à l'aide de l'application ID. Pendant ce temps, les utilisateurs autorisent l'accès à leurs comptes, sans même donner leur mot de passe. Une ingénierie sociale très intelligente, qui semble inoffensive pour l'utilisateur. Une fois connectés aux comptes, les vishers les vident, et comme les virements particuliers sont très difficiles à suivre et à annuler, l'argent est tout simplement volé.
Depuis lors, les applications d'identification bancaire ont été mises à jour pour prévenir cette forme de fraude par hameçonnage vocal, mais le smishing reste très répandu.
Une arnaque d'un million de dollars autour de Noël
En 2010, un escroc a contacté l'une des plus grandes banques d'Europe du Nord et s'est fait passer pour le représentant d'une grande entreprise cliente. Pendant quelques semaines, il a appelé fréquemment les bureaux, gagnant la confiance des employés de la banque, mais surtout d'une personne du département des services aux entreprises.
Juste avant Noël, le visiteur a appelé et demandé un transfert inhabituel et immédiat de 7,5 millions de dollars vers des comptes dédiés à l'étranger. Les employés de la banque, qui s'étaient déjà familiarisés personnellement avec l'appelant, ont accédé à la demande sans trop de vérifications supplémentaires. Comme cela s'est produit juste avant Noël, le client n'a remarqué la disparition des fonds qu'après les fêtes, alors qu'ils avaient disparu depuis longtemps.
Comme vous pouvez le constater, le Vishing fait partie de ce qui est de loin la plus grande catégorie d'Internet et de cybercriminalité, représentant près de 35% du total des dommages financiers annuels. Il vaut la peine d'être connu pour aider à le repérer et à le prévenir à l'avenir.
Les attaques par vishing sont-elles plus dangereuses que le smishing ou le phishing par e-mail ?
Pour être franc, il n'y a pas de limite aux dégâts en cas d'attaque par vishing. Même si certaines mesures préventives existent et que de plus en plus de personnes prennent conscience de la manière dont cela fonctionne, les criminels ne restent pas non plus immobiles et trouvent des moyens d'innover, de progresser et d'exploiter les nouvelles technologies à leur profit.
Mais le vishing est-il un phénomène dont vous devriez vous inquiéter ? Ou peut-être est-ce les autres versions de ces escroqueries qui se produisent par le biais de messages SMS - Smishing et email phishing - qui devraient vous inquiéter ?
Dans tous les sens du terme, le vishing est une version plus sophistiquée du phishing et du smishing par e-mail. Quelle est la différence ? La communication en temps réel et le fait d'entendre la voix d'une autre personne offrent beaucoup plus de possibilités de gagner rapidement en confiance.
Répondez à la question suivante : quand croyez-vous que les gens sont le plus susceptibles d'acheter des choses, lorsqu'ils reçoivent un courriel froid, un SMS inattendu ou lorsqu'ils sont appelés personnellement ? Oui, il y a quelque chose dans la communication vocale qui fait que les gens font davantage confiance aux autres et aux informations qu'ils partagent.
Il est facile de falsifier un e-mail, il est facile d'écrire quelque chose qui n'est pas vrai. Mais il y a quelque chose chez les gens qui pousse la victime à croire que la personne à l'autre bout du fil est bien celle qu'elle prétend être. Qui plus est, la protection contre le hameçonnage est beaucoup moins avancée que celle contre le hameçonnage par courriel et le smishing.
Conclusion
Si vous vouliez en savoir plus sur le vishing, nous espérons que cet article vous a apporté les connaissances dont vous avez besoin. Bien que vous puissiez utiliser des logiciels de protection, rien ne remplace une sensibilisation accrue et un effort pour repérer les attaques par hameçonnage vocal avant et au moment où elles se produisent. Le plus important : ne baissez pas votre garde. Quels que soient l'auteur de l'appel ou les problèmes de sécurité évoqués, soyez toujours plus méfiant face à des demandes étranges et ne faites pas tout de suite ce qui vous met mal à l'aise. Gardez à l'esprit que personne ne devrait demander des mots de passe, des codes d'accès ou des informations sur un compte bancaire par téléphone. Prenez votre temps et contactez une source secondaire pour vérification.