Qu'est-ce que le vishing ?

Le vishing, ou hameçonnage vocal, est une attaque de phishing qui utilise les appels téléphoniques pour vous inciter à fournir des informations personnelles, confidentielles et sensibles, souvent des détails financiers.

SCAN DE L'EMPREINTE NUMÉRIQUE

Vous avez peut-être entendu parler de ce scénario aux informations : Quelqu'un reçoit un appel téléphonique urgent de l'IRS prétendant qu'il doit une grosse somme pour des impôts impayés, et qu'un agent viendra à sa porte s'il ne paie pas immédiatement. Pris de panique, la cible de l'attaque de vishing envoie aussitôt un paiement électronique. Quand la victime finit par réaliser son erreur, c'est trop tard — son institution financière lui dit que l'argent a disparu.

Qu'est-ce qu'une attaque de vishing?

Une attaque de vishing est un type d'attaque de phishing dans laquelle un acteur malveillant utilise des tactiques d'ingénierie sociale via la communication vocale pour escroquer une cible. Le mot 'vishing' est une combinaison de 'voice' ou 'VoIP' (Voice over Internet Protocol) et 'phishing.' L'escroc peut tenter de convaincre une cible de lui envoyer de l'argent ou de partager les informations sensibles suivantes :

  • Nom
  • Adresse
  • Date de naissance
  • Identifiants
  • Mots de passe
  • Informations de carte de crédit
  • Données bancaires
  • Les numéros émis par le gouvernement (ex : Sécurité Sociale ou Assurance Sociale)

Quelle est la différence entre vishing, smishing, quishing et phishing ?

Le vishing, tout comme le smishing et le quishing, peut être considéré comme des attaques de phishing. Les trois types d'attaques se différencient uniquement par les vecteurs de menace qu'ils utilisent. Le phishing existe depuis au moins les débuts du courrier électronique, et le vishing et le smishing sont des combinaisons du mot “phishing” et de la méthode de communication utilisée. Le vishing (hameçonnage vocal) se produit par communication vocale, et le smishing (hameçonnage par SMS) utilise des messages texte SMS comme moyen d'attaque. Le quishing est une attaque de phishing via des codes QR frauduleux.

Qu'est-ce qu'une attaque d'ingénierie sociale ?

Différentes formes de phishing, y compris le vishing, peuvent utiliser les tactiques d'ingénierie sociale. En matière de cybersécurité, l'ingénierie sociale est la manipulation des émotions humaines pour réduire la réflexion rationnelle d'une cible afin de l'inciter à accomplir une action douteuse. Voyons quelques manières dont l'ingénierie sociale peut renforcer une attaque de vishing :

  • Peur : Lors d'une escroquerie IRS, un escroc peut effrayer une cible en lui faisant payer de faux impôts sous peine d'emprisonnement.
  • Avidité : Un acteur malveillant peut annoncer à une cible avoir gagné un faux loterie et demander un paiement pour les impôts et les frais à l'avance.
  • Amour : Quelqu'un d'un gang criminel peut se faire passer pour un partenaire romantique et demander de l'argent pour un voyage en avion ou une urgence. Souvent, ces escroqueries commencent sur les réseaux sociaux et se développent ensuite en attaques de vishing.
  • Colère : Un escroc peut manipuler la colère en demandant des dons contre un candidat politique impopulaire, par exemple.
  • Compassion : Une fausse organisation caritative peut appeler à l'improviste les gens, espérant collecter de l'argent pour une catastrophe, une urgence ou une autre cause apparemment noble. De même, dans un exemple classique de fraude aux personnes âgées, les escrocs peuvent cibler les personnes âgées en se faisant passer pour leurs proches ou connaissances au téléphone.

Comment se déroule le vishing ?

Le vishing fonctionne en associant l'ingénierie sociale aux outils de communication vocale. Un attaquant peut utiliser des appels automatisés, des numéros de téléphone internationaux, ou des logiciels de Voice over Internet Protocol (VOIP) pour lancer une attaque. Les escrocs peuvent aussi envoyer des SMS frauduleux qui dirigent les victimes à les appeler via des liens ou des numéros de téléphone. Le vishing peut cibler des individus et des organisations. Un acteur malveillant peut utiliser une telle attaque pour recueillir des informations auprès d'une entreprise, par exemple.

Exemple d'une attaque de vishing

Malheureusement, de nombreux individus se font piéger par des escroqueries de vishing chaque année. Souvent, la menace de devoir de l'argent à une agence gouvernementale est suffisamment convaincante et effrayante pour que les victimes paient. Aux États-Unis, les escrocs de vishing se font souvent passer pour des agents de l’Internal Revenue Service (IRS) appelant à collecter des impôts, menaçant la prison si la victime ne paie pas ce qu’elle est censée devoir.

Il en va de même au Canada, où plusieurs Canadiens ont été « visés » par des acteurs malveillants se faisant passer pour l’Agence du revenu du Canada (ARC). Une victime de cette arnaque a décrit à quel point elle se sentait stupide de s’être laissée berner, et a dit que c’était l’un des aspects les plus difficiles de toute la situation pour elle.

Parfois, les attaques de vishing peuvent faire un retour de flammes célèbre, comme lorsque Keniel Aeon Thomas de la Jamaïque a mal choisi sa cible. L'escroc a probablement pensé qu'il avait une cible facile lorsque William Webster, 90 ans, a décroché le téléphone. Thomas a dit à M. Webster qu'il lui restait à lui et à sa femme Lynda 15,5 millions de dollars et une Mercedes-Benz. Mais avant qu'il ne puisse partager les gains avec eux, les Webster devraient envoyer un virement bancaire de 50 000 $ pour couvrir les impôts. Peu savait-il que Webster était un ancien directeur de la CIA, directeur du FBI, et un juge fédéral. Le couple a contacté le FBI pour qu’un agent puisse écouter les appels, et finalement, l’escroc a fini par purger une peine grâce à la réactivité des Webster.

Malheureusement, la plupart des histoires de vishing ne se terminent pas aussi bien. Avant que Thomas ne soit condamné, il avait escroqué 30 personnes de centaines de milliers de dollars. C'est pourquoi il est important de reconnaître les tentatives de vishing ou de scam call pour vous protéger si vous recevez le prochain appel.

Comment arrêter le vishing

Les personnes victimes d'attaques de vishing peuvent être bien informées des risques, mais simplement prises au dépourvu. Les acteurs malveillants modifient régulièrement leurs tactiques pour essayer de tromper les gens de nouvelles manières. Vous pouvez décrochery un appel pendant une journée bien remplie où la dernière chose que vous attendez est une attaque de vishing, ou l'appelant peut utiliser des informations qui semblent suffisamment familières pour être convaincantes. Pour rester vigilant et être prêt si vous recevez un de ces appels, voici quelques points à retenir :

  • Faites attention au ton de l'appelant. Les escrocs peuvent également utiliser un ton discourtois ou impatient pour induire une urgence ou créer de la peur, contrairement aux employés formés de l'organisation qu'ils prétendent représenter.
  • Restez calme et respirez profondément. Les attaquants de vishing créent un faux sentiment d'urgence en exploitant vos émotions. Ne partagez aucune information sensible par téléphone sans vérifier l'identité de l'appelant. Vous pouvez rechercher leur organisation et les appeler directement.
  • Soyez vigilant même si l'appelant a certaines de vos informations. Par exemple, il se peut qu'ils aient rassemblé certaines de vos données disponibles publiquement sur Internet, comme votre nom, votre localisation ou votre adresse IP.
  • Filtrez vos appels avec l'identification de l'appelant et ne répondez pas aux numéros inconnus ou suspects. Attendez que l'appelant vous laisse un message vocal pour décider si vous devez rappeler. Rappelez-vous, de nombreuses arnaques par appel automatisé suivent un script reconnaissable.
  • Soyez prudent et raccrochez simplement si vous soupçonnez qu'il s'agit d'un escroc.

Comment signaler un vishing ?

Aux États-Unis, contactez la FTC et le FBI pour signaler toute escroquerie de vishing, ou l'agence responsable de l'application de la loi dans votre pays. Vous pouvez également appeler l’organisation qu’un escroc utilise pour tenter de vous manipuler, comme contacter l’IRS si vous soupçonnez d’être la cible d’une arnaque IRS. Si l'appelant dit qu'il est avec une certaine organisation, recherchez le numéro de téléphone officiel de cette organisation et appelez-les directement pour poser des questions sur les appels. 

Articles connexes