Resources

Défense contre le Vishing : Protégez Vos Informations

Le vishing est une menace puissante. C'est essentiellement du phishing vocal. Cela a toujours été le cas, mais cela devient de plus en plus accessible et répandu compte tenu des développements récents en intelligence artificielle générative. Sur cette page, vous trouverez tout ce que vous devez savoir sur le vishing.

Arsen Team
3 minutes read
What is vishing?

Le vishing, ou phishing vocal, est un type d'escroquerie par phishing où les attaquants utilisent des appels téléphoniques pour tromper les individus afin qu'ils fournissent des informations personnelles, telles que des numéros de carte de crédit, des numéros de sécurité sociale ou des identifiants de connexion.

Contrairement au phishing par e-mail, le vishing repose sur la communication verbale.

142%

Augmentation

de la croissance des attaques de vishing au T4 2022

$39,5

Milliards

coût du vishing pour les citoyens américains en 2022

39%

Les attaquants

connaissaient les adresses domiciliaires des victimes avant l'appel

Les attaquants

connaissaient les adresses domiciliaires des victimes avant l'appel

39%

connaissaient les adresses domiciliaires des victimes avant l'appel

39%

Les attaquants

Comment fonctionne le vishing

Le vishing implique généralement que les escrocs appellent les victimes en prétendant être des représentants d'organisations légitimes, telles que des banques, des agences gouvernementales ou un support technique.

Le but est de obtenir des informations personnelles ou financières sous de faux prétextes.

Les techniques incluent l'utilisation de l'autorité, la création d'un sentiment d'urgence, l'utilisation de jargon technique ou l'exploitation des émotions telles que la peur ou la cupidité.

Tout comme toute tactique d'ingénierie sociale, elle repose sur la génération d'une réaction émotionnelle qui pousse la victime à contourner les règles et les processus de sécurité.

Techniques courantes utilisées dans le vishing

Pour exécuter le vishing, les attaquants combinent plusieurs tactiques.

Spoofing de l'ID de l'appelant

Les escrocs manipulent l'ID de l'appelant pour afficher un numéro de confiance, comme celui de votre banque ou d'une agence gouvernementale, rendant l'appel semblant légitime.

Ingénierie sociale

Les attaquants utilisent la manipulation psychologique pour exploiter le comportement humain. Ils peuvent se faire passer pour des figures d'autorité, créer un sentiment d'urgence ou utiliser des flatteries pour gagner la confiance de la victime.

Appels automatisés et messages vocaux

Les systèmes automatisés peuvent diffuser des messages préenregistrés qui incitent le destinataire à rappeler un numéro frauduleux ou à appuyer sur un bouton pour parler à un agent en direct.

Par exemple, nous avons vu des bots d'appels utilisés pour contourner l'authentification multi-facteurs.

Comment contourner l'authentification à deux facteurs avec un callbot

Découvrez notre vidéo pour voir comment un callbot peut être utilisé pour contourner l'authentification à deux facteurs, généralement suite à une fuite de données d'identification ou à un phishing.

Regarder notre vidéo
MFA Callbot Video

Les services de messagerie instantanée permettant des messages vocaux sont également utilisés. WhatsApp, Facebook Messenger et d'autres plateformes de messagerie instantanée permettent d'envoyer des messages vocaux asynchrones qui peuvent être utilisés comme vecteurs de vishing. Plus récemment, les technologies d'IA vocale permettent aux attaquants de se déployer ou d'opérer dans des langues autres que la leur.

Reconnaître les tentatives de vishing

Comme pour toutes les attaques de tromperie et d'ingénierie sociale, il est vraiment difficile d'identifier une attaque lorsqu'elle se produit si vous ne savez pas quoi rechercher et si vous réagissez déjà émotionnellement à celle-ci.

Cependant, en reconnaissant les signaux d'alerte et les signes avant-coureurs et en connaissant quelques scénarios courants, il est possible d'augmenter vos chances de reconnaître les tentatives de vishing.

Signaux d'alerte et signes avant-coureurs

Voici quelques signes qui devraient vous rendre plus méfiant lors d'une interaction avec un tiers à distance :

  • Appels non sollicités demandant des informations personnelles ou financières : Cela devrait immédiatement éveiller votre suspicion et vous inciter à appliquer quelques contre-mesures immédiatement.
  • Demande d'action immédiate ou de paiement pour éviter des conséquences graves : L'urgence est l'une des techniques de manipulation les plus courantes. Elle déclenche souvent des réactions émotionnelles fortes qui peuvent contourner la pensée rationnelle. Chaque fois que vous vous sentez sous pression, vous devriez prendre du recul et remettre en question la situation.
  • L'appelant utilise des tactiques de pression pour obtenir des réponses rapides : En plus de l'urgence, la peur et l'autorité sont également des tactiques de manipulation très populaires qui devraient susciter la même méfiance que l'urgence de votre part.
  • Qualité sonore médiocre, accents prononcés ou bruit de fond : Ils ne sont pas systématiquement présents, mais une grande partie des attaques de vishing provient de centres d'appels avec beaucoup de bruit de fond et des équipes d'escrocs.

Scénarios courants de vishing

Il existe quelques attaques de vishing très courantes qui se produisent en continu, et il est bon de les connaître pour faciliter leur identification.

  • Banque ou société de carte de crédit demandant de vérifier les détails du compte ou appelant pour une activité suspecte détectée sur votre compte : Les escrocs vous appelleront, prétendant venir de votre banque, en utilisant des informations personnelles qu'ils pourraient avoir obtenues par d'autres moyens et essaieront de vous faire donner accès à votre compte ou de divulguer des informations qui leur permettraient d'y accéder.
  • Agence gouvernementale exigeant un paiement immédiat pour des impôts ou des amendes : En utilisant l'autorité et l'urgence, ils essaieront de vous faire payer par carte de crédit ou par des formulaires en ligne pendant l'appel.
  • Support technique affirmant que votre ordinateur a un virus et offrant une aide contre rémunération : Ils essayeront généralement de vous faire payer en ligne directement, mais peuvent également obtenir un accès illégitime à votre système d'information et l'exploiter par la suite.

Gardez à l'esprit que le vishing peut être utilisé de nombreuses autres manières, et ces exemples ne sont pas exhaustifs.

Risques et conséquences

Le vishing peut affecter tant les personnes à un niveau personnel que les organisations.

Risques personnels

  • Vol d'identité : Les escrocs utilisent des informations volées pour ouvrir des comptes de crédit ou commettre d'autres formes de fraude en votre nom.
  • Perte financière : Vol direct de fonds depuis des comptes bancaires ou cartes de crédit.
  • Souffrance émotionnelle : Les victimes peuvent ressentir du stress, de l'anxiété et un sentiment de violation.

Risques pour les entreprises

  • Violations de données : Lors d'une attaque de vishing, tout comme avec tout vecteur d'ingénierie sociale, les employés peuvent involontairement fournir un accès aux systèmes ou aux données de l'entreprise.
  • Dommages financiers : Les entreprises peuvent subir des pertes financières importantes dues à la fraude sous diverses formes, rendues possibles par les attaques de vishing.
  • Atteinte à la réputation : Comme toutes les cyberattaques réussies, la réputation d'une entreprise peut être gravement endommagée si les données des clients sont compromises.

Prévention et protection contre le vishing

Comme pour toutes les attaques ciblant les personnes, il est nécessaire de considérer des mesures à la fois au niveau individuel et au niveau de l'entreprise.

Mesures pour les individus

  • Vérifiez l'identité de l'appelant indépendamment en contactant directement l'organisation en utilisant un numéro connu. Les attaques peuvent falsifier l'ID de l'appelant, mais intercepter l'appel retour est beaucoup plus compliqué.
  • Ne fournissez jamais d'informations personnelles par téléphone à moins que vous n'ayez initié l'appel.
  • Soyez sceptique face aux appels non sollicités, en particulier ceux demandant une action immédiate.
  • Utilisez des applications et services de blocage des appels pour filtrer les appels indésirables.

Mesures pour les entreprises

  • Réalisez des formations régulières pour les employés sur la reconnaissance et la réponse aux tentatives de vishing. Cela implique une formation théorique mais aussi des simulations de vishing en direct, car vous devez entraîner à la fois les connaissances et les réflexes.
  • Mettez en œuvre des procédures de vérification strictes pour toute demande d'informations sensibles.
  • Utilisez des solutions technologiques, telles que l'authentification des appelants et la biométrie vocale, pour renforcer la sécurité. En particulier pour les employés très exposés, des systèmes de filtrage et des procédures de sécurité programmatiquement appliquées pour les paiements et les opérations sensibles.
  • Encouragez une culture de sensibilisation à la sécurité au sein de l'organisation : la culture aidera à avoir un bien meilleur processus pour détecter et répondre aux attaques d'ingénierie sociale dans l'ensemble.

Réponse aux tentatives de vishing

Lorsqu'une tentative de vishing est détectée, il y a deux niveaux principaux de réponse : les actions immédiates à prendre immédiatement et les actions de signalement qui peuvent être prises en charge par vous ou par votre équipe de réponse aux incidents si vous en avez une.

Étape 1 : Actions immédiates

  • Raccrochez immédiatement si vous soupçonnez un appel frauduleux : Plus vous passez de temps avec l'appelant, plus il peut obtenir d'informations.
  • Ne vous engagez pas avec l'appelant ni ne fournissez d'informations.
  • Notez le numéro de téléphone et tout détail concernant l'appel : Cela aidera à fournir des informations clés lors de la phase de signalement.

Étape 2 : Signalement du vishing

  • Dans un contexte individuel, signalez l'incident à votre banque ou à l'organisation concernée que l'appelant prétendait représenter.
  • Dans un contexte professionnel, signalez l'incident à votre équipe de sécurité.

De plus, vous pouvez également déposer une plainte auprès des services de protection pertinents de votre pays et informer votre fournisseur de services téléphoniques pour aider à bloquer les appels futurs.

Book a demo

Learn what makes Arsen the go-to platform to help CISOs, cyber experts, and IT teams protect their organizations against social engineering.

Obtenir une démonstration

Questions fréquentes

Vous devriez raccrocher immédiatement et signaler l'appel ainsi que ses informations aux autorités compétentes.

La meilleure méthode est de rappeler l'organisation ou la personne qui vous a appelé en utilisant un numéro connu que vous possédez, et non nécessairement celui à partir duquel ils vous ont contacté.

Oui, en fonction de votre niveau d'exposition et de vos exigences en matière de sécurité, différents outils allant des bloqueurs d'appels à l'identification biométrique vocale peuvent être utilisés.

Les 3 scénarios de vishing les plus courants sont :

  1. La banque vous appelant pour demander des informations spécifiques ou un accès à vos comptes.
  2. Une agence gouvernementale vous appelant pour le paiement de taxes ou d'amendes.
  3. De fausses agences de services informatiques prétendant vous aider à « réparer votre ordinateur ».

En savoir plus

Exemples d'attaques par vishing

Exemples d'attaques par vishing

Thomas Le Coz
Thomas Le Coz

Le vishing, ou hameçonnage vocal, est une forme d'escroquerie téléphonique où les attaquants se font passer pour des entités de confiance afin de tromper les victimes et de leur faire révéler des informations sensibles. Les exemples de vishing courants incluent...