Ingénierie Sociale : Qu’est-ce que le Vishing ?

« Vishing » est un mot valise formé en combinant le mot « voice » (‘voix’) et le mot « phishing ». Il se réfère à des escroqueries par phishing effectuées par téléphone. Les victimes sont poussées à dévoiler des informations financières ou personnelles importantes. Le vishing fonctionne comme le phishing, mais il ne se déroule pas toujours sur Internet et il fait appel à la technologie vocale.

vishing

Les techniques les plus couramment employées :

Les escrocs / hackers chevronnés mettent tout en place pour paraître légitimes :

  • La bonne information: ils ont déjà vos nom, adresse, numéro de téléphone et coordonnées bancaires. En fait, ils disposent de toutes les informations qu’un interlocuteur sincère pourrait avoir.
  • L’urgence : Vous êtes amené à croire que votre argent est en danger et que vous devez agir rapidement. La peur conduit souvent les gens à agir sans réfléchir.
  • L’expertise téléphonique :Le numéro de téléphone apparaît comme s’il venait d’un autre endroit (par falsification de la présentation du numéro, cf. Caller ID spoofing [lien en anglais]) ). Vous décrochez donc le téléphone en faisant confiance a priori à l’appelant parce que le numéro vous met en confiance.
  • Une ambiance d’entreprise:  Vous entendez beaucoup de bruit de fond, ce qui ressemble à un centre d’appels, plutôt qu’à l’appel d’un individu dans un sous-sol. Les pirates possèdent ou bien un centre d’appel ou bien diffusent des effets sonores.

Si la victime tombe dans le piège et fournit des informations personnelles, elle finit par devenir victime d’un vol d’identité.

Scénario réaliste N° 1

Vous rentrez du travail et vérifiez votre boîte vocale pour voir si quelqu’un a appelé. Vous lancez votre boîte vocale et entendez le message suivant :

« Bonjour, je suis Eva de la société ABC Télécommunications. Je vous appelle pour confirmer la fermeture de votre compte. Votre connexion Internet et votre ligne fixe seront suspendues demain matin, le 6 mai à 8h00. Notre comptabilité indique que vous avez un solde impayé. Veuillez s’il vous plait appeler notre service client au 00- … pour régler le solde dû de votre facture”.

Un tel message vise à créer un sentiment d’urgence et à vous pousser à saisir votre téléphone pour appeler le numéro indiqué. La société ABC Télécommunications vous répond, et vous fournit une procédure automatisée pour éviter la fermeture de votre compte. Vous devez indiquer votre numéro de sécurité sociale ou votre numéro de carte d’identité et votre numéro de carte bancaire pour vérifier que vous êtes effectivement le titulaire de votre compte. Vous vous exécutez, et la ligne est coupée subitement juste après.

Scénario réaliste N° 2

Vous êtes en train de regarder la télévision dans votre salon à 20h00 lorsque le téléphone sonne. Vous vérifiez le numéro de l’appelant et c’est celui de votre banque. Vous décrochez le téléphone.

« Bonjour, c’est la banque XYZ. Au cours de la dernière heure, trois tentatives d’accès à votre compte infructueuses ont eu lieu. Pour sécuriser votre compte et protéger vos informations personnelles, la banque ABC a verrouillé votre compte. Nous souhaitons tout mettre en oeuvre pour que vos transactions en ligne soient sécurisées. Veuillez s’il vous plaît appeler notre service de sécurité au 1-800- etc”.

Vous savez que vous n’avez pas effectué «trois tentatives infructueuses pour accéder à votre compte au cours de la dernière heure». Au lieu de cela, vous étiez dans votre salon en train de regarder la télévision. Là aussi, l’objectif est de vous faire peur et de vous pousser à appeler le numéro indiqué. Vous vous exécutez, et êtes accueilli avec un message qui ressemble à celui-ci :

« Merci d’avoir appelé la banque XYZ . Pour des raisons de qualité, votre appel peut être enregistré. Pour être redirigé vers le service approprié, veuillez suivre le menu. »

  • Pour vérifier le solde de votre compte courant, ou de votre compte d’épargne, faites le 1.
  • Pour activer une carte bancaire, faites le 2.
  • Pour faire opposition sur un chèque, faites le 3.
  • Pour être redirigé vers un service particulier, faites le 4.
  • Pour toute autre demande, composez le 0.

Vous composez le 4 et le système automatisé vous demande de vous identifier.

« La sécurité de nos clients est essentielle pour nous. Avant de pouvoir répondre à votre demande, nous vous prions de confirmer votre identité. Veuillez taper le numéro de votre compte bancaire, suivi de la touche dièse. »

Vous entrez votre numéro de compte bancaire et entendez l’invite suivante :
« Merci. Maintenant, veuillez taper votre numéro de sécurité sociale ou votre numéro de carte d’identité, suivi de la touche dièse.”

Vous entrez votre numéro de sécurité sociale ou votre numéro de carte d’identité et vous recevez de nouveau une invite du système automatisé :

« Merci. Maintenant, veuillez taper votre code PIN, suivi de la touche dièse. »

Vous entrez votre code PIN et vous entendez  :

« Merci ». La ligne est alors coupée, ou – pire encore – vous êtes transféré dans la vraie banque XYZ, parlez à un employé authentique, et découvrez que vous venez d’êtes victime d’une attaque de vishing.

Comment et pourquoi est-ce si facile ?

Les attaques par vishing sont difficiles à localiser, car elles utilisent principalement le protocole VoIP  (Voice over Internet Protocol), ce qui signifie qu’elles lancent l’appel et le  terminent sur un ordinateur qui peut être localisé n’importe où dans le monde.

Et comment  se fait-il que ce soit le numéro de téléphone de votre société de télécommunications ou de votre banque qui apparaît lors de la présentation du numéro de l’appelant, alors qu’il s’agit en fait d’un pirate ? Parce que ces derniers l’ont usurpé (lien en anglais). Certains services, comme Spoofcard, Burner (application mobile gratuite), … permettent de changer votre numéro de téléphone, afin que celui que vous appelez ne sache pas que c’est vous qui l’appelez. Vous pouvez afficher le numéro que vous voulez. Cela permet aux attaques par vishing de paraître parfaitement légitimes lors de la présentation du numéro. Substituer un autre numéros peut être parfois légal (dans le cadre de la lutte contre le spam, pour des raisons de confidentialité, etc.), ou non (fraude en ligne, etc.) en fonction des lois et réglementations locales.

Comment se protéger contre le Vishing?

  • N’appelez jamais le numéro qui vous a été indiqué ou qui est affiché lors de la présentation du numéro de l’appelant (sauf s’il s’agit d’un numéro d’un ami, d’un parent, etc.). Prenez le temps de chercher le numéro légitime, et appelez ce dernier.
  • Ne révélez jamais d’informations personnelles – à quiconque ! Cela vaut pour tout type de demande de renseignements personnels. Pour votre information : les véritables entreprises ne réclament pas vos numéro de sécurité sociale, numéro de pièce d’identité, numéros de carte bancaire ou code PIN par téléphone.
  • Raccrochez si vous recevez un appel suspect. Avant de rappeler le véritable numéro de l’entreprise, faites des recherches sur internet. Très probablement, d’autres victimes auront déjà publié des informations à ce sujet.

Vous pouvez également signaler tout vol d’identité  sur : https://www.identitytheft.gov/

Surtout, faites preuve de bon sens. Certains signes doivent vous alerter. Réfléchissez-y à deux fois avant d’agir !

Mailfence est un service de messagerie sécurisé et privé. Lisez notre cours de sensibilisation sur la  sécurité et la confidentialité des emails pour mieux vous protéger contre les cybermenaces émergentes d’aujourd’hui !

Obtenez votre messagerie securisée !


Faites passer le message !

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

code

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.