Vishing ou hameçonnage par téléphone : mais qui est au bout du fil?
CybersécuritéTribunes

Vishing ou hameçonnage par téléphone : mais qui est au bout du fil?

Par Vincent Merlin, Vice-Président, Marketing International, Proofpoint, Inc.

Pour obtenir des informations personnelles d’un individu, la meilleure option est de l’appeler et de lui demander. Il faut un peu d’habileté mais souvent, cela fonctionne. Les stratégies basées sur la persuasion et l’intimidation sont assez efficaces. N’en déplaise aux démarcheurs professionnels ou aux agents de recouvrement menaçants qui persuadent (régulièrement) leurs interlocuteurs de fournir leurs informations financières par téléphone.

Comment savoir avec certitude si notre interlocuteur est légitime ou si nous sommes la cible d’une attaque de  » vishing « , autrement dit un hameçonnage par téléphone ?

Le vishing est une fraude par téléphone qui s’appuie sur des techniques d’ingénierie sociale pour obtenir des informations confidentielles, souvent financières, de consommateurs ou de collaborateurs d’entreprise. Bien que moins courant que le phishing qui se base sur les emails, le vishing constitue néanmoins une menace importante. Selon une étude, 45% des personnes interrogées avaient déjà subi une attaque de vishing ou de smishing (par SMS) en 2017.

Le vishing et les consommateurs

Dans de nombreux cas de vishing, l’escroc se fait passer pour un employé de banque et informe la victime d’une activité suspecte sur son compte bancaire. Pour résoudre ce problème, le client doit appeler un numéro gratuit et parler à un agent. Cet appel sera bien sûr redirigé vers un interlocuteur malveillant, qui enregistrera les informations bancaires de la victime et les utilisera ensuite pour transférer de l’argent du compte. Les cybercriminels les plus expérimentés parviennent même parfois à persuader les victimes de transférer elles-mêmes les fonds.

Certaines attaques de vishing commencent par un email de phishing qui invite la victime à appeler un numéro pour résoudre un problème, ou par un message vocal contenant des instructions similaires. D’autres, plus sophistiquées, s’appuient sur un malware mobile. Une fois installé sur le smartphone de la victime, ce programme peut intercepter les appels qu’un utilisateur tente de passer à une banque et les rediriger vers un escroc qui imitera un employé de la banque.

Le vishing et les entreprises

Le vishing est également très utilisé dans le cadre professionnel, pour dérober des données, accéder à des réseaux confidentiels et bien sûr détourner des fonds. Souvent, le vishing est l’une des composantes d’attaques plus globales, par compromission de courriers électroniques professionnels (BEC). Les attaques BEC commencent souvent par la collecte d’informations par le biais de recherches en ligne, de vishing et de phishing. Un cybercriminel peut inciter des employés peu méfiants à fournir des informations apparemment inoffensives, par exemple des détails sur la structure de la société ou les projets de déplacement des cadres dirigeants. Ces informations peuvent ensuite être utilisées pour usurper l’identité d’un cadre supérieur et convaincre un employé de virer des fonds sur un compte frauduleux ou divulguer des informations de connexion.

Il est probable que ce type d’attaques par vishing soit sous-évalué car les gens ne réalisent pas nécessairement qu’ils ont été escroqués. Il n’est pas toujours facile de voir le lien qui existe entre la divulgation d’informations d’apparence inoffensive et une cyberattaque de grande ampleur.

Conseils pour ne pas être victime de vishing

Voici quelques conseils pour éviter ce type d’arnaque :

  • Réfléchissez avant de parler. Les escrocs veulent que vous agissiez et donniez des informations sans réfléchir. Votre interlocuteur peut paraître sincère et digne de confiance, mais cela ne signifie pas pour autant qu’il l’est réellement.
  • Soyez très vigilant lors d’appels automatisés. Méfiez-vous des interlocuteurs qui tentent de vous effrayer ou qui proposent un cadeau ou une offre spéciale.
  • Sachez qu’il est facile pour des escrocs d’usurper l’identité d’un appelant.
  • Vérifiez les numéros de téléphone avant de rappeler. Si on vous invite à composer un numéro gratuit, recherchez vous-même le bon numéro en ligne ou au dos de votre carte de crédit par exemple.
  • Utilisez un autre téléphone pour rappeler. Les fraudeurs peuvent garder la ligne connectée même si vous raccrochez et essayez d’appeler le numéro correct de votre banque. Vous pensez avoir joint la banque, mais vous êtes toujours connecté à l’escroc.

Le conseil le plus sage pour éviter tout risque d’attaque de vishing étant probablement le suivant :  » En cas de doute, raccrochez ! « 

Send this to a friend