Vishing

Quelle est la définition du phishing vocal ?

Le phishing vocal, ou vishing, vise à passer des appels téléphoniques ou à laisser des messages vocaux aux futures victimes pour les inciter à fournir des informations sensibles, comme les identifiants de connexion, les numéros de carte bancaire ou les coordonnées bancaires. Ces informations sont ensuite exploitées à des fins criminelles, comme des fraudes, l'usurpation d'identité ou des vols d'argent. Les attaques par phishing sont fréquentes et coûteuses : en 2022, le phishing était la deuxième cause la plus courante des violations de données, coûtant aux entreprises 4,91 millions de dollars en moyenne.

Dans le cas des attaques par vishing, les hackers prétendent travailler pour des entreprises réputées (comme la banque de la victime, le service des impôts ou un service de livraison de colis) et passent des appels téléphoniques imprévus. Ils utilisent des numéros gratuits ou la technologie voix sur IP (VoIP) pour se faire passer pour des entreprises connues.

Cependant, ces attaques ne se limitent pas à des appels téléphoniques. La plupart des attaques par phishing vocal commencent par un e-mail d'hameçonnage incitant le destinataire à composer un numéro. Une fois l'appel lancé, les hackers se servent de tactiques d'ingénierie sociale pour convaincre la victime de divulguer des informations personnelles.

Les hackers ciblent souvent des personnes âgées, de nouveaux collaborateurs et des employés qui reçoivent régulièrement des appels externes dans le cadre professionnel. Pour se protéger contre les attaques par vishing, il convient de rester vigilant, de prendre des mesures abouties de précaution et de s'équiper de solutions robustes de sécurité de la messagerie. Cette page présente les techniques et les outils de prévention qui protègent vos informations sensibles contre les attaques par phishing vocal.

Quel est l'objectif du vishing ?

Le principal objectif du vishing est d'acquérir illégalement des informations sensibles privées auprès d'individus ou d'entreprises. Voici les types d'informations précieuses recherchées par les hackers :

• Des informations confidentielles comme les numéros de comptes bancaires et de cartes bancaires
• Des données personnelles comme les numéros de sécurité sociale ou d'identification
• Des informations d'identification de sécurité, des mots de passe ou des codes PIN

Pourquoi les utilisateurs tombent-ils dans le piège du vishing ?

Les hackers optent pour des communications verbales pour manipuler leurs victimes en s'appuyant sur deux atouts uniques : l'urgence et la confiance. En passant des appels vocaux, les hackers peuvent prendre les individus au dépourvu pour les pousser à prendre des décisions impulsives. Ils peuvent également nouer des liens personnels avec la cible, s'adapter dynamiquement au comportement de la victime et exploiter les signaux émotionnels, ce qui est plus compliqué via des e-mails de phishing standard.

Le vishing attire de plus en plus de hackers, car les technologies avancées rendent la fraude plus simple et plus efficace. Des outils gratuits ou peu chers, comme la voix sur IP (VoIP) et l'usurpation de l'ID de l'appelant, imitent des numéros de confiance et dissimulent l'identité et l'origine du hacker. Les hackers commencent aussi à utiliser des logiciels sophistiqués pour cloner la voix d'une personne, ce qui rend les communications frauduleuses encore plus convaincantes. Face à l'accessibilité des technologies de trucage, il est de plus en plus difficile de faire la distinction entre une voix réelle et une voix synthétique, ce qui augmente le danger lié aux attaques par phishing vocal.

Quelle est la différence entre vishing, phishing et smishing ?

Le vishing, le phishing et le smishing utilisent différents modes de communication, mais leurs objectifs restent les mêmes : prendre le contrôle de comptes, commettre des fraudes ou voler de l'argent à des individus ou des entreprises peu méfiants.

Voici la différence entre ces trois méthodes de phishing :

• Vishing : des attaques par appel téléphonique qui poussent les victimes à partager oralement des informations sensibles
• Phishing : des attaques par e-mail qui persuadent les victimes de cliquer sur des liens menant à des sites web trompeurs ou lançant le téléchargement de malwares
• Smishing : des attaques par SMS qui demandent aussi aux victimes de cliquer sur des liens malveillants ou de visiter de faux sites web

Comment les e-mails de vishing contournent-ils les systèmes de détection ?

Toutes les attaques par vishing ne commencent pas par un appel téléphonique. De nombreux hackers lancent leur attaque avec un e-mail bien conçu qui se fait passer pour une entité de confiance ou officielle. Ils persuadent le destinataire de suivre la demande en passant un appel téléphonique. Si une attaque par phishing vocal commence par un e-mail d'hameçonnage, comment parvient-elle à contourner les filtres de la solution de sécurité de la messagerie ? Trois raisons peuvent l'expliquer :

• Pas de liens dans l'e-mail : les systèmes de sécurité détectent facilement les e-mails contenant des liens malveillants. Cependant, un e-mail de vishing demande généralement au destinataire de passer un appel téléphonique, ce qui évite d'ajouter des liens facilement repérables par les outils de sécurité standard. Le contenu insiste sur le fait de passer un appel et ne propose pas du tout de liens ou de boutons classiques sur lesquels vous devez cliquer comme dans les tentatives de phishing standard.
• Des e-mails envoyés par un expéditeur qui semble authentique : des comptes de messagerie usurpés peuvent réussir à passer les contrôles d'authentification comme Domain Based Message Authentication Reporting (DMARC), Sender Policy Framework (SPF) ou DomainKeys Identified Mail (DKIM), s'ils sont envoyés depuis une adresse e-mail personnelle, comme un compte Gmail.
• Des outils inefficaces de sécurité des e-mails : si un e-mail passe avec brio les deux premiers filtres, il sera classifié comme peu risqué par les systèmes basiques de sécurité de la messagerie et envoyé dans les boîtes de réception des destinataires. Ce problème récurrent peut être réglé avec des logiciels sophistiqués de sécurité de la messagerie conçus pour détecter et éliminer les tentatives de phishing, la compromission des e-mails d'entreprise et les ransomwares.

Contrairement aux URL, les numéros de téléphone ne sont pas suivis et partagés comme des indicateurs de compromission (IOC) au sein de la communauté de la cybersécurité. Face à ce manque de structure concernant les numéros de téléphone, les campagnes de vishing ont beaucoup plus de chances d'échapper aux contrôles classiques de sécurité des e-mails.

Exemples de vishing

Les avancées technologiques ont permis aux tentatives de vishing de devenir des attaques incroyablement convaincantes. En tirant parti de la confiance des êtres humains et du sentiment d'urgence, ces attaques simulent de véritables entreprises et scénarios, ce qui peut avoir des conséquences graves pour les entreprises.

Voici quelques exemples d'attaques courantes par vishing :

Usurpation du service des impôts

Les attaques par vishing usurpent le service des impôts en s'appuyant en général sur un message vocal d'alerte préenregistré qui vous informe d'un problème lié à votre déclaration de revenus et vous demande de contacter de toute urgence le service des impôts directement au numéro indiqué. Ces messages adoptent généralement un ton de voix menaçant et vous signalent qu'en l'absence de réponse, un mandat d'arrestation pourrait être déclenché.

Les hackers usurpent très fréquemment le service des impôts, aussi bien par e-mail que par des appels téléphoniques. En voyant la mention Service des impôts, les victimes croient immédiatement à la fiabilité du message et agissent rapidement, dans la panique, sans s'interroger quant à la légitimité de la demande.

Attaques d'assistance technique

Dans le cadre de ces attaques, les hackers se font passer pour des représentants d'entreprises technologiques comme Apple, Microsoft et Google, pour vous indiquer que des activités suspectes ont été repérées sur votre compte en ligne. Ils vous demandent souvent votre adresse e-mail pour vous envoyer des mises à jour logicielles vitales, qui sont en fait des malwares.

Ce type d'attaque tire parti du manque potentiel de connaissances techniques de la victime. Ces escrocs utilisent des tactiques qui suscitent la peur en suggérant des menaces graves de sécurité ou des problèmes techniques pour faire peur aux gens ou éveiller un sentiment d'urgence. Ils offrent des solutions immédiates qui leur donnent accès à distance à l'ordinateur de la victime. Une fois l'accès accordé, les hackers dérobent des données personnelles ou professionnelles, installent des logiciels malveillants ou provoquent des dommages sur tout le système.

Usurpation de l'identité de banques

Dans le cadre des attaques reposant sur une usurpation de l'identité de banques, les escrocs se font passer pour des entreprises émettrices de cartes bancaires, des banques et d'autres établissements financiers pour accéder à vos comptes. Ils évoquent dans ce cas des activités inhabituelles ou suspectes, et vous demandent de vérifier vos coordonnées bancaires et vos identifiants de connexion sous prétexte de régler le problème.

Si vous appelez directement votre établissement financier, vous serez sans doute invité à confirmer votre identité à l'aide d'informations confidentielles. Cependant, les établissements financiers légitimes ne vous demanderont jamais vos mots de passe, ni vos codes de sécurité.

Attaques liées à la sécurité sociale ou aux assurances maladie

Les personnes âgées sont souvent la cible des cybercriminels, car elles connaissent moins les tactiques modernes de phishing. Dans le cadre de ces attaques, les hackers se font passer pour des agents de la sécurité sociale ou d'une assurance maladie pour soutirer des informations sensibles relatives aux comptes, prétendument dans le but de créer un nouveau numéro de sécurité sociale ou de discuter d'avantages commerciaux. Les personnes âgées préfèrent les communications téléphoniques aux e-mails ou aux SMS, ce qui les expose davantage aux tentatives de vishing qu'aux attaques par phishing ou smishing.

Informez vos amis ou les membres de votre famille susceptibles de tomber dans le piège que le service des impôts, la sécurité sociale et les assurances maladie ne les appelleront jamais pour leur demander des informations personnelles ou les menacer. Les administrations légitimes ne contactent pas les citoyens par téléphone, e-mail, SMS ou via les réseaux sociaux pour leur demander des informations personnelles ou financières.

Attaques liées aux livraisons

Face à l'avènement du commerce en ligne, de nombreux individus et entreprises ont bien des difficultés à suivre leurs achats. Et les cybercriminels en profitent. Les escrocs, prétextant être des représentants d'Amazon ou UPS, informent les clients d'un soi-disant problème de livraison et fournissent un numéro à contacter pour toute question sur ces commandes fictives.

Lorsque des clients peu méfiants composent ce numéro, ils sont accueillis par les escrocs se faisant passer pour le service client et prêts à récupérer de force les informations personnelles des appelants. Les événements comme Amazon Prime Day gagnent en popularité et le commerce en ligne se répand toujours plus, c'est pourquoi les clients doivent être sensibilisés à ce type d'attaque.

Attaques liées aux sociétés de prêts et de placements

Soyez extrêmement prudent si vous envisagez d'éventuelles opportunités de placement qui proposent d'importants bénéfices et peu de risques ou des emprunts accordés inhabituellement vite pour rembourser des dettes. Si l'offre semble trop alléchante pour être vraie, la méfiance est de mise.

Voici quelques conseils essentiels pour vous protéger contre ces escroqueries liées aux sociétés de prêts et de placements :

• Demandez les risques et les coûts associés
• Résistez aux argumentaires qui font monter la pression ou aux tactiques commerciales agressives
• Insistez pour recevoir les caractéristiques par écrit, puis effectuez vos propres recherches
• Ne vous engagez pas seulement en entendant le titre de l'appelant ou en lui faisant simplement confiance
• Vérifiez que l'investissement et l'agent sont bien enregistrés
• Ignorez les investissements qui prétendent ne comporter aucun risque ou dont les résultats sont garantis : ce sont des alertes rouges, car les véritables investissements s'accompagnent toujours d'un certain degré de risque

Attaques de vishing avec clonage de voix

La technologie de clonage vocal utilise l'intelligence artificielle pour créer des clips audio ou vidéo incroyablement réalistes. Les cybercriminels s'appuient aussi sur ces outils d'IA pour concevoir des enregistrements vocaux qui ressemblent à la voix d'un membre de la famille ou d'une personne de confiance de la victime. Par exemple, il est possible de reproduire la voix d'un PDG pour demander un transfert financier important. Un collaborateur de niveau hiérarchique inférieur peut estimer que cet appel est authentique vu l'excellente imitation de la voix et se conformer à l'ordre reçu face au sentiment d'urgence et au respect de l'autorité.

Les outils de clonage vocal sont de plus en plus sophistiqués et accessibles, ce qui augmente le risque de telles escroqueries. Il est donc crucial de s'équiper de protocoles de sécurité forts et de faire preuve d'une vigilance accrue, même lorsque la voix de l'appelant vous semble familière.

Quels sont les signes du vishing ?

Reconnaître les signes d'une tentative de vishing est vital pour protéger votre identité et vos finances. Voici quelques conseils pour détecter une tentative de phishing vocal :

• Numéros de téléphone usurpés : les escrocs utilisent souvent des numéros de téléphone usurpés qui semblent appartenir à des entreprises ou des établissements fiables, mais qui sont légèrement différents des vrais numéros. Par exemple, les escrocs utilisent des numéros qui ressemblent à s'y méprendre à ceux d'une banque légitime en espérant que les destinataires ne remarqueront pas la petite différence. Restez toujours prudent, même si l'ID de l'appelant ressemble à un numéro local ou à un nom d'entreprise que vous connaissez.
• Tactiques agressives : les tactiques de vishing et de phishing créent généralement un sentiment d'urgence ou de peur. Vous entendrez sans doute des phrases comme problème urgent concernant votre compte, activité suspecte détectée ou dernier avertissement avant réaction. Méfiez-vous des appels qui vous demandent de réagir rapidement, surtout s'ils concernent vos données personnelles ou votre argent. Ils simuleront aussi une certaine familiarité, en faisant référence à une discussion précédente, à une relation ou à un supérieur hiérarchique de l'entreprise. Ces méthodes visent à nouer des liens, pour ensuite progressivement compromettre les victimes.
• Demandes inattendues de données sensibles : l'objectif d'une attaque par vishing est de dérober vos informations sensibles, comme vos mots de passe, codes PIN, codes de vérification ou informations financières. Des établissements légitimes ne vous demanderont jamais de telles informations par le biais d'appels non sollicités.
• Utilisation d'informations disponibles publiquement : les escrocs évoqueront des informations personnelles vous concernant, glanées sur Internet ou les réseaux sociaux, afin de donner plus de légitimité à l'appel. Cependant, ce n'est pas parce que l'appelant connaît votre adresse, vos transactions récentes ou des informations sur votre famille qu'il est fiable. 
• Vérification indépendante : si un appel vous semble suspect, même s'il paraît authentique, n'agissez pas immédiatement. Au lieu de suivre les instructions de l'appelant, raccrochez et appelez directement l'établissement ou la personne en question en utilisant un numéro vérifié provenant de son site web officiel ou de vos contacts. Évitez toujours d'utiliser les numéros fournis lors d'un appel suspect.

Que faire si vous avez subi une attaque par vishing ?

Si vous êtes tombé dans un piège, prenez immédiatement les mesures qui s'imposent pour limiter les dommages potentiels et empêcher toute exploitation future de vos données. Voici quelques conseils :

• Prévenez vos établissements financiers de la fraude et demandez à geler ou surveiller vos comptes à la recherche d'activités inhabituelles.
• Modifiez tous les mots de passe, codes PIN et identifiants de sécurité compromis dans vos comptes, et utilisez des mots de passe forts et uniques pour chacun d'eux.
• Informez l'entreprise ou l'établissement en question que des escrocs prétendent les représenter. Ils pourront peut-être vous apporter une aide supplémentaire et faire le nécessaire pour prévenir les autres.
• Déposez plainte auprès de la FTC (Federal Trade Commission) ou de l'Internet Crime Complaint Center (IC3) du FBI aux États-Unis pour les aider à combattre ce type d'attaque.
• Si, en tant que collaborateur, vous avez divulgué des informations concernant votre entreprise, informez immédiatement le département IT ou l'équipe de cybersécurité de votre entreprise pour lancer des protocoles de contrôle des dommages.

Les hackers à l'origine du vishing et d'autres cybercrimes continueront d'exploiter le grand public tant qu'ils parviendront à abuser des individus. Cependant, en prenant le temps d'identifier et de contrer les tentatives de vishing, il sera possible de diminuer leur efficacité. Poursuivez la lecture pour savoir comment empêcher les attaques par vishing.

Comment empêcher le vishing et les escroqueries par téléphone ?

Pour limiter les attaques par vishing et réduire leur impact potentiel sur votre entreprise, tenez compte de ces bonnes pratiques :

Protégez vos comptes avec une authentification multifacteur

L'authentification multifacteur est un outil de sécurité qui protège vos applications en exigeant au moins deux facteurs de vérification pour accéder à un compte au lieu d'un simple mot de passe. Même si un cybercriminel vole un mot de passe via le vishing, il aura bien plus de difficultés à contourner les barrières supplémentaires imposées par l'authentification multifacteur.

Renforcez la sécurité de votre messagerie avec une défense contre les menaces

Les hackers envoient souvent des e-mails pour initier leurs scénarios d'attaques. Pour vous protéger contre le vishing, le phishing et la compromission d'e-mails professionnels (BEC), il est crucial de mettre en place une solution de sécurité de la messagerie qui va au-delà des filtres de sécurité natifs.

Une solution complète de défense contre les menaces par e-mail peut considérablement diminuer la probabilité qu'une attaque par vishing ne puisse infiltrer votre entreprise. Envisagez de vous équiper d'une solution comme Cisco Secure Email Threat Defense qui est capable d'identifier et d'éliminer rapidement les tentatives de phishing avant qu'elles provoquent de potentielles conséquences catastrophiques dans votre entreprise.

Inscrivez-vous à une liste de numéros à ne pas composer

Réduisez le risque d'attaques par vishing en vous inscrivant à une liste nationale de numéros à ne pas composer. Ces listes, souvent gérées par les administrations du secteur public, peuvent considérablement réduire le nombre d'appels non sollicités que vous recevez de la part d'entreprises légitimes. Cette méthode n'arrêtera pas les escrocs, mais il sera plus simple de détecter les appels suspects.

Évitez de répondre à des appels non sollicités

Formez vos collaborateurs aux bonnes pratiques suivantes relatives aux appels téléphoniques :

• Évitez de répondre aux appels provenant de numéros inconnus. Si vous avez des doutes quant à la légitimité d'un appelant, basculez l'appel vers la messagerie vocale, puis écoutez le message. Sachez que les ID de l'appelant et les numéros de téléphone peuvent être manipulés.
• Si un appelant avec lequel vous discutez vous semble suspect, raccrochez et bloquez le numéro. Les criminels utilisent aussi l'IA pour reproduire le discours d'une personne à partir d'un clip audio aussi court que 3 secondes pour usurper ensuite votre identité à des fins frauduleuses.
• Évitez de recomposer le numéro d'un appel manqué, surtout si vous ne connaissez pas le numéro. Recherchez plutôt les numéros de téléphone officiels dans des sources de confiance, comme sur les sites web officiels ou les relevés de compte documentés.
• Ne répondez pas à des invites vocales lors d'un appel non sollicité vous demandant d'appuyer sur des touches ou de répondre oui ou non à des questions. Les escrocs utilisent ces astuces pour confirmer qu'ils ont réussi à joindre une véritable personne qui leur ouvrira la porte à d'autres appels de vishing.

Restez en alerte face aux tactiques d'ingénierie sociale de vishing

Formez vos collaborateurs à rester vigilants face aux stratégies d'ingénierie sociale qui pourraient être le signe d'une tentative de vishing :

• La menace d'une fermeture immédiate de votre compte, de poursuites ou d'une arrestation si vous ne vous conformez pas rapidement
• La promesse de fortes récompenses, de sommes d'argent ou d'offres exclusives à condition de prendre une décision immédiatement
• Des appelants qui feignent d'être gentils ou qui déclarent avoir un lien personnel avec vous pour vous pousser à baisser votre garde
• Le fait d'insister sur la discrétion pour vous décourager de consulter d'autres personnes ou de vérifier leur légitimité

Si un appelant emploie ces tactiques, coupez court poliment mais fermement à l'appel. Souvenez-vous que les entreprises et les autorités légitimes ne fonctionnent pas du tout de cette manière.

Vérifiez minutieusement les éléments suivants lorsque vous recevez un e-mail ou un SMS de vishing potentiel :

• Le nom, l'adresse e-mail et le numéro de téléphone de l'expéditeur ou de l'appelant
• Le style de langage utilisé et le sentiment d'urgence
• Toute incohérence ou erreur dans le contenu du message
• La nature de l'incitation à l'action, notamment si une action immédiate est attendue

Ne partagez jamais de données sensibles par téléphone

Restez toujours prudent quand un appelant vous demande des informations personnelles ou professionnelles, comme des numéros de compte, des codes PIN, des mots de passe ou d'autres données confidentielles. Si vous ne vous sentez pas à l'aise ou si vous avez l'impression que quelque chose ne va pas, suivez votre instinct, mettez fin à l'appel et consultez directement l'établissement en question via un canal de communication vérifié.

Demandez une preuve de l'identité

Donnez toujours la priorité à la sécurité des données en demandant à l'appelant de confirmer son identité. Les représentants légitimes d'entreprises réputées fourniront volontiers ces informations en indiquant leur rôle, l'objectif de l'appel et l'établissement qu'ils représentent. Pour plus de précautions, notez leurs noms, puis recontactez-les en composant un numéro de téléphone indiqué directement sur le site web officiel de l'entreprise ou enregistré dans votre propre répertoire, en ignorant les éventuels numéros qu'ils vous ont suggérés. Cette étape est cruciale pour vérifier que vous êtes en contact avec un représentant légitime et que vous ne tombez pas dans le piège du vishing.

Formez vos collaborateurs aux tactiques de prévention du phishing

Il est très important d'allouer du temps et des ressources à la formation régulière des collaborateurs concernant les stratégies de défense contre le vishing. Ces programmes de formation doivent partager les dernières tendances en matière de cybermenaces, les stratégies de défense et les réactions efficaces si vous êtes ciblé, pour permettre à votre équipe de protéger activement les données sensibles et les finances de votre entreprise.