Les cybercriminels trouvent constamment de nouvelles façons de tromper les gens, et le vishing — ou hameçonnage vocal — est l'une des techniques qui gagne en popularité.
Le vishing consiste à utiliser des appels téléphoniques ou des messages vocaux pour tromper les victimes et leur soutirer des informations sensibles, telles que des mots de passe, des détails financiers ou des données personnelles.
Dans cet article, nous allons explorer des exemples courants de vishing afin de vous aider à comprendre comment ils fonctionnent et comment vous protéger.
Qu'est-ce que le Vishing ?
Le vishing est une forme de hameçonnage qui se déroule par téléphone. Les attaquants se font passer pour des entités de confiance, telles que des banques, des agences gouvernementales ou des services de support technique, pour manipuler les individus et les inciter à fournir des informations privées.
En utilisant les récents progrès dans les médias synthétiques, ils peuvent également utiliser des logiciels de clonage vocal pour imiter des personnes de confiance ou des cadres supérieurs (C-level).
Ils créent souvent un sentiment d'urgence ou de peur et jouent sur l'autorité, convainquant la victime que des actions immédiates sont nécessaires.
Comprendre les méthodes utilisées dans les attaques de vishing est crucial pour les identifier et les prévenir. Examinons quelques exemples typiques de vishing.
Exemples d'attaques de Vishing appliquées aux particuliers
1. Arnaques au conseiller bancaire
Dans ce scénario de vishing courant, un escroc se fait passer pour un représentant bancaire et appelle la victime pour l'informer d'une "activité suspecte" sur son compte.
Il peut prétendre que des transactions non autorisées ont eu lieu et qu'il est nécessaire de vérifier les informations personnelles et bancaires de la victime pour sécuriser le compte.
Comment cela fonctionne
Prétexte
En général, les attaquants auront acheté ou recherché une grande quantité d'informations avant d'appeler leur victime.
Grâce à l'OSINT et aux courtiers en informations, ils pourraient avoir votre numéro de sécurité sociale, numéro de téléphone, adresse et date de naissance, et utiliseront ces informations pour prouver qu'ils sont en fait la banque qui possède déjà toutes ces données.
Tromperie : peur, urgence et autorité
Comme toutes les attaques d'ingénierie sociale, l'attaquant utilisera des mécanismes de tromperie pour créer une réponse émotionnelle qui supplantera votre raisonnement et vous rendra plus vulnérable à l'attaque.
- Ils créeront un sentiment d'urgence en vous avertissant que ne pas agir immédiatement pourrait entraîner une perte de fonds, des problèmes juridiques ou un gel du compte.
- Ils peuvent parfois prétendre être d'une agence de maintien de l'ordre travaillant avec la banque, ajoutant ainsi de l'autorité à leur prétexte.
- La peur et l'urgence sont plus généralement créées par le fait qu'ils prétendent qu'une activité frauduleuse est en cours.
Exploitation : perte de fonds
Dans ce type d'attaque, l'objectif est souvent de vous inciter à transférer des fonds vers un compte soi-disant sécurisé, tandis que la banque ou l'équipe des forces de l'ordre "gèlera les comptes" pour vous protéger contre toute activité frauduleuse supplémentaire.
C'est du moins ce qu'ils disent.
Cela se traduira par une perte de fonds, et vous ne récupérerez jamais cet argent.
Comment le détecter
Les banques ne demanderont jamais d'informations sensibles telles que les codes PIN ou les mots de passe par téléphone.
Les employés de banque ou les agents des forces de l'ordre ne vous demanderont jamais de transférer votre argent vers un autre compte.
Raccrochez toujours et contactez votre banque en utilisant le numéro officiel fourni sur leur site Web ou sur vos relevés bancaires.
La plupart des escrocs seront capables de falsifier leur numéro de téléphone pour qu'il semble que votre banque vous appelle, mais ils ne pourront pas intercepter votre appel vers le numéro officiel (si c'est le cas, vous avez un problème plus grave).
Comme pour toutes les attaques d'ingénierie sociale, connaître les escroqueries ne vous protège pas entièrement ; vous devez également être conscient de la manipulation émotionnelle en cours, exploitant la peur, l'urgence et l'autorité.
Cela vient généralement d'une formation répétée et d'une exposition à ces mécanismes.
2. Escroqueries de support technique
Dans une attaque de vishing de support technique, l'escroc se fait passer pour un représentant d'une entreprise technologique bien connue (par exemple, Microsoft, Apple). Il appelle la victime, prétendant que son ordinateur a été infecté par un logiciel malveillant ou que des activités inhabituelles ont été détectées.
Comment cela fonctionne
Prétexte
L'attaquant peut appeler directement la victime, mais nous voyons également de nombreuses attaques qui commencent par un popup sur un site malveillant prétendant provenir du système de la victime, lui demandant d'appeler un numéro.
L'attaquant prétendra être d'une entreprise technologique réputée et proposera son aide pour fournir un support.
Le scénario est simple : l'ordinateur de la victime est "infecté" et une équipe de support peut intervenir pour supprimer le dangereux logiciel malveillant qui pourrait causer toutes sortes de problèmes.
Tromperie : peur, urgence et autorité
Vous verrez une tendance ici, mais nous avons les mêmes mécanismes de pression ici.
Peur et urgence : l'attaquant explique que si la victime ne résout pas la situation, l'ordinateur pourrait cesser de fonctionner ou, pire encore, le logiciel malveillant pourrait divulguer des informations sensibles, voler de l'argent, etc.
Autorité : en adoptant l'identité de l'équipe de support d'une marque réputée, ils obtiennent instantanément de l'autorité aux yeux de la victime.
Exploitation : perte de fonds
La plupart du temps, ils demanderont un paiement pour leur service à la fin de l'appel de "support". Pendant le processus de "suppression du malware", ils demandent souvent à la victime d'installer un logiciel d'accès à distance qu'ils utiliseront pour voler des informations ou demander une rançon à la victime.
Comment le détecter
Les entreprises technologiques légitimes ne contactent pas les clients sans sollicitation pour signaler des problèmes informatiques. Méfiez-vous de quiconque demandant un accès à distance à votre appareil ou un paiement pour des services non sollicités.
De plus, aucune entreprise légitime n'aura des popups intrusifs avec un numéro de téléphone pour vous demander d'appeler la ligne de support.
3. Usurpation d'agences gouvernementales
Les escrocs se font souvent passer pour des agences gouvernementales, comme l'IRS ou la Sécurité sociale, afin d'intimider leurs cibles. L'appelant peut prétendre qu'il existe des problèmes juridiques, des impôts impayés ou des problèmes de prestations nécessitant une résolution immédiate.
Comment cela fonctionne
Prétexte
Il existe de nombreuses variations de ces attaques. Les attaquants prétendront que votre passeport pourrait être impliqué dans une affaire sensible, que votre ordinateur ou compte bancaire pourrait avoir été compromis par des criminels graves et utilisé pour des actions répréhensibles qui pourraient vous amener devant les tribunaux...
Mécanismes de tromperie
En prétendant être une agence gouvernementale, les attaquants obtiennent instantanément de l'autorité.
L'attaquant utilise également des tactiques de peur, menaçant d'intenter des poursuites judiciaires, une arrestation ou une suspension des prestations, à moins que la victime ne fournisse des informations personnelles ou ne procède à un paiement immédiat.
Le "paiement" peut également être un transfert de fonds vers un "compte sécurisé" pour éviter le gel des actifs.
De plus, ils peuvent demander des numéros de sécurité sociale, des coordonnées bancaires ou des informations de carte de crédit.
Exploitation
En général, ces escroqueries visent à voler des fonds, mais elles peuvent aussi recueillir suffisamment de données pour commettre une fraude d'identité ultérieure ou une attaque multi-étapes en suivi.
Comment le détecter
Les agences gouvernementales communiquent généralement par courrier officiel, et non par appels téléphoniques non sollicités.
Elles ne demanderont jamais d'informations sensibles ni de paiement par téléphone. Si vous recevez un tel appel, raccrochez et contactez l'agence directement en utilisant des coordonnées vérifiées.
4. Hameçonnage vocal par message vocal (Vishing via message vocal)
Dans cette méthode, l'attaquant laisse un message vocal prétendant provenir d'une organisation légitime, telle qu'une banque, une agence gouvernementale ou une entreprise. Le message contient souvent un numéro de rappel et une demande urgente d'informations.
Comment cela fonctionne
Le message vocal peut déclarer quelque chose comme : "Votre compte a été compromis. Rappelez-nous immédiatement pour vérifier vos informations." Lorsque la victime rappelle, elle est connectée à un escroc qui tente d'extraire des détails sensibles.
Comme la victime rappelle, l'attaquant gagne plus de légitimité que s'il appelait et essayait de mener l'attaque dès le premier appel.
Les mécanismes de tromperie sont les mêmes que pour les précédentes escroqueries, car il s'agit simplement d'un processus en deux
étapes pour exécuter les exemples de vishing mentionnés précédemment.
Comment le détecter
Soyez prudent avec les messages vocaux demandant des informations personnelles ou un rappel.
Vérifiez toujours l'authenticité de l'appelant en contactant directement l'organisation en utilisant des informations de contact officielles.
Exemples d'attaques de Vishing appliquées aux organisations
Chez Arsen, nous sécurisons les organisations contre les attaques d'ingénierie sociale. Bien que la formation des employés soit utile dans les situations précédentes, nous exécutons des simulations de vishing dans un contexte organisationnel.
Voici des exemples de vishing appliqués à un contexte organisationnel.
Demande d'accès
Dans cet exemple de vishing, les attaquants utiliseront le vishing comme vecteur d'accès initial en ciblant l'équipe de support informatique de l'entreprise.
Comment cela fonctionne
La cible
Les attaquants cibleront le support informatique de l'entreprise visée.
Le prétexte
Ils prétendront être un employé de l'entreprise, bloqué de son système.
L'objectif
Leur objectif est de faire modifier le mot de passe ou l'authentification multifactorielle par le support informatique afin qu'ils puissent se connecter et obtenir l'accès au compte.
Comment se défendre contre cela
Tout d'abord, il doit y avoir des processus solides avant toute modification d'accès par le support informatique. Ces processus doivent inclure un processus d'authentification robuste pour s'assurer que la personne qui appelle est vraiment un employé.
Ensuite, l'équipe de support informatique doit être formée et testée contre ces attaques pour s'assurer qu'elle peut détecter la tromperie et la menace et appliquer le processus malgré les techniques de tromperie qui pourraient être utilisées.
Enfin, des mesures techniques telles que l'authentification biométrique ou le blocage des appels provenant de numéros extérieurs à l'organisation peuvent aider à réduire l'exposition de l'équipe de support informatique à ces attaques.
Installation de logiciels malveillants
Dans cet exemple, l'attaquant utilisera le vishing pour inciter la victime à ouvrir une pièce jointe ou installer un programme sur son ordinateur, afin d'obtenir un accès initial.
Comment cela fonctionne
La cible
Tout employé de l'organisation peut être visé par cette attaque.
Le prétexte
L'attaquant prétendra être du support informatique ou une personne d'autorité liée à la victime.
Ils demanderont à la victime d'ouvrir un fichier contenant des informations importantes ou d'installer un correctif de sécurité urgent pour résoudre un problème sur son ordinateur.
L'objectif
L'objectif est d'installer un logiciel malveillant qui leur permettra d'obtenir un accès initial au réseau de l'entreprise.
Comment se défendre contre cela
Dans ce cas, la formation à la sensibilisation est la meilleure défense : les employés doivent être capables de détecter la technique de tromperie et d'appliquer les procédures de sécurité avant d'ouvrir un programme inconnu sur leur ordinateur.
Les mesures techniques telles qu'un EDR correctement configuré aideront à détecter l'installation de logiciels malveillants, mais nous savons tous qu'elles peuvent être contournées.
Fraude au PDG et virements bancaires
Comment cela fonctionne
La cible
Toute personne ayant le niveau d'accès nécessaire pour transférer de l'argent hors de l'entreprise peut être ciblée.
Le prétexte
L'attaquant utilisera l'identité d'un fournisseur ou d'un cadre supérieur pour demander un paiement.
Notez qu'avec les récents progrès du clonage vocal, une nouvelle génération d'attaques de vishing visant les PDG arrive et est très difficile à détecter sur la seule base de la voix.
L'objectif
Ici, l'objectif est simple : obtenir de l'argent de l'entreprise.
Comment se protéger contre cela
Ici encore, des processus pour les opérations critiques telles que les virements bancaires doivent être appliqués.
Pour s'assurer que personne ne peut être manipulé pour contourner ces processus, il est nécessaire de former les employés avec des simulations réalistes afin qu'ils puissent développer des réflexes pour détecter et signaler ces tentatives.
En outre, disposer d'une solution de paiement nécessitant une double confirmation avant d'autoriser tout nouveau paiement ajoutera de la friction et des points de contrôle tout au long du processus de virement, et contribuera à déjouer ce genre d'attaques.
Comment vous protéger, vous et votre entreprise, du Vishing
- Logiciels de sécurité : des EDR aux solutions de prévention de la fraude lors des paiements, en passant par l'identification biométrique, les solutions de sécurité aideront à renforcer vos défenses contre le vishing.
- Processus : qu'il s'agisse de rappeler le numéro officiel ou de suivre les procédures d'authentification, des processus solides doivent être connus et appliqués.
- Formation à la sensibilisation : afin que les employés détectent les attaques imminentes, suivent le processus et appliquent les procédures de sécurité, une formation solide à la sensibilisation doit être mise en place.
Chez Arsen, nous insistons sur l'importance de la formation à la sensibilisation des employés pour reconnaître le vishing et d'autres attaques d'ingénierie sociale. Nous disposons d'une solution de simulation de vishing pour aider à entraîner de forts réflexes contre ces exemples de vishing.
