Qu'est-ce que le vishing ?

Le vishing, ou hameçonnage vocal, est une attaque par hameçonnage qui utilise des appels téléphoniques pour vous inciter à fournir des informations personnelles, confidentielles et sensibles, souvent des données financières.

ANALYSE DE L'EMPREINTE NUMÉRIQUE

Vous avez peut-être entendu ce scénario aux informations : une personne reçoit un appel téléphonique urgent du fisc lui annonçant qu'elle est redevable d'une importante somme d'impôts impayés et qu'un agent se présentera à sa porte si elle ne paie pas immédiatement. Prise de panique, la cible de l'attaque de vishing envoie immédiatement un paiement électronique. Lorsque la victime finit par se rendre compte de son erreur, il est trop tard : son institution financière lui annonce que l'argent a disparu.

Qu'est-ce qu'une attaque par vishing ?

Une attaque par vishing est un type d'attaque par hameçonnage dans lequel un acteur de la menace utilise des tactiques d'ingénierie sociale par le biais d'une communication vocale pour escroquer une cible. Le mot "vishing" est une combinaison de "voice" ou "VoIP" (Voice over Internet Protocol) et de "phishing". L'escroc peut essayer de convaincre une cible de lui envoyer de l'argent ou de partager une ou toutes les informations sensibles suivantes :

  • Nom
  • Adresse
  • Date de naissance
  • Noms d'utilisateur
  • Mots de passe
  • Informations sur la carte de crédit
  • Données bancaires
  • Numéros délivrés par le gouvernement (par exemple, Security ou assurance sociale)

Quelle est la différence entre le vishing, le smishing, le quishing et le phishing ?

Le vishing, tout comme le smishing et le quishing, peut être considéré comme une attaque par hameçonnage. Ces trois types d'attaques ne diffèrent que par les vecteurs de menace qu'ils utilisent. Le phishing existe depuis au moins les premiers jours du courrier électronique, et tant le vishing que le smishing sont des combinaisons du mot "phishing" et de la méthode de communication utilisée. Le vishing (hameçonnage vocal) se produit par le biais d'une communication vocale, et le smishing (hameçonnage par SMS) utilise les SMS comme moyen d'attaque. Le quishing est une attaque par hameçonnage via un code QR frauduleux.

Qu'est-ce qu'une attaque par ingénierie sociale ?

Diverses formes de phishing, y compris le vishing, peuvent faire appel à des tactiques d'ingénierie sociale. En termes de cybersécurité, l'ingénierie sociale consiste à manipuler les émotions humaines pour réduire la pensée rationnelle d'une cible et l'amener à accomplir une action douteuse. Voyons comment l'ingénierie sociale peut renforcer une attaque de vishing :

  • Peur : lors d'une escroquerie à l'IRS, un escroc peut effrayer sa cible en la menaçant d'emprisonnement pour l'inciter à payer de faux impôts.
  • L'appât du gain : un mauvais acteur peut annoncer à une cible qu'elle a faussement gagné à la loterie et lui demander de payer à l'avance les taxes et les frais.
  • L'amour : Un membre d'une bande criminelle peut se faire passer pour un partenaire romantique et demander de l'argent pour un voyage en avion ou une urgence. Souvent, ces escroqueries commencent sur les médias sociaux et se transforment ensuite en attaques par vishing.
  • La colère : Un escroc peut manipuler la colère en demandant des dons contre un candidat politique impopulaire, par exemple.
  • Compassion : Une fausse organisation caritative peut appeler les gens à froid, dans l'espoir de collecter de l'argent pour une catastrophe, une urgence ou une autre cause apparemment noble. De même, dans un exemple classique de fraude aux personnes âgées, les escrocs peuvent cibler les personnes âgées en se faisant passer pour des membres de leur famille ou des connaissances au téléphone.

Comment se fait le vishing ?

L'hameçonnage fonctionne en combinant l'ingénierie sociale avec des outils de communication vocale. Un attaquant peut utiliser des robocalls, des numéros de téléphone internationaux ou des logiciels de voix sur IP ( VOIP ) pour lancer une attaque. Les escrocs peuvent également envoyer des messages textuels frauduleux qui incitent les victimes à les appeler par le biais de liens ou de numéros de téléphone. L'hameçonnage peut viser des particuliers ou des organisations. Un acteur de la menace peut utiliser ce type d'attaque pour recueillir des informations auprès d'une entreprise, par exemple.

Exemple d'attaque par hameçonnage

Malheureusement, chaque année, de nombreuses personnes se font piéger par des escroqueries de type "vishing". Souvent, la menace de devoir de l'argent à une agence gouvernementale est suffisamment convaincante et effrayante pour que les victimes paient. Aux États-Unis, les escrocs se font souvent passer pour des agents de l'Internal Revenue Service (IRS) chargés de recouvrer des impôts, menaçant la victime d'une peine de prison si elle ne paie pas ce qu'elle est censée devoir.

Il en va de même au Canada, où un certain nombre de Canadiens ont été "vishés" par des acteurs menaçants prétendant être l'Agence du revenu du Canada (ARC). L'une des victimes de cette escroquerie a expliqué qu'elle s'était sentie stupide d'être tombée dans le panneau et a déclaré que c'était l'un des aspects les plus difficiles de la situation.

Parfois, les attaques par vishing se retournent contre les victimes, comme lorsque Keniel Aeon Thomas, de la Jamaïque, a choisi la mauvaise cible. L'escroc pensait probablement avoir une cible facile lorsque William Webster, 90 ans, a décroché le téléphone. M. Thomas a annoncé à M. Webster que lui et sa femme Lynda avaient gagné 15,5 millions de dollars et une Mercedez-Benz. Mais avant qu'il ne puisse partager les gains avec eux, les Webster devaient envoyer un virement bancaire de 50 000 dollars pour couvrir les taxes. L'extorqueur était loin de se douter que Webster était un ancien directeur de la CIA, un ancien directeur du FBI et un ancien juge fédéral. Le couple a contacté le FBI pour qu'un agent puisse écouter les appels et, grâce à la rapidité d'esprit des Websters, l'escroc a fini par purger une peine.

Malheureusement, la plupart des histoires de vishing ne se terminent pas aussi bien. Avant d'être condamné, Thomas avait escroqué des centaines de milliers de dollars à 30 personnes. C'est pourquoi il est important de reconnaître les tentatives d'hameçonnage ou d'escroquerie afin de vous protéger si vous recevez le prochain appel.

Comment arrêter le vishing

Les personnes qui sont victimes d'attaques de vishing peuvent être bien informées du risque, mais simplement prises au dépourvu. Les acteurs de la menace modifient régulièrement leurs tactiques pour essayer de tromper les gens de nouvelles façons. Il se peut que vous receviez un appel au cours d'une journée chargée, alors que la dernière chose à laquelle vous vous attendez est une attaque par hameçonnage, ou que l'appelant utilise des informations qui semblent suffisamment familières pour être convaincantes. Pour rester vigilant et être prêt si vous recevez l'un de ces appels, voici quelques points à retenir :

  • Faites attention au ton de l'appelant. Les escrocs peuvent également utiliser un ton discourtois ou impatient pour suggérer l'urgence ou susciter la peur, contrairement aux employés qualifiés de l'organisation qu'ils prétendent représenter.
  • Restez calme et reprenez votre souffle. Les auteurs de vishing créent un faux sentiment d'urgence en exploitant vos émotions. Ne communiquez aucune information sensible par téléphone sans avoir vérifié l'identité de l'appelant. Vous pouvez rechercher son organisation et l'appeler directement.
  • Restez sur vos gardes même si l'appelant possède certaines de vos informations. Par exemple, il peut avoir recueilli certaines de vos données accessibles au public sur Internet, comme votre nom, votre localisation ou votre adresse IP.
  • Filtrez vos appels à l'aide de l'identification de l'appelant et ne décrochez pas les numéros inconnus ou suspects. Attendez que l'appelant vous laisse un message vocal pour décider si vous devez rappeler. N'oubliez pas que de nombreux robocalls suivent un script reconnaissable.
  • Soyez prudent et raccrochez si vous pensez qu'il s'agit d'un escroc.

Comment signaler un cas de vishing ?

Aux États-Unis, contactez la FTC et le FBI pour signaler toute escroquerie par vishing, ou l'organisme d'application de la loi compétent dans votre pays. Vous pouvez également appeler l'organisation que l'escroc utilise pour tenter de vous manipuler, par exemple en contactant l'IRS si vous pensez être la cible d'une escroquerie à l'IRS. Si l'auteur de l'appel indique qu'il travaille pour une certaine organisation, recherchez le numéro de téléphone officiel de cette organisation et appelez-la directement pour lui poser des questions sur les appels. 

Articles connexes