Ingénierie Sociale : Qu’est-ce que le Vishing ?

Ingénierie Sociale :
Qu'est-ce que le Vishing ?

« Vishing » est un mot valise formé en combinant le mot « voice » (‘voix’) et le mot « phishing ». Il se réfère à des escroqueries par phishing effectuées par téléphone. Les victimes sont poussées à dévoiler des informations financières ou personnelles importantes. Une autre forme de phishing est le smishing qui utilise les SMS pour vous hameçonner.

Qu’est-ce que le vishing ?

Le vishing est une forme spécifique d’ingénierie sociale, plus particulièrement une attaque de phishing réalisée par téléphone. Comme pour le phishing, la victime est incitée à partager des informations confidentielles par une fausse excuse donnée par le pirate.

Les escrocs/hackers compétents ont tout mis en place pour paraître légitimes :

  • Les bonnes informations : ils ont déjà vos nom, adresse, numéro de téléphone et coordonnées bancaires. En fait, ils disposent de toutes les informations qu’un appelant sincère pourrait avoir.
  • L’urgence : on vous fait croire que votre argent est en danger et que vous devez agir rapidement. La peur conduit souvent les gens à agir sans réfléchir.
  • L’expertise téléphonique : Le numéro de téléphone semble provenir d’un autre endroit (spoofing [lien en anglais], c’est-à-dire que ce numéro a été usurpé) . Vous décrochez donc le téléphone en faisant confiance a priori à l’appelant parce que le numéro vous met en confiance.
  • Une ambiance professionnelle :  Vous entendez beaucoup de bruit de fond, ce qui ressemble à un centre d’appels, plutôt qu’à l’appel d’un individu dans un sous-sol. Les pirates possèdent ou bien un centre d’appel ou bien diffusent des effets sonores. Tout est fait pour que ce soit réaliste.

Par conséquent, si la victime tombe dans le piège et fournit des informations personnelles, elle finit par devenir victime d’une usurpation d’identité.

Quelques exemples de vishing

Scénario de vishing N°1

Vous rentrez du travail et vérifiez votre boîte vocale pour voir si quelqu’un a appelé. Vous lancez votre boîte vocale et entendez le message suivant :

« Bonjour, je suis Eva de la société ABC Télécommunications. Je vous appelle pour confirmer la fermeture de votre compte. Votre connexion Internet et votre ligne fixe seront suspendues demain matin, le 6 mai à 8h00. Notre comptabilité indique que vous avez un solde impayé. Veuillez s’il vous plait appeler notre service client au 00- … pour régler le solde dû de votre facture”.

Un tel message vise à créer un sentiment d’urgence et à vous pousser à saisir votre téléphone pour appeler le numéro indiqué. De toute évidence, vous ne voulez pas perdre votre connexion Internet et votre ligne téléphonique et vous voulez régler le problème avant que tout ne soit coupé. Vous appelez immédiatement et la société ABC Télécommunications vous répond, et vous fournit une procédure automatisée pour éviter la fermeture de votre compte. On vous demande d’entrer votre numéro de sécurité sociale ou votre numéro de carte d’identité et votre numéro de carte bancaire pour vérifier que vous êtes effectivement le titulaire de votre compte. Après avoir entré les deux numéros, la ligne est coupée.

Scénario de vishing N°2

Vous êtes en train de regarder la télévision dans votre salon à 20h00 lorsque le téléphone sonne. Vous vérifiez le numéro de l’appelant et c’est celui de votre banque. Vous décrochez le téléphone.

« Bonjour, c’est la banque XYZ. Au cours de la dernière heure, trois tentatives d’accès à votre compte infructueuses ont eu lieu. Pour sécuriser votre compte et protéger vos informations personnelles, la banque ABC a verrouillé votre compte. Nous souhaitons tout mettre en oeuvre pour que vos transactions en ligne soient sécurisées. Veuillez s’il vous plaît appeler notre service de sécurité au 1-800- etc”.

Vous savez que vous n’avez pas effectué «trois tentatives infructueuses pour accéder à votre compte au cours de la dernière heure». Au lieu de cela, vous étiez dans votre salon en train de regarder la télévision. Là aussi, l’objectif est de vous faire peur et de vous pousser à appeler le numéro indiqué.

Vous appelez donc le numéro et donnez les informations demandées pour authentifier votre identité, comme votre numéro de compte bancaire, votre code PIN et votre numéro d’identifiant national.

Ensuite, la ligne se coupe, ou – pire encore – vous êtes transféré vers la vraie banque XYZ, parlez à un réel employé, et découvrez que vous venez d’être victime d’une attaque de vishing.

Comment et pourquoi est-ce si facile ?

Les attaques par vishing sont difficiles à repérer, car elles utilisent principalement le protocole VoIP  (Voice over Internet Protocol). Cela signifie qu’elles lancent l’appel et le terminent sur un ordinateur qui peut être localisé n’importe où dans le monde.

Et comment se fait-il que ce soit le numéro de téléphone de votre société de télécommunications ou de votre banque qui apparaît lors de la présentation du numéro de l’appelant, alors qu’il s’agit en fait d’un pirate ? Parce que ce dernier l’a usurpé (lien en anglais). Certains services, comme Spoofcard, Burner (application mobile gratuite), … permettent de changer votre numéro de téléphone, afin que celui que vous appelez ne sache pas que c’est vous qui l’appelez. Vous pouvez afficher tous les numéros que vous voulez. Cela permet aux attaques par vishing de paraître parfaitement légitimes lors de la présentation du numéro. Substituer un autre numéro peut être parfois légal (dans le cadre de la lutte contre le spam, pour des raisons de confidentialité, etc.), ou non (fraude en ligne, etc.) en fonction des lois et réglementations locales.

Comment détecter une attaque de Vishing ?

Comme nous venons de le mentionner, reconnaître un numéro de téléphone ne suffit pas à garantir la validité d’un appel téléphonique.

Quels sont les autres moyens de repérer une attaque par hameçonnage vocal ?

  • À moins que vous n’ayez demandé à être appelé par une organisation spécifique, soyez toujours prudent lorsque vous êtes contacté par quelqu’un qui prétend en faire partie. Surtout si l’on vous demande des informations sensibles.
  • Vérifiez tout scrupuleusement. Les escrocs utiliseront un faux sentiment d’urgence pour vous faire prendre de mauvaises décisions. Même si votre banque vous appelle pour vous dire qu’il y a un problème avec votre compte, prenez le temps de la rappeler, en utilisant le numéro indiqué sur son site Web. Vous pouvez également les contacter par e-mail ET sur les médias sociaux pour avoir différentes sources.

Comment se protéger contre le Vishing?

  • N’appelez jamais le numéro qui vous a été indiqué ou qui est affiché lors de la présentation du numéro de l’appelant (sauf s’il s’agit d’un numéro d’un ami, d’un parent, etc.). Prenez le temps de chercher le numéro légitime, (par exemple, directement sur le site Web de votre banque), et appelez-le.
  • Ne révélez jamais d’informations personnelles – à qui que ce soit ! Cela vaut pour tout type de demande de renseignements personnels. Pour votre information : les véritables entreprises ne réclament pas vos numéro de sécurité sociale, numéro de pièce d’identité, numéros de carte bancaire OU code PIN par téléphone.
  • Raccrochez si vous recevez un appel suspect. Avant de rappeler le véritable numéro de l’entreprise, faites quelques recherches sur internet. Il est fort probable que d’autres victimes aient déjà publié des informations à ce sujet.
  • Faites attention à ce que vous publiez en ligne. Tout comme dans le cas des autres techniques d’ingénierie sociale, les pirates peuvent utiliser ce qu’ils trouvent en ligne à votre sujet pour rendre leur attaque plus efficace. Évitez de publier des informations sensibles telles que le nom de votre banque, votre adresse exacte, etc.

Si vous n’avez pas pu vous protéger d’une attaque par vishing, vous pouvez signaler toute usurpation d’identité à l’adresse suivante :

https://www.identitytheft.gov/

Contactez dès que possible l’organisation que l’escroc a prétendu être pour lui faire savoir que quelqu’un pourrait avoir accès à vos informations personnelles. Elle pourrait vous donner des conseils spécifiques pour protéger votre compte.

Quoi d’autre ?

Utilisez des services sécurisés tels qu’une suite chiffrée comme Mailfence. Nous prenons en charge le système 2FA, qui est un excellent moyen de renforcer votre compte. Suivez notre cours de sensibilisation à la sécurité et à la confidentialité des emails pour plus de détails sur la manière de mieux vous protéger contre les cybermenaces émergentes d’aujourd’hui. La formation est essentielle pour éviter l’ingénierie sociale.

Obtenez votre messagerie securisée

Et retrouvez votre vie privée dès aujourd’hui !

– L’Équipe Mailfence

Partagez Cet Article
Avatar for M Salman Nadeem

M Salman Nadeem

Salman travaille comme analyste de la sécurité de l'information pour Mailfence. Ses domaines d'intérêt incluent la cryptographie, l'architecture et la conception de la sécurité, le contrôle d'accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem

Vous aimerez aussi...