Le vishing, ou phishing vocal, est un type d'escroquerie par phishing où les attaquants utilisent des appels téléphoniques pour tromper les individus afin qu'ils fournissent des informations personnelles, telles que des numéros de carte de crédit, des numéros de sécurité sociale ou des identifiants de connexion.
Contrairement au phishing par e-mail, le vishing repose sur la communication verbale.
142%
Augmentation
de la croissance des attaques de vishing au T4 2022
$39,5
Milliards
coût du vishing pour les citoyens américains en 2022
39%
Les attaquants
connaissaient les adresses domiciliaires des victimes avant l'appel
Les attaquants
connaissaient les adresses domiciliaires des victimes avant l'appel
39%
connaissaient les adresses domiciliaires des victimes avant l'appel
39%
Les attaquants
Comment fonctionne le vishing
Le vishing implique généralement que les escrocs appellent les victimes en prétendant être des représentants d'organisations légitimes, telles que des banques, des agences gouvernementales ou un support technique.
Le but est de obtenir des informations personnelles ou financières sous de faux prétextes.
Les techniques incluent l'utilisation de l'autorité, la création d'un sentiment d'urgence, l'utilisation de jargon technique ou l'exploitation des émotions telles que la peur ou la cupidité.
Tout comme toute tactique d'ingénierie sociale, elle repose sur la génération d'une réaction émotionnelle qui pousse la victime à contourner les règles et les processus de sécurité.
Techniques courantes utilisées dans le vishing
Pour exécuter le vishing, les attaquants combinent plusieurs tactiques.
Spoofing de l'ID de l'appelant
Les escrocs manipulent l'ID de l'appelant pour afficher un numéro de confiance, comme celui de votre banque ou d'une agence gouvernementale, rendant l'appel semblant légitime.
Ingénierie sociale
Les attaquants utilisent la manipulation psychologique pour exploiter le comportement humain. Ils peuvent se faire passer pour des figures d'autorité, créer un sentiment d'urgence ou utiliser des flatteries pour gagner la confiance de la victime.
Appels automatisés et messages vocaux
Les systèmes automatisés peuvent diffuser des messages préenregistrés qui incitent le destinataire à rappeler un numéro frauduleux ou à appuyer sur un bouton pour parler à un agent en direct.
Par exemple, nous avons vu des bots d'appels utilisés pour contourner l'authentification multi-facteurs.
Comment contourner l'authentification à deux facteurs avec un callbot
Découvrez notre vidéo pour voir comment un callbot peut être utilisé pour contourner l'authentification à deux facteurs, généralement suite à une fuite de données d'identification ou à un phishing.
Regarder notre vidéoLes services de messagerie instantanée permettant des messages vocaux sont également utilisés. WhatsApp, Facebook Messenger et d'autres plateformes de messagerie instantanée permettent d'envoyer des messages vocaux asynchrones qui peuvent être utilisés comme vecteurs de vishing. Plus récemment, les technologies d'IA vocale permettent aux attaquants de se déployer ou d'opérer dans des langues autres que la leur.
Reconnaître les tentatives de vishing
Comme pour toutes les attaques de tromperie et d'ingénierie sociale, il est vraiment difficile d'identifier une attaque lorsqu'elle se produit si vous ne savez pas quoi rechercher et si vous réagissez déjà émotionnellement à celle-ci.
Cependant, en reconnaissant les signaux d'alerte et les signes avant-coureurs et en connaissant quelques scénarios courants, il est possible d'augmenter vos chances de reconnaître les tentatives de vishing.
Signaux d'alerte et signes avant-coureurs
Voici quelques signes qui devraient vous rendre plus méfiant lors d'une interaction avec un tiers à distance :
- Appels non sollicités demandant des informations personnelles ou financières : Cela devrait immédiatement éveiller votre suspicion et vous inciter à appliquer quelques contre-mesures immédiatement.
- Demande d'action immédiate ou de paiement pour éviter des conséquences graves : L'urgence est l'une des techniques de manipulation les plus courantes. Elle déclenche souvent des réactions émotionnelles fortes qui peuvent contourner la pensée rationnelle. Chaque fois que vous vous sentez sous pression, vous devriez prendre du recul et remettre en question la situation.
- L'appelant utilise des tactiques de pression pour obtenir des réponses rapides : En plus de l'urgence, la peur et l'autorité sont également des tactiques de manipulation très populaires qui devraient susciter la même méfiance que l'urgence de votre part.
- Qualité sonore médiocre, accents prononcés ou bruit de fond : Ils ne sont pas systématiquement présents, mais une grande partie des attaques de vishing provient de centres d'appels avec beaucoup de bruit de fond et des équipes d'escrocs.
Scénarios courants de vishing
Il existe quelques attaques de vishing très courantes qui se produisent en continu, et il est bon de les connaître pour faciliter leur identification.
- Banque ou société de carte de crédit demandant de vérifier les détails du compte ou appelant pour une activité suspecte détectée sur votre compte : Les escrocs vous appelleront, prétendant venir de votre banque, en utilisant des informations personnelles qu'ils pourraient avoir obtenues par d'autres moyens et essaieront de vous faire donner accès à votre compte ou de divulguer des informations qui leur permettraient d'y accéder.
- Agence gouvernementale exigeant un paiement immédiat pour des impôts ou des amendes : En utilisant l'autorité et l'urgence, ils essaieront de vous faire payer par carte de crédit ou par des formulaires en ligne pendant l'appel.
- Support technique affirmant que votre ordinateur a un virus et offrant une aide contre rémunération : Ils essayeront généralement de vous faire payer en ligne directement, mais peuvent également obtenir un accès illégitime à votre système d'information et l'exploiter par la suite.
Gardez à l'esprit que le vishing peut être utilisé de nombreuses autres manières, et ces exemples ne sont pas exhaustifs.
Risques et conséquences
Le vishing peut affecter tant les personnes à un niveau personnel que les organisations.
Risques personnels
- Vol d'identité : Les escrocs utilisent des informations volées pour ouvrir des comptes de crédit ou commettre d'autres formes de fraude en votre nom.
- Perte financière : Vol direct de fonds depuis des comptes bancaires ou cartes de crédit.
- Souffrance émotionnelle : Les victimes peuvent ressentir du stress, de l'anxiété et un sentiment de violation.
Risques pour les entreprises
- Violations de données : Lors d'une attaque de vishing, tout comme avec tout vecteur d'ingénierie sociale, les employés peuvent involontairement fournir un accès aux systèmes ou aux données de l'entreprise.
- Dommages financiers : Les entreprises peuvent subir des pertes financières importantes dues à la fraude sous diverses formes, rendues possibles par les attaques de vishing.
- Atteinte à la réputation : Comme toutes les cyberattaques réussies, la réputation d'une entreprise peut être gravement endommagée si les données des clients sont compromises.
Prévention et protection contre le vishing
Comme pour toutes les attaques ciblant les personnes, il est nécessaire de considérer des mesures à la fois au niveau individuel et au niveau de l'entreprise.
Mesures pour les individus
- Vérifiez l'identité de l'appelant indépendamment en contactant directement l'organisation en utilisant un numéro connu. Les attaques peuvent falsifier l'ID de l'appelant, mais intercepter l'appel retour est beaucoup plus compliqué.
- Ne fournissez jamais d'informations personnelles par téléphone à moins que vous n'ayez initié l'appel.
- Soyez sceptique face aux appels non sollicités, en particulier ceux demandant une action immédiate.
- Utilisez des applications et services de blocage des appels pour filtrer les appels indésirables.
Mesures pour les entreprises
- Réalisez des formations régulières pour les employés sur la reconnaissance et la réponse aux tentatives de vishing. Cela implique une formation théorique mais aussi des simulations en direct, car vous devez entraîner à la fois les connaissances et les réflexes.
- Mettez en œuvre des procédures de vérification strictes pour toute demande d'informations sensibles.
- Utilisez des solutions technologiques, telles que l'authentification des appelants et la biométrie vocale, pour renforcer la sécurité. En particulier pour les employés très exposés, des systèmes de filtrage et des procédures de sécurité programmatiquement appliquées pour les paiements et les opérations sensibles.
- Encouragez une culture de sensibilisation à la sécurité au sein de l'organisation : la culture aidera à avoir un bien meilleur processus pour détecter et répondre aux attaques d'ingénierie sociale dans l'ensemble.
Réponse aux tentatives de vishing
Lorsqu'une tentative de vishing est détectée, il y a deux niveaux principaux de réponse : les actions immédiates à prendre immédiatement et les actions de signalement qui peuvent être prises en charge par vous ou par votre équipe de réponse aux incidents si vous en avez une.
Étape 1 : Actions immédiates
- Raccrochez immédiatement si vous soupçonnez un appel frauduleux : Plus vous passez de temps avec l'appelant, plus il peut obtenir d'informations.
- Ne vous engagez pas avec l'appelant ni ne fournissez d'informations.
- Notez le numéro de téléphone et tout détail concernant l'appel : Cela aidera à fournir des informations clés lors de la phase de signalement.
Étape 2 : Signalement du vishing
- Dans un contexte individuel, signalez l'incident à votre banque ou à l'organisation concernée que l'appelant prétendait représenter.
- Dans un contexte professionnel, signalez l'incident à votre équipe de sécurité.
De plus, vous pouvez également déposer une plainte auprès des services de protection pertinents de votre pays et informer votre fournisseur de services téléphoniques pour aider à bloquer les appels futurs.