Qu’est-ce qu’une attaque par vishing ?
Le vishing, une attaque de phishing vocal, est l’utilisation frauduleuse d’appels téléphoniques et de messages vocaux reposant sur des techniques d’ingénierie sociale pour convaincre les individus de révéler des informations confidentielles telles que des coordonnées bancaires et des mots de passe. Les cyberattaquants peuvent également recourir à une attaque de vishing contre des entreprises en se faisant passer pour des employés des fournisseurs Internet afin d’accéder aux mots de passe et aux informations de ces entreprises.
L’objectif d’une attaque par vishing est de convaincre la cible de fournir des informations que le cyberattaquant pourra utiliser à des fins de gain financier. Cela peut aller du vol de carte de crédit à l’usurpation d’identité d’un individu. Lorsqu’il vise une entreprise, les objectifs du vishing sont similaires (le gain financier). Cependant, cela vise plus souvent l’obtention d’informations sur les mesures de sécurité en vue d’attaques futures.
En savoir plus
Différences entre phishing, vishing et SMiShing
Phishing : terme générique décrivant les attaques qui usurpent l’identité d’une personne ou d’une entreprise de bonne réputation dans le but de voler des informations sensibles ou d’identification. La forme la plus populaire de phishing est le phishing par e-mail, qui vise souvent les PDG et compromet les comptes e-mail d’entreprise.
SMiShing : type d’attaque par phishing qui atteint ses victimes par le biais de messages texte frauduleux.
Vishing : comme expliqué ci-dessus, il s’agit d’un type d’attaque par phishing qui touche ses victimes par le biais d’appels téléphoniques et de messages vocaux.
Mode opératoire du vishing
Une attaque par vishing tend à suivre les trois étapes suivantes :
1. Collecter des numéros de téléphone
Cela se produit généralement par le biais d’autres méthodes de phishing ou en accédant à des données confidentielles stockées par des entreprises où les gens sont susceptibles d’avoir renseigné leur numéro de téléphone, comme les restaurants ou les détaillants. Parfois, les cyberattaquants utilisent un logiciel qui appelle plusieurs personnes via un numéro de téléphone doté du même indicatif régional en espérant que quelqu’un décroche et confirme ainsi son numéro. Lors d’une attaque de vishing, l’identité de l’appelant est fallacieuse, ce qui fait croire que l’appel provient d’un indicatif local ou d’une entreprise de confiance comme une banque.
2. Susciter la confiance
Qu’il s’agisse de se faire passer pour un établissement bancaire, une entreprise de livraison ou un service public, le leurre vise à inspirer confiance. Cela s’accompagne souvent d’une demande urgente, par exemple : « un utilisateur non autorisé s’est servi de votre carte crédit, confirmez votre identité maintenant pour bloquer les prélèvements ». Ces messages urgents visent à provoquer la panique chez la victime potentielle pour qu’elle réagisse sans confirmer l’information.
3. Récupérer des informations confidentielles à des fins de gain financier
Si l’attaque par vishing réussit, le cyberattaquant utilisera alors les informations confidentielles collectées pour en tirer un profit financier. Il peut s’agir d’utiliser un numéro de carte de crédit volée pour effectuer des achats, voire de demander l’envoi d’une nouvelle carte de crédit. Avec les bonnes informations, un cyberattaquant peut usurper votre identité ou vider vos comptes bancaires. Savoir reconnaître une attaque de vishing peut vous aider à empêcher les cyberattaquants de vous extorquer votre argent.
Comment reconnaître les attaques par vishing
Pour reconnaître une attaque par vishing, vous devez comprendre les méthodes des cyberattaquants pour vous tromper ainsi que leurs objectifs. Avoir conscience des éléments qui vous désignent comme une cible potentielle (par exemple, un problème technique récent dans une entreprise ou des e-mails suspects) peut vous aider à rester sur vos gardes. Les attaques par vishing sont conçues pour obtenir des informations confidentielles et peuvent cibler les particuliers comme les entreprises. Savoir reconnaître une attaque de vishing lorsqu’elle se produit constitue votre meilleure défense.
Signes d’une attaque par vishing
- Le principal signal d’alerte d’une attaque par vishing survient lorsque l’appelant vous réclame des informations. Certains cyberattaquants disposeront déjà d’informations partielles et les utiliseront pour vous convaincre de leur communiquer ce qu’ils ne savent pas. Méfiez-vous toujours d’un appelant qui vous demande vos coordonnées bancaires, votre numéro de sécurité sociale ou d’autres informations nominatives.
- Recours à des tactiques psychologiques comme la peur, l’avidité et le sentiment d’urgence. Les menaces d’arrestation imminente ou de problèmes urgents au niveau de votre compte sont autant d’incitations à vous faire réagir avant de vérifier quoi que ce soit. Lorsque vous recevez de tels appels, gardez votre calme et raccrochez. Ce sont les principaux moyens d’évitement des attaques par vishing.
- Appels concernant des problèmes de compte ou provenant d’assistance technique. Souvent, des messages s’affichent malencontreusement sur votre ordinateur pour vous signifier que votre terminal est infecté et que vous devez appeler un numéro gratuit, celui d’un soi-disant support technique.
En savoir plus
Qui sont les principales cibles des attaques par vishing ?
Lorsqu’elles visent une entreprise, les attaques de vishing se concentrent sur les nouveaux employés, le service des ressources humaines, le service informatique et les centres d’appel. Les nouveaux employés et les employés chargés de passer des appels à d’autres entreprises risquent davantage d’être pris pour cible. Les escrocs qui pratiquent le vishing se font souvent passer pour un support technique et essaient de convaincre quelqu’un de leur donner accès aux ordinateurs. Parfois, ces cyberattaquants demandent à leurs victimes potentielles d’installer un logiciel contenant un code malveillant afin d’obtenir un accès supplémentaire à l’entreprise.
Lorsqu’elles visent une personne, les attaques par vishing se concentrent souvent sur les consommateurs moyens susceptibles d’avoir un compte dans une grande banque ou sur un service de livraison. Les attaques par vishing évoquent souvent peu de détails pour éviter de révéler l’arnaque du cyberattaquant. Après tout, convaincre quelqu’un que son compte bancaire est en danger ne fonctionne pas si l’on se trompe de banque. Les cyberattaquants ont recours à la peur, à l’avidité et à la panique pour vous empêcher de reconnaître ces attaques.
5 types d’attaques par vishing
| Types | Description |
|---|---|
| 1. Wardialing | Lors d'une attaque par vishing de type wardialing, les cybercriminels appellent des indicatifs régionaux spécifiques et utilisent un message automatisé pour instiller la peur chez les victimes. Ils se font passer pour une banque, une entreprise ou un poste de police du secteur qui appelle pour vérifier que leurs comptes n'ont pas été compromis. Pour ce faire, ils réclament généralement des informations sensibles comme l'adresse postale, les coordonnées bancaires et même les numéros de sécurité sociale. |
| 2. VoIP | Les appels VoIP font partie des techniques de vishing les plus difficiles à identifier car les cybercriminels se cachent derrière un faux numéro. Ces numéros sont généralement des numéros en 0800 ou de faux numéros dotés de l'indicatif local. |
| 3. Fouille des poubelles | Cette technique peut paraître très improbable, mais porte très bien son nom. Grâce à cette technique, les criminels cherchent à rassembler suffisamment d'informations pour effectuer une attaque ciblée sur une victime en fouillant les bennes à ordures derrière les banques et autres entreprises importantes. Les informations potentielles qu'ils peuvent recueillir comprennent le type de compte, le numéro de téléphone ou l'e-mail. Suite à cela, ils procèdent à l'attaque avec des techniques d'ingénierie sociale. |
| 4. Usurpation de l'identifiant d'interlocuteur | Ce type d'attaque par vishing est similaire à la VoIP, à la seule différence que l'identification de l'appelant, au lieu d'afficher un numéro, affiche un message qui mentionne « Impôts » ou « Police ». |
| 5. Support technique | Les escrocs se feront passer pour des agents du service clientèle de grandes entreprises comme Apple, Microsoft ou BNP Paribas. Il est important de rappeler que les banques ne vous demanderont jamais d'informations confidentielles comme votre numéro de sécurité sociale par téléphone. |
Éviter et prévenir les attaques par vishing
Le meilleur moyen d’éviter les attaques de vishing consiste à garder votre sang-froid et à ne pas divulguer d’informations confidentielles. Cette stratégie fonctionne bien contre les escrocs qui pratiquent le vishing, car elle stoppe leur attaque dans son élan. Dans le cas d’une entreprise, vous pouvez mettre en place des procédures supplémentaires afin de vous assurer que les employés prennent les bonnes mesures pour protéger l’entreprise. Prévenir une attaque de vishing peut s’avérer aussi simple que de raccrocher le téléphone, mais il existe des mesures supplémentaires destinées à les éviter.
4 conseils pour éviter les attaques par vishing
- Gardez vos informations secrètes : ne divulguez jamais vos identifiants et mots de passe, ne partagez jamais les informations de votre passeport ou de votre permis de conduire. Ceci vous permettra de protéger vos comptes et votre identité.
- Inscrivez-vous sur la liste d’opposition au démarchage téléphonique Bloctel : il s’agit d’un service gratuit qui retire votre numéro de téléphone des listes d’appels téléphoniques non sollicités. Bien que les attaques de vishing ignorent cette liste, les appelants inconnus sont moins susceptibles d’être légitimes étant donné que les entreprises de bonne foi ne sont pas censées vous appeler.
- Vérifiez les numéros inconnus : utilisez des applications mobiles pour vérifier tout numéro inconnu qui vous appelle.
- Laissez les appels inconnus tomber sur la messagerie vocale : vous pouvez également laisser les appels inconnus sur la boîte vocale, puis rappeler directement le correspondant. Si votre banque semble vous appeler mais que le doute subsiste, appelez directement l’établissement bancaire et demandez s’il a tenté de vous contacter. La prudence prend certainement un peu plus de temps, mais il vaut mieux perdre quelques minutes que transmettre de précieuses informations personnelles.
Comment les entreprises peuvent-elles prévenir les attaques par vishing ?
La meilleure tactique professionnelle pour prévenir le vishing est de se doter d’une bonne cybersécurité. Cela peut commencer par une formation de sensibilisation à la sécurité pour les nouveaux employés afin qu’ils comprennent le danger que peuvent représenter les cyberattaquants par vishing pour une entreprise. Assurez-vous que les employés sachent qu’ils doivent donner accès à leur ordinateur uniquement à des techniciens qualifiés.
En signalant les incidents suspects et en raccrochant dès que vous soupçonnez un appel de vishing, vous pouvez empêcher ces attaques de réussir. Les attaques de vishing réussies contre les entreprises peuvent générer d’autres risques de sécurité, c’est pourquoi la prévention est essentielle. Malgré tout, si vous avez déjà subi une attaque de vishing, il reste des moyens de vous en remettre.
CONSEIL D’EXPERT
Suivez les conseils présentés dans ce guide afin de mettre en place un programme complet de formation à la cybersécurité pour vos employés. Il est essentiel qu’ils se tiennent à jour des adversaires les plus courants qui sévissent dans votre secteur d’activité et de leur méthode de ciblage des employés. Ainsi, ils apprendront la proactivité en matière de sécurité. Cela comprend notamment une formation sur le repérage des tentatives de phishing. Lecture : Comment mettre sur pied un programme de formation des collaborateurs à la cybersécurité
Comment se remettre d’une attaque par vishing
Le processus de résolution d’une attaque de vishing diffère en fonction du moment où vous vous rendez compte qu’il s’agit d’une escroquerie. Les meilleurs moments pour réagir sont au cours d’une attaque ou dans son sillage immédiat. Malgré cela, la résolution est toujours possible après que l’incident s’est produit. Signaler le méfait constitue toujours un bon point de départ.
Mesures à prendre au milieu d’une attaque par vishing
Si vous êtes au téléphone et que vous prenez conscience qu’il s’agit d’une attaque par vishing, raccrochez ! Les escrocs qui pratiquent le vishing ne peuvent pas accéder à votre ordinateur ou à vos informations confidentielles si vous ne leur donnez pas. Vous pouvez toujours signaler le numéro après avoir raccroché, surtout si l’appel ciblait des informations professionnelles.
Mesures à prendre pour les victimes de vishing
Pour ceux qui ont déjà transmis leurs informations suite à une attaque d’ingénierie sociale telle que le vishing, il est encore temps d’agir. La première consiste à changer tous vos mots de passe, à appeler votre banque et à signaler le crime. Les autorités de régulation sont toujours preneuses de signalements de vishing. Les sites et services qui stockent les informations transmises, quels qu’ils soient, doivent faire l’objet d’une attention particulière.
Certains comptes utilisent l’authentification multifactorielle, d’autres vous informent lorsqu’un nouveau terminal accède à votre compte. Vérifiez ces mesures de sécurité afin de vous assurer qu’elles restent efficaces. Vous devez également contacter tous les fournisseurs de services en possession de vos informations compromises, comme les établissements bancaires et financiers. Cette procédure devrait minimiser les dégâts causés par de futures attaques de vishing.
