Hameçonnage vocal

Qu’entend-on hameçonnage vocal?

L’hameçonnage vocal s’entend d’appels téléphoniques ou de messages vocaux frauduleux qui visent à obtenir par la ruse des renseignements personnels des victimes, comme des coordonnées de connexion, des numéros de cartes de crédit ou des données bancaires. Ces renseignements peuvent ensuite être exploités pour des activités criminelles comme la fraude, le vol d’identité ou le vol d’argent. Les attaques par hameçonnage sont courantes et ont des conséquences coûteuses : en 2022, l’hameçonnage était la deuxième cause de violation de données en importance et a coûté en moyenne aux organisations touchées 4,91 M$ en dommages.

Lors d’escroqueries par hameçonnage vocal, les agresseurs prétendent travailler pour une organisation fiable (comme la banque de la victime, le service des impôts, ou un service de livraison de colis) et ils appellent de façon inopinée. Ils peuvent utiliser des numéros sans frais ou se servir d’une technologie VoIP (voix sur IP) pour donner l’impression de venir d’une organisation de confiance.

Toutefois, ces attaques ne se limitent pas aux appels téléphoniques. Bon nombre d’attaques par hameçonnage vocal commencent par un courriel, demandant au destinataire de composer un numéro. Une fois que l’appel est en cours, le fraudeur emploie des tactiques d’ingénierie sociale pour convaincre la cible de leur fournir des renseignements personnels.

Souvent, les fraudes par hameçonnage vocal ciblent les personnes âgées, les nouveaux employés et les employés qui reçoivent régulièrement des appels de l’extérieur dans le cadre de leurs fonctions. Pour se défendre contre de telles attaques, il faut une bonne dose de vigilance, des mesures préventives éclairées et des solutions de sécurité des courriels à toute épreuve. Cette page présente les techniques préventives et les outils pouvant protéger vos informations sensibles contre les attaques par hameçonnage vocal.

Quel est le but de l’hameçonnage vocal?

Le principal but de l’hameçonnage vocal est d’obtenir de façon illégale des renseignements privés et sensibles d’une personne ou d’une entreprise. Les types de renseignements utiles que convoitent les fraudeurs sont notamment :

• des renseignements confidentiels, comme ceux d’un compte bancaire ou un numéro de carte de crédit;
• des données personnelles, comme un numéro d’assurance sociale ou des numéros d’identification;
• des identifiants de sécurité, des mots de passe ou des numéros d’identification personnels (NIP).

Pourquoi certaines personnes optent-elles pour l’hameçonnage vocal?

La manipulation par communication vocale procure aux agresseurs deux avantages uniques : le sentiment d’urgence et la confiance. Les appels vocaux permettent à un fraudeur de prendre ses victimes au dépourvu, les poussant à prendre des décisions impulsives. Le fraudeur peut aussi créer un lien personnel avec la cible, réagir de manière dynamique au comportement de la victime, et exploiter ses signaux émotionnels, ce qui est plus difficile par de simples courriels d’hameçonnage.

L’hameçonnage vocal attire de plus en plus les fraudeurs, car les technologies avancées facilitent la tromperie et la rendent plus efficace. Des outils offerts gratuitement ou à faible coût, comme la VoIP et la falsification de l’identité de l’appelant, permettent de trafiquer un numéro afin qu’un numéro de confiance soit affiché et que l’identité et l’origine de l’agresseur soient masquées. Les fraudeurs commencent également à utiliser des logiciels sophistiqués pour cloner la voix d’une personne et ainsi rendre les communications frauduleuses beaucoup plus convaincantes. La technologie deepfake devient de plus en plus accessible, et la différence entre les voix réelles et synthétiques est à s’y méprendre. Pour cette raison, le danger des attaques par hameçonnage vocal est considérablement accru.

Quelle est la différence entre l’hameçonnage vocal, l’hameçonnage et l’hameçonnage par message texte?

Ces trois types d’hameçonnage utilisent des modes de communication différents, mais leurs objectifs sont les mêmes : prendre contrôle d’un compte, commettre une fraude, ou voler de l’argent à des personnes ou à des entreprises sans méfiance.

Voici ce qui distingue les trois types d’hameçonnage :

• Hameçonnage vocal : Fraude par téléphone qui consiste à exercer sur la victime une pression afin qu’elle divulgue verbalement des renseignements sensibles.
• Hameçonnage : Fraude par courriel qui trompe la victime en lui proposant un lien cliquable qui la dirigera vers un site Web frauduleux ou qui téléchargera un logiciel malveillant.
• Hameçonnage par message texte : Fraude par message texte qui dupe aussi la victime en l’incitant à cliquer sur un lien malveillant ou à visiter un faux site Web.

Comment se fait-il que les courriels d’hameçonnage vocal ne soient pas détectés?

Les attaques par hameçonnage vocal ne commencent pas toujours par un appel téléphonique. Nombreux sont les agresseurs qui commencent une fraude par un courriel bien monté et présenté sous une entité autoritaire ou digne de confiance. Ils persuadent le destinataire de suivre leurs instructions et d’effectuer un appel téléphonique. Si l’attaque par hameçonnage vocal s’amorce par un courriel, comment ce dernier fait-il pour contourner les filtres de sécurité? Trois raisons sont possibles :

• Le courriel ne contient aucun lien : Les systèmes de sécurité signalent facilement les courriels contenant un lien malveillant. Toutefois, un courriel d’hameçonnage vocal invite habituellement le destinataire à faire un appel. Or, le courriel ne contient aucun lien que l’outil de sécurité pourrait détecter. Le contenu met l’accent sur l’invitation à appeler, mettant de côté les boutons ou les liens cliquables traditionnels que l’on voit habituellement dans les tentatives d’hameçonnage.
• Courriel d’un expéditeur prétendument authentique : Les comptes de courriel usurpés peuvent passer les contrôles de sécurité – comme le protocole de signalement DMARC  (Domain-Based Message Authentication), le cadre SPF (Sender Policy Framework) ou la norme DKIM (DomainKeys Identified Mail) – s’ils sont acheminés à partir d’une adresse courriel personnelle, comme Gmail.
• Outils inefficaces de sécurité des courriels : Si un courriel réussit à passer les deux premiers filtres, il pourrait être catégorisé comme un courriel à faible risque par les systèmes de sécurité de base, puis être envoyé dans la boîte de réception du destinataire. Ce problème fréquent peut être maîtrisé par des logiciels sophistiqués de sécurité des courriel, conçus pour détecter les tentatives d’hameçonnage, la compromission des courriels professionnels et les rançongiciels, puis prendre des mesures correctives.

Les numéros de téléphone, contrairement aux URL, ne sont pas régulièrement suivis et ne sont pas signalés comme indicateurs de compromission (IOC) dans la communauté de la cybersécurité. Ce manque de structure augmente la probabilité que les campagnes d’hameçonnage vocal parviennent à détourner les contrôles traditionnels de sécurité des courriels.

Exemples d’hameçonnage vocal

Les percées technologiques ont fait évoluer les fraudes par hameçonnage courantes, qui sont devenues des attaques incroyablement convaincantes. Exploitant la confiance humaine et le sentiment d’urgence, ces fraudes imitent de vrais scénarios et de vraies entreprises, causant de graves conséquences aux organisations touchées.

Voici quelques exemples courants des attaques par hameçonnage vocal :

Fraude relative à l’impôt

Les fraudes par hameçonnage vocal se présentent souvent par un message vocal préenregistré vous signalant un problème dans votre déclaration de revenus, vous sommant de joindre directement le service d’impôts au numéro fourni. Ces messages vocaux sont généralement menaçants et préviennent le destinataire que s’il ne répond pas à sa demande, il pourrait faire l’objet d’un mandat d’arrestation.

Il est courant que les cybercriminels se fassent prendre pour les services d’impôts, que ce soit par courriel ou par message vocal. Le nom du service d’impôts instaure d’emblée la confiance et un sentiment de panique, incitant les victimes à agir rapidement sans s’interroger sur la légitimité de la demande.

Attaque par soutien technique

En cas de fraude par soutien technique, les fraudeurs agissent à titre de représentants d’une entreprise, comme Apple, Microsoft ou Google, et vous informent d’une activité suspecte dans votre compte en ligne. Ils vont souvent demander l’adresse courriel pour envoyer des mises à jour cruciales, qui sont en réalité des téléchargements infectés de logiciels malveillants.

Les fraudes par soutien technique exploitent le possible manque de connaissances de la victime sur le sujet. Ces fraudeurs utilisent des tactiques qui font peur à la victime et suscitent un sentiment d’urgence, comme une menace sérieuse à la sécurité ou un problème technique grave. Ils peuvent offrir des solutions immédiates qui leur donneront accès à distance à l’ordinateur de la victime. Dans ce cas, les agresseurs pourront voler des données professionnelles ou personnelles, installer des logiciels malveillants ou causer des dommages dans l’ensemble du système.

Fraude par l’usurpation de l’identité d’une banque

Dans ce type de fraude, les fraudeurs se font passer pour une société émettrice de cartes de crédit, une banque ou une autre institution financière pour obtenir un accès non autorisé à vos comptes. En alléguant une activité inhabituelle ou suspecte sur votre compte, les fraudeurs voudront, prétendument pour redresser la situation, vérifier les renseignements du compte et vos coordonnées de connexion.

Si vous appelez directement votre établissement bancaire, celui-ci pourrait vérifier votre identité au moyen de renseignements confidentiels. Toutefois, les établissements bancaires légitimes ne vous appelleront jamais pour vous demander votre mot de passe ou vos codes de sécurité.

Fraude de sécurité sociale ou d’assurance-maladie

Les adultes âgés sont souvent une cible pour les cybercriminels, car ils sont peut-être moins familiers avec les tactiques de fraudes par hameçonnage modernes. Dans ce type de fraudes, les criminels se font passer pour un fonctionnaire responsable de la sécurité sociale ou de l’assurance-maladie afin de soutirer des renseignements sensibles prétendument pour émettre un nouveau numéro d’assurance sociale ou pour discuter de certains avantages. Les adultes âgés sont plus enclins à communiquer par téléphone que par courriel ou message texte, s’exposant davantage aux stratagèmes d’hameçonnage vocal qu’aux autres types d’hameçonnage.

Dites à vos proches qui, selon vous, pourraient être plus vulnérables à ces types de fraudes que les services des impôts, de la sécurité sociale ou de l’assurance-maladie ne les appelleront jamais pour les menacer ou leur demander des renseignements personnels. Les agences fédérales légitimes ne communiquent pas avec les citoyens par téléphone, par courriel, par message texte ou par les médias sociaux pour leur demander des renseignements personnels ou financiers.

Fraudes par colis

La prévalence du magasinage en ligne a fait en sorte que le suivi des achats est devenu un réel défi pour bien des personnes et bien des entreprises, et les cybercriminels profitent de la situation. Les fraudeurs, qui se font passer pour des représentants d’Amazon ou d’UPS, informent le client d’un problème allégué avec son colis et lui donnent un numéro de téléphone à composer s’il souhaite en savoir plus sur sa commande fictive.

Si le client compose le numéro, la personne au bout du fil est un fraudeur se présentant comme un agent du service à la clientèle, prêt à soutirer des renseignements personnels à l’appelant. Vu la forte augmentation de la popularité d’Amazon Prime Day et du magasinage en ligne, les clients se doivent de rester vigilants.

Fraudes par prêts et placements

Une prudence extrême est de mise si une personne vous approche pour vous offrir une occasion d’investir présentant un rendement élevé à faible risque, ou des prêts qui vous permettront contre toute attente de payer vos dettes très rapidement. Si l’offre semble trop belle pour être vraie, c’est généralement le cas.

Voici des conseils importants pour vous protéger des fraudes par prêts et placements :

• Posez des questions sur le risque et les coûts associés.
• Résistez aux discours de vente sous pression ou des tactiques de vente agressive.
• Insistez pour recevoir les détails par écrit et faites ensuite vos propres recherches.
• Ne vous engagez pas seulement sous prétexte que la personne vous inspire confiance.
• Vérifiez l’inscription du placement et du vendeur.
• Refusez les offres de placement sans risque ou à rendement garanti – ce sont des signaux d’alerte, car un véritable placement comporte toujours une part de risque.

Fraudes par hameçonnage vocal cloné

La technologie de clonage de la voix utilise l’intelligence artificielle pour créer de faux enregistrements vidéo ou audio au réalisme alarmant. Les cybercriminels utilisent désormais ces outils d’IA pour fabriquer des enregistrements vocaux qui imitent la voix d’une personne de confiance ou d’un membre de la famille de la personne ciblée. Par exemple, la voix d’un PDG d’entreprise pourrait être reproduite pour demander un important transfert d’argent. Un employé d’un échelon inférieur pourrait penser que l’appel est réel parce que la voix est reproduite avec précision et suivre les instructions vu le sentiment d’urgence créé et son respect pour la demande autorisée.

Les outils de clonage de la voix deviennent plus sophistiqués et plus accessibles, et donc le risque de fraude augmente, soulignant la nécessité de disposer de protocoles de sécurité solides et d’une vigilance accrue – même si l’appelant sonne familier.

Que sont les signes d’hameçonnage vocal?

Savoir reconnaître les signes d’une tentative d’hameçonnage vocal peut être la clé pour protéger votre identité et vos finances. Voici des conseils pour repérer une fraude par hameçonnage vocal :

• Faux numéros de téléphone : En cas d’hameçonnage vocal, les fraudeurs utilisent souvent les numéros de téléphone qui donnent l’impression de venir d’une entreprise ou d’un établissement de confiance, qui diffèrent subtilement des vrais numéros. Par exemple, les fraudeurs pourraient utiliser des numéros qui se rapprochent drôlement de celui d’une banque légitime, comptant sur la possibilité que les destinataires ne remarquent pas la petite différence. Il faut toujours être vigilant si l’identifiant de l’appelant affiche un numéro local ou le nom d’une entreprise que vous connaissez.
• Tactiques d’appel agressif : Les tactiques d’hameçonnage et d’hameçonnage vocal suscitent généralement la crainte ou le sentiment d’urgence. Vous pourriez entendre des expressions comme « problème urgent avec le compte », « activité suspecte détectée » ou « dernier avertissement » pour solliciter une réaction précipitée. Soyez prudent si un appel vous incite à agir rapidement, surtout si votre argent ou vos renseignements personnels sont en jeu. Les fraudeurs pourraient également feindre la familiarité ou mentionner une conversation antérieure, une relation ou un lien hiérarchique. Ces méthodes renforcent ce qui ressemble à un rapport, mais graduellement elles orientent la victime vers un compromis.
• Demandes inattendues de données sensibles : Le but d’une attaque par hameçonnage vocal est de voler vos renseignements sensibles, comme vos mots de passe, votre NIP, des codes de vérification, ou des renseignements financiers. Les établissements légitimes ne vous demanderont jamais de tels renseignements lors d’un appel non sollicité.
• Utilisation de renseignements publics : Pour donner l’impression que l’appel est légitime, les fraudeurs pourraient faire mention de renseignements que vous considérez comme personnels, mais qu’ils ont obtenus de sources en ligne ou des médias sociaux. Cependant, ce n’est pas parce qu’une personne connaît votre adresse, vos dernières transactions ou des détails de famille que l’appelant est authentique. 
• Faites vos propres vérifications : Si un appel semble suspect, même s’il sonne véritable, évitez d’agir sur-le-champ. Au lieu de faire ce que l’appelant vous demande, raccrochez et appelez directement l’établissement concerné en composant le numéro qui figure sur son site Web officiel ou, s’il s’agit d’une personne, le numéro qui se trouve dans vos contacts. Évitez toujours d’utiliser des numéros fournis pendant un appel suspect.

Que devriez-vous faire en cas d’attaque par hameçonnage vocal?

Si vous avez été victime d’hameçonnage vocal, prenez immédiatement des mesures pour atténuer les dommages potentiels et éviter que vos renseignements soient exploités. Vous pourriez, par exemple :

• prévenir vos établissements financiers de l’activité frauduleuse et demander la surveillance de vos comptes ou un gel en cas d’activités inhabituelles;
• changer tous les éléments compromis comme les mots de passe, les NIP et les coordonnées de connexion de vos comptes pour des options uniques et difficiles à deviner;
• informer l’établissement concerné que le fraudeur a prétendu y travailler, car cet établissement pourrait vous offrir une aide supplémentaire et prendre des mesures pour aviser la population;
• déposer une plainte au Bureau de la protection du consommateur ou le Centre antifraude pour contribuer aux efforts de lutte contre ces types d’arnaques.
• Si vous êtes un employé et avez divulgué des renseignements sensibles de l’entreprise, informez immédiatement le service informatique ou l’équipe chargée de la cybersécurité pour que les protocoles de contrôle des dommages soient entamés.

L’hameçonnage vocal et d’autres cybercrimes continueront d’exploiter le grand public aussi longtemps que les fraudeurs parviendront à tromper les gens. Cependant, en prenant le temps de repérer et de contrer les tentatives d’hameçonnage vocal, il est possible d’en diminuer l’efficacité. Poursuivez votre lecture pour découvrir comment empêcher les attaques par hameçonnage vocal.

Comment empêcher les attaques par hameçonnage vocal et les fraudes téléphoniques?

Pour maîtriser les attaques par hameçonnage vocal et réduire les répercussions possibles sur votre organisation, envisagez ces bonnes pratiques :

Protégez vos comptes au moyen de l’authentification multifacteur (MFA).

MFA est un outil de sécurité qui, au lieu de demander seulement le mot de passe, protège les applications en exigeant au moins deux facteurs de vérification avant d’accorder l’accès au compte. Même si le cybercriminel vole le mot de passe lors d’une fraude par hameçonnage, la MFA lui complique considérablement la tâche, car il devra contourner également les autres facteurs d’authentification.

Renforcez la sécurité de vos courriels grâce à la défense contre les menaces

Souvent, dans les cas d’hameçonnage vocal, les agresseurs passent d’abord par les courriels. Pour vous défendre contre l’hameçonnage vocal, l’hameçonnage, et les tentatives de compromission des courriels professionnels, vous devez moderniser vos filtres de sécurité de vos courriels.

Une solution de défense contre les menaces par courriel peut réduire considérablement le risque de fraudes par hameçonnage vocal auquel s’expose votre organisation. Envisagez une solution comme Cisco Secure Email Threat Defense, qui peut repérer les tentatives d’hameçonnage et les contrer rapidement, avant qu’elles causent des dommages catastrophiques.

Inscrivez-vous à une liste de numéros exclus

Réduisez le risque d’attaques par hameçonnage vocal en vous inscrivant à une liste nationale de numéros exclus. Ces listes, souvent gérées par des agences gouvernementales, peuvent réduire considérablement le nombre d’appels non sollicités que vous recevez d’entreprises légitimes. Cette solution n’arrête peut-être pas les appels frauduleux, mais ceux-ci seront toutefois plus faciles à repérer.

Évitez de répondre à des appels non sollicités

Informez vos employés des bonnes pratiques suivantes lorsqu’ils prennent un appel :

• Évitez de répondre aux appels des numéros inconnus. Si vous n’êtes pas certain que l’appel est légitime, laissez votre boîte vocale s’en charger, puis écoutez le message. Rappelez-vous que l’identifiant et le numéro de téléphone qui s’affichent peuvent avoir été trafiqués.
• Aussitôt que vous constatez qu’un appel est suspect, raccrochez et bloquez le numéro. Les criminels peuvent utiliser l’intelligence artificielle pour reproduire la voix d’une personne. Grâce à un extrait de seulement trois secondes, ils peuvent usurper votre identité et s’en servir dans des activités frauduleuses.
• Ne recomposez jamais un numéro manqué, surtout si le numéro ne vous est pas familier. Cherchez plutôt le numéro officiel sur des sources de confiance, comme un site Web officiel, une carte de crédit ou un relevé de compte documenté.
• Ne répondez pas aux invitations vocales d’un appel non sollicité qui vous demande d’appuyer sur des boutons ou de répondre par oui ou non à des questions. Les fraudeurs utilisent ces trucs pour confirmer qu’ils ont joint une vraie personne et que celle-ci est obéissante.

Soyez à l’affût des tactiques d’hameçonnage vocal d’un hacker social

Demandez à vos employés d’être à l’affût des stratégies suivantes de piratage social qui indiquent une tentative d’hameçonnage vocal :

• La menace d’une fermeture immédiate d’un compte, la menace de poursuite judiciaire, ou la menace d’un mandat d’arrêt si vous ne vous conformez pas rapidement aux demandes.
• La promesse d’une importante récompense, d’un prix en argent ou d’une offre exclusive à laquelle vous devez répondre sur-le-champ.
• L’appelant prétend vous connaître ou avoir avec vous un lien personnel afin que vous baissiez la garde.
• L’insistance afin de vous décourager discrètement de consulter une autre personne ou de vérifier sa légitimité.

Si un appelant utilise ces tactiques, mettez fin à l’appel poliment, mais avec fermeté. Souvenez-vous : les entreprises et les autorités légitimes ne procèdent pas ainsi.

Examinez attentivement les éléments suivants pour savoir si un courriel ou un message texte présente un risque d’hameçonnage vocal :

• Le nom, l’adresse courriel et le numéro de téléphone de l’expéditeur ou de l’appelant
• Le style du langage utilisé et le sentiment d’urgence évoqué
• Toute incohérence ou erreur dans le contenu
• La nature de la demande d’incitation à l’action, surtout si l’action doit être immédiate

Ne donnez jamais de renseignements sensibles par téléphone

Soyez toujours vigilants lorsqu’un appelant vous demande des renseignements personnels ou professionnels, comme un numéro de compte, votre NIP, un mot de passe ou tout autre renseignement confidentiel. Si vous êtes mal à l’aise ou sentez que quelque chose cloche, faites confiance à votre instinct. Mettez fin à l’appel et communiquez directement avec l’établissement en question par un moyen de communication que vous aurez vérifié.

Demandez une preuve d’identité

Donnez toujours priorité à la sécurité des données en exigeant de l’appelant qu’il prouve son identité. Les représentants légitimes d’organisations dignes de ce nom accepteront de fournir les détails sur leur poste, le but de leur appel et l’établissement qu’ils représentent. Pour être bien certain, vous pouvez noter le nom de la personne et recommuniquer avec elle en composant le numéro de téléphone qui figure sur le site Web officiel de l’entreprise ou qui se trouve dans vos dossiers. Refusez les numéros que cette personne pourrait vous suggérer. Cette étape est cruciale pour vous assurer d’interagir avec un représentant légitime et d’éviter de vous faire prendre.

Formez vos employés sur les tactiques de prévention de l’hameçonnage

Il est primordial de consacrer du temps et des ressources à la formation régulière de vos employés pour les renseigner sur les stratégies actuelles de défense contre l’hameçonnage vocal. Le but est de les informer des dernières tendances concernant les cybermenaces et les stratégies défensives et de leur enseigner comment réagir efficacement s’ils sont ciblés par une attaque. Ainsi, votre équipe défendra activement les données sensibles et financières de votre organisation.