Les cybercriminels ne manquent pas d’inventivité pour renouveler les modes opératoires du phishing : quishing et smishing en sont des exemples concrets.
Mais il existe également le vishing, une forme de phishing vocal, qui est de plus en plus répandue. D’après la plateforme cybermalveillance.gouv.fr, en 6 mois, 1 500 personnes ont été victimes de cette arnaque.
Dans cet article, nous revenons sur ce qu’est le vishing, pourquoi il constitue un enjeu majeur de cybersécurité et comment s’en protéger ?
Qu’est-ce que le vishing ?
Le vishing, contraction de « voice » (voix) et « phishing », est une technique d’escroquerie qui utilise les appels téléphoniques pour tromper les victimes en se faisant passer pour des institutions ou des entreprises officielles et leur soutirer des informations personnelles, financières ou confidentielles. Contrairement au phishing traditionnel, qui se fait par mail, le vishing se déroule principalement par téléphone.
Comment fonctionne le vishing ?
Les cybercriminels utilisent diverses méthodes pour mener des attaques de vishing :
- 1. Les appels automatisés
Les attaquants peuvent utiliser des systèmes automatisés pour passer des appels en masse, avec des listes de numéros de téléphone sans spécialement choisir leurs victimes. Ces appels contiennent souvent des messages préenregistrés qui incitent les victimes à rappeler un numéro et à ensuite fournir des informations personnelles. C’est, par exemple, souvent le cas des propositions de diagnostics d’électricité.
- 2. L’usurpation d’identité
La méthode la plus courante est sans doute la technique de l’usurpation d’identité. Les escrocs se font passer pour des entités de confiance ou officielles telles que des banques, des services gouvernementaux ou des entreprises de renom. Ils utilisent des techniques d’ingénierie sociale pour gagner la confiance de leur victime.
- 3. Les numéros falsifiés
Les attaquants peuvent masquer leur véritable numéro de téléphone et faire apparaître celui d’une entité légitime qui s’affichera sur le téléphone de sa victime, pour gagner sa confiance et éviter qu’elle se méfie.
Dans toutes ces techniques, la pression est une dénominateur commun. En effet, les attaquants vont faire peur à leur victime et la pousser à agir dans l’urgence, sans réfléchir. Par exemple, ils peuvent prétendre qu’un compte bancaire a été compromis et que des actions immédiates sont nécessaires pour éviter des pertes financières immédiates.
Quelques exemples de scenarii de vishing
- L’anarque aux faux support technique : Cette attaque commence généralement par un message sur votre ordinateur, vous informant qu’un virus a été trouvé et vous pressant d’appeler l’assistance via un numéro de téléphone. Un escroc décroche en prétendant être un technicien informatique et confirme à la victime qu’un problème a bien été détecté sur son ordinateur. Il lui demande ensuite de lui fournir des informations d’accès ou d’installer un logiciel malveillant pour poursuivre son attaque (voler des identifiants, prendre le contrôle de l’ordinateur à distance, etc).
- L’appel de fraude bancaire : La victime reçoit un appel d’une personne se faisant passer pour un représentant de sa banque, lui indiquant que son compte a été compromis. On lui demande alors de fournir des informations sensibles, comme des numéros de carte de crédit, des RIB ou des mots de passe et souvent même de valider des opérations avec son application bancaire.
- Les arnaques aux comptes gouvernementaux : Les attaquants prétendent être des agents des impôts ou d’autres services gouvernementaux, menaçant la victime de poursuites légales ou d’amendes si elle ne fournit pas rapidement des informations personnelles pour régulariser sa situation.
- Les deepfake : Les voix peuvent également être imitées par intelligence artificielle. Par exemple, un deepfake audio peut être utilisé pour imiter la voix d’un dirigeant d’entreprise et demander le transfert des fonds vers un compte frauduleux.
Pourquoi le vishing est-il un enjeu de cybersécurité ?
Le vishing constitue un enjeu de cybersécurité à plusieurs titres :
Le ciblage de victimes vulnérables
Les attaques de vishing ciblent souvent des personnes vulnérables, comme les personnes âgées ou celles qui ne sont pas familières avec l’informatique et la cybersécurité. Ces victimes sont plus susceptibles de faire confiance à des appels téléphoniques et de fournir des informations personnelles.
Des difficulté de détection
Contrairement aux mails de phishing, les attaques de vishing ne laissent pas de traces numériques facilement analysables par les logiciels de sécurité. Cela rend leur détection et leur prévention plus difficiles.
Un risque d’usurpation d’identité
Le vishing peut conduire à des vols d’identité dont les conséquences pour les victimes peuvent être dramatiques. En effet, les informations personnelles et financières des victimes peuvent par exemple être utilisées pour ouvrir des comptes bancaires frauduleux, contracter des prêts, effectuer des achats non autorisés ou faire des choses illégales.
Un risque de pertes financières
Les victimes de vishing peuvent subir des pertes financières importantes si elles divulguent des informations bancaires ou de carte de crédit aux attaquants. Les entreprises peuvent également être affectées si des informations confidentielles ou stratégiques sont compromises.
Comment se protéger contre le vishing ?
Une sensibilisation nécessaire
Il est crucial de sensibiliser les individus et les organisations à l’existence et aux dangers du vishing, afin d’aider à reconnaître les signes d’une attaque et à savoir comment réagir.
Ne pas fournir d’informations personnelles par téléphone
Ne fournissez jamais d’informations personnelles ou financières lors d’un appel non sollicité. Si vous recevez un appel prétendument de votre banque ou d’une autre entité, raccrochez et appelez directement le numéro officiel pour vérifier la légitimité de l’appel. De manière générale, méfiez vous des appels demandant des informations personnelles ou confidentielles.
Ne pas répondre aux appels de numéros inconnus
Nous vous conseillons de ne pas répondre aux appels provenant de numéros inconnus et de ne pas rappeler des numéros qui vous semblent suspects.
Utiliser des solutions de blocage d’appel
Certaines technologies et services peuvent aider à détecter et à bloquer les appels frauduleux. Vous pouvez commencer par vous inscrire gratuitement sur bloctel pour réduire le nombre d’appels non sollicités et potentiellement frauduleux.
Surveiller ses comptes
Surveillez régulièrement vos comptes bancaires et vos relevés de carte de crédit pour détecter toute activité suspecte. Signalez immédiatement toute transaction non autorisée à votre banque.
Utiliser l’authentification multifacteur
L’authenification multifacteur permet d’ajouter une touche de sécurité supplémentaire à vos comptes en ligne et de protéger vos informations personnelles.