Vishing (phishing vocal)

Le vishing, ou phishing vocal, est une escroquerie qui utilise des tactiques vocales comme appâts pour tenter de voler des informations personnelles.

Le vishing est similaire au phishing et au smishing : il s’agit d’une forme de tromperie que les cybercriminels utilisent pour voler des données de cartes de crédit ou d’autres informations sensibles. Alors que le smishing (également appelé phishing par SMS) utilise des SMS et que le phishing utilise principalement des emails ou de faux sites Web pour tromper les victimes, les pirates qui ont recours au vishing se font passer pour des organisations ou des personnes dignes de confiance dans des communications vocales.

Dans le cadre du vishing, les cybercriminels utilisent des scripts urgents ou alarmants pour inciter les victimes potentielles à divulguer leurs informations personnelles. Ils utilisent souvent des tactiques trompeuses telles que le spoofing des informations d’identification de l’appelant pour faire croire que les interactions proviennent d’organisations ou d’entreprises légitimes.

Si l'hameçonnage par téléphone est si populaire auprès des cybercriminels, c'est parce que ce type d'attaque leur permet de dérober des informations sensibles (financières et personnelles) sans qu'il soit nécessaire de déjouer les défenses de sécurité d'un ordinateur ou d'un réseau.

• Le vishing, ou phishing/hameçonnage vocal, est une forme d'arnaque téléphonique dans laquelle les pirates se font passer pour des organisations de confiance afin de tromper les victimes et leur soutirer des informations sensibles.
• Les scénarios de vishing les plus courants sont l’usurpation d’identité bancaire, les escroqueries à l’assistance technique et le clonage vocal, qui ont souvent recours à l’urgence et la peur pour manipuler les victimes.
• La prévention des attaques de vishing nécessite une formation complète de sensibilisation à la sécurité, des protocoles de communication clairs et la mise en œuvre de technologies avancées de vérification de l’identité de l’appelant et d’authentification vocale.

Le phishing, le vishing et le smishing sont toutes des attaques de social engineering conçues pour inciter les individus à révéler des informations sensibles ou à prendre des mesures préjudiciables. Leurs principales différences résident dans le moyen d’attaque :

• Le phishing, une des menaces email les plus courantes, est une cyberattaque dans laquelle les pirates se font passer pour des entités légitimes afin d’inciter des individus à divulguer des informations sensibles telles que leurs identifiants de connexion, leurs informations financières ou leurs données personnelles. Ils utilisent généralement des emails ou des sites Web frauduleux pour duper leurs victimes. 
• Le vishing est une forme de social engineering qui utilise la communication vocale (généralement des appels téléphoniques) pour manipuler les gens afin qu’ils révèlent des informations confidentielles ou qu’ils prennent des mesures qui compromettent la sécurité. Les pirates se font souvent passer pour des représentants d’entités telles que des banques ou des agences gouvernementales.
• Le smishing est une menace de cybersécurité qui combine les techniques de SMS (messagerie texte) et de phishing. Les pirates envoient des SMS censés provenir de sources fiables, qui contiennent souvent des liens vers des sites Web malicieux ou incitent les destinataires à appeler des numéros de téléphone frauduleux.

Le phishing vocal peut tromper même les employés les plus sensibles à la sécurité de votre équipe. Les cadres supérieurs doivent faire preuve de vigilance quant à leurs mesures de sécurité de première ligne pour garder une longueur d’avance sur ces attaques. Voici quelques scénarios de vishing courants dont il faut se méfier : 

Usurpation de l’identité d’un employé de banque

Un pirate, se faisant passer pour un régulateur financier de haut niveau, appelle le directeur financier d’une banque en dehors des heures de bureau, au motif que des mesures urgentes sont nécessaires concernant une suspicion de blanchiment d’argent dans le cadre de transactions internationales. L’appelant demande une vérification immédiate des transactions importantes et des numéros de compte, en insistant sur la confidentialité et les répercussions potentielles sur la réputation si aucune mesure n’est prise. Il génère de la crédibilité en montrant qu’il connaît l’industrie et fait pression sur le directeur financier en le menaçant de gel des opérations en cas de non-conformité. L’objectif est d’exploiter l’autorité et l’urgence du directeur financier pour obtenir des informations financières sensibles ou initier des transferts non autorisés.

Scam lié au support technique

Le pirate, qui se fait passer pour le responsable de la sécurité informatique d’une grande société de cybersécurité avec laquelle l’entreprise est partenaire, appelle la ligne directe du PDG. Il affirme avoir détecté une cyberattaque sophistiquée et permanente visant les comptes des cadres de l’entreprise. L’appelant affirme qu’une action immédiate est nécessaire pour empêcher le vol de données et demande un accès à distance à l’ordinateur du PDG pour « installer des correctifs de sécurité importants ». Il crée un sentiment d’urgence en mentionnant les violations potentielles de données chez des entreprises concurrentes et le risque d’amendes réglementaires.

Le scammer cherche à obtenir un accès à distance à l’appareil du dirigeant, ce qui lui permet d’installer des malwares ou de voler des données sensibles de l’entreprise. Ce scénario exploite les connaissances techniques et l’autorité limitées du dirigeant pour contourner les protocoles informatiques standard dans des situations perçues comme urgentes.

Scam par clonage vocal

Dans le cadre d’une escroquerie par clonage vocal visant des cadres dirigeants, un pirate utilise l’IA pour cloner la voix du PDG et appelle le directeur financier, affirmant qu’il existe une opportunité d’acquisition urgente et confidentielle nécessitant une action immédiate. Le faux PDG insiste sur la discrétion pour des raisons de délit d’initié et fait pression sur le directeur financier pour qu’il effectue un virement bancaire important afin de conclure la transaction. Le pirate fournit des détails plausibles et fait référence à des événements récents de l’entreprise pour paraître crédible. 

Cette méthode d’attaque exploite la confiance accordée à la voix du PDG, l’urgence d’une opportunité lucrative et la possibilité pour le directeur financier de contourner les contrôles financiers habituels. Elle est donc très convaincante et difficile à détecter.

Scam à la livraison

Un cybercriminel appelle le directeur de l’exploitation d’une entreprise, prétendant travailler pour un service de messagerie premium qui s’occupe d’un colis urgent et confidentiel pour le PDG. L’appelant affirme que les douanes retiennent le colis, qui contient des documents sensibles liés à une fusion à venir, en raison de documents incomplets. Il affirme qu’une action immédiate est nécessaire pour éviter des retards qui pourraient compromettre la transaction. 

Le scammer demande les informations de carte de crédit du directeur de l’exploitation pour payer de faibles « frais de traitement » afin d’accélérer l’expédition. Il met l’accent sur la discrétion, avertissant que la participation d’autres membres du personnel pourrait entraîner une violation des accords de confidentialité. L’objectif est d’exploiter l’autorité du dirigeant et sa crainte d’interrompre des opérations commerciales importantes pour voler des informations financières ou autoriser des dépenses frauduleuses.

Scam à la sécurité sociale ou à l’assurance maladie

Un scammer se fait passer pour un haut fonctionnaire de l’administration de la sécurité sociale ou de l’assurance maladie. Il prétend que les informations personnelles de la victime ont été compromises lors d’une récente violation de données, ce qui risque d’entraîner la suspension des prestations. L’appelant demande de toute urgence la vérification du numéro de sécurité sociale ou de l’identifiant d’assurance maladie de la victime afin de « protéger » son compte, en invoquant de récentes violations de données médiatisées pour paraître crédible. Il affirme que les prestations de la victime peuvent être suspendues ou qu’elle risque d’avoir des problèmes juridiques si elle n’agit pas immédiatement. 

Ce scam exploite les préoccupations du dirigeant concernant ses finances personnelles et sa réputation professionnelle. Le but est d’obtenir des informations sensibles qui pourront être utilisées dans des projets d’usurpation d’identité ou de fraude financière.

Usurpation de l’identité d’un employé du fisc

Dans le cadre d’un vishing avec usurpation de l’identité d’un employé du fisc, un pirate se fait passer pour un agent de l’administration fiscale. Il prétend que sa cible est redevable d’arriérés d’impôts qui doivent être payés immédiatement pour éviter de graves conséquences telles que l’arrestation ou l’expulsion. Le scammer crée un sentiment d’urgence et de peur, et fournit un faux numéro de badge pour paraître crédible. Il usurpe également un numéro de téléphone du fisc et mentionne des détails spécifiques liés aux impôts. 

L’appelant demande un paiement immédiat par des méthodes non conventionnelles, comme des cartes cadeaux ou des virements bancaires, et cherche à obtenir des informations personnelles sensibles. Ce scam exploite la peur des gens à l’égard du fisc et des questions fiscales. Mais notez qu’une véritable administration fiscale prend généralement contact par courrier, et non par téléphone, et n’exige jamais de paiement immédiat ni ne menace de poursuites judiciaires instantanées.

À première vue, les attaques par vishing peuvent sembler plus gênantes qu’autre chose. Mais elles sont assez graves et posent un risque important pour l’infrastructure numérique d’une organisation. Voici un échantillon des dégâts qu’une attaque par vishing peut causer :

• Perte financière : les attaques par vishing peuvent entraîner des pertes financières importantes, car les pirates incitent souvent les employés à transférer des fonds ou à fournir des informations financières sensibles.
• Perte de données : les pirates peuvent accéder aux données sensibles de l’entreprise, y compris les identifiants de connexion, les informations exclusives et les coordonnées des clients. Ils peuvent ensuite exploiter ces informations ou les vendre sur le dark web.
• Atteinte à la réputation : les attaques par vishing peuvent ternir la réputation d’une entreprise, éroder la confiance des clients et coûter à l’organisation des opportunités commerciales potentielles.
• Perturbation des opérations : les attaques par vishing réussies peuvent perturber le fonctionnement des entreprises en compromettant les systèmes critiques. La productivité peut également être impactée, car les employés passent du temps à faire face aux conséquences de l’attaque plutôt qu’à réaliser leurs tâches habituelles.
• Conséquences juridiques et réglementaires : les entreprises peuvent être confrontées à des répercussions juridiques et réglementaires si les attaques de vishing entraînent des violations de données ou le non-respect des lois sur la protection des données. Cela peut se traduire par des amendes et une surveillance accrue de la part des organismes de réglementation.

En tant que chef d’entreprise, des programmes de formation novateurs destinés à vos managers et à vos employés constituent l’un des meilleurs investissements que vous puissiez faire dans le cadre de vos initiatives de cybersécurité. Même si vous disposez d’un arsenal d’outils de sécurité récents et performants, la détection précoce est la meilleure protection contre le vishing. Voici quelques signes à surveiller :

Tactiques d’urgence et/ou suscitant la peur

Les tactiques d’urgence et suscitant la peur sont des signes caractéristiques des attaques de vishing. Les pirates créent souvent des scénarios qui suscitent la peur, comme la menace d’une action en justice ou d’une suspension du compte, afin de manipuler les victimes pour qu’elles agissent rapidement.

La solution est de rester calme et de ne pas fournir d’informations personnelles. Au lieu de cela, raccrochez et vérifiez de manière indépendante les affirmations de l’appelant en contactant directement l’organisation à l’aide des coordonnées officielles.

Demandes d’informations personnelles

Les cybercriminels se font souvent passer pour des représentants de banques, d’agences gouvernementales ou de sociétés d’assistance technique, et demandent des données sensibles telles que les numéros de sécurité sociale, les coordonnées bancaires, les informations de carte de crédit, les mots de passe ou les codes PIN. Ils peuvent présenter des scénarios urgents nécessitant la divulgation immédiate de ces informations, comme la vérification de compte ou la prévention de la fraude. Cependant, les organisations légitimes demandent rarement des informations aussi sensibles par téléphone, en particulier lors d’appels non sollicités.

La meilleure solution est de ne fournir aucune information. Mettez plutôt fin à l’appel et contactez directement l’organisation via ses canaux officiels.

Demande de paiement

Les pirates présentent souvent des scénarios urgents dans lesquels ils affirment que la victime doit de l’argent et qu’elle doit payer immédiatement pour éviter de graves conséquences, telles qu’une action en justice, une arrestation ou une déconnexion des services. Ils exigent généralement un paiement immédiat par des méthodes non conventionnelles telles que les cartes-cadeaux ou les virements bancaires, qui sont difficiles à tracer.

La meilleure façon de réagir est de rester calme et d’éviter de prendre des décisions hâtives. N’oubliez pas que les organisations légitimes n’exigent généralement pas de paiement immédiat par téléphone et n’utilisent pas de menaces pour forcer le paiement.

Appels non sollicités

Les appels de vishing sont souvent non sollicités et proviennent souvent de personnes qui prétendent représenter des organisations dignes de confiance. En règle générale, les entités légitimes ne prennent pas contact via des appels non sollicités et ne demandent pas d’informations personnelles à l’improviste.

La meilleure réponse est d’être prudent et de ne pas communiquer d’informations personnelles ou financières. Comme dans les autres situations critiques, il est généralement préférable de raccrocher et de vérifier de manière indépendante les affirmations de l’appelant en contactant directement l’organisation en utilisant les coordonnées officielles figurant sur son site Web ou d’autres sources fiables.

Invitations à télécharger le logiciel

Les invitations à télécharger un logiciel peuvent indiquer une éventuelle attaque de vishing. Les scammers peuvent se faire passer pour des entités de confiance, telles que des sociétés d’assistance technique ou de sécurité, et prétendre que l’ordinateur de la victime est compromis ou en danger.

Ils peuvent prétendre qu’une action immédiate est nécessaire pour prévenir la perte de données ou les failles de sécurité et demander à la victime de télécharger et d’installer un logiciel spécifique pour résoudre le problème. Cependant, ce logiciel est souvent malicieux, conçu pour voler des informations personnelles, installer des malwares ou fournir un accès à distance aux appareils des pirates.

Les employés doivent raccrocher et vérifier la situation de manière indépendante en contactant directement la prétendue organisation en utilisant les coordonnées officielles d’une source fiable. De plus, contactez votre service informatique interne ou un service d’assistance technique fiable.

Apprendre à reconnaître les signes avant-coureurs et détecter les attaques de vishing à un stade précoce est une excellente première ligne de défense. Mais ce n’est pas infaillible. Si une attaque par vishing réussit à passer à travers les mailles du filet, suivez ces étapes :

1. Signalez immédiatement l’incident : informez l’équipe de sécurité informatique de votre entreprise ou l’interlocuteur désigné, en fournissant autant de détails que possible. Si des appareils personnels sont concernés, informez-en votre banque personnelle et vos sociétés de cartes de crédit.
2. Modifiez les identifiants compromis : modifiez immédiatement les mots de passe de tous les comptes susceptibles d’avoir été compromis. Utilisez des mots de passe forts et uniques pour chaque compte. Si vous avez utilisé le même mot de passe ailleurs, changez-le également.
3. Documentez l’incident : notez tout ce dont vous vous souvenez à propos de l’appel pendant qu’il est encore frais dans votre esprit. Incluez le numéro de téléphone, tous les noms utilisés et les détails de la conversation. Enregistrez tous les emails, SMS ou messages vocaux associés.
   • Coopérez à l’enquête : préparez-vous à fournir un compte rendu détaillé à votre équipe de sécurité informatique ou aux forces de l’ordre. Répondez honnêtement aux questions, même si vous êtes gêné d’être tombé dans le piège.
4. Surveillez vos comptes : surveillez de près vos comptes financiers pour détecter toute activité suspecte.
5. Participez à une formation supplémentaire sur la sécurité : suivez tous les cours de remise à niveau proposés sur les bonnes pratiques en matière de cybersécurité. Pensez également à partager votre expérience (de manière anonyme, si vous préférez) afin de sensibiliser vos collègues.
6. Contribuez à renforcer les défenses de l’entreprise : faites des retours sur les protocoles de sécurité actuels et proposez des améliorations. Il pourrait s’agir d’encourager la mise en œuvre de mesures de protection telles que les systèmes d’authentification vocale.

En plus de vos outils de cybersécurité et de détection précoce, les tactiques suivantes peuvent renforcer la protection de votre organisation :

• Mettez en place une formation complète de sensibilisation à la sécurité : ces sessions doivent comporter des exemples concrets et des simulations afin d’aider les employés à reconnaître les tentatives de vishing et à y répondre efficacement.
• Adoptez des protocoles de communication clairs : créez et appliquez rigoureusement des politiques qui décrivent comment traiter et vérifier les informations sensibles au sein de l’organisation.
• Déployez des mesures de protection techniques : mettez en place des systèmes avancés de vérification de l’identité de l’appelant et envisagez d’utiliser une technologie d’authentification vocale pour les transactions sensibles ou l’accès aux systèmes critiques.
• Testez et évaluez régulièrement les vulnérabilités : effectuez périodiquement des simulations de vishing pour tester l’état de préparation des employés. Effectuez également des audits de sécurité réguliers des systèmes téléphoniques et de l’infrastructure connexe pour vous assurer qu’ils sont à jour et sécurisés.
• Créez une culture de la sécurité : encouragez les employés à tous les niveaux à remettre en question les demandes inhabituelles et à vérifier les identités, même si cela peut sembler impoli ou inutile.