Qu’est-ce que le vishing ? Démasquer les escroqueries et les techniques de phishing vocal
Publié: 2023-10-12Le vishing, mélange insidieux de communication vocale et de tactiques de phishing, présente un formidable défi alors que les fraudeurs affinent leurs méthodes avec une sophistication alarmante. Dans cet article, nous approfondissons ses mécanismes, la manipulation psychologique qu’il utilise et les stratégies vitales de reconnaissance et de prévention, dotant les individus des connaissances nécessaires pour naviguer dans les eaux précaires de la cyber-tromperie vocale.
Qu’est-ce que le vishing ?
Le vishing, ou phishing vocal, est une forme d'attaque d'ingénierie sociale dans laquelle les acteurs malveillants utilisent des appels téléphoniques ou des messages vocaux pour inciter des individus à divulguer des informations sensibles, telles que des mots de passe, des détails de carte de crédit ou des numéros de sécurité sociale. En exploitant la tendance humaine à faire confiance à la communication vocale, les auteurs du vishing créent un faux sentiment d'urgence ou de peur, incitant les victimes à agir sans vérifier l'identité de l'appelant.
Alors que les gens continuent de privilégier les SMS, il devient primordial de les sensibiliser à la reconnaissance et à la lutte contre le vishing, garantissant ainsi un paysage de communication sécurisé à une époque où un appel téléphonique peut parfois sortir de l'ordinaire. Il est essentiel de trouver un équilibre entre la commodité des SMS et la conscience des menaces vocales pour favoriser des canaux de communication sûrs et privilégiés.
Naviguer dans le paysage du phishing, du smishing et du vishing
Apparu dans les années 1990, le terme « phishing » décrivait les tactiques utilisées par les escrocs comme « leurres » pour tromper leurs victimes dans le monde numérique. Ce terme persiste aujourd'hui, représentant des escroqueries impliquant l'ingénierie sociale pour inciter les individus à devenir la proie de pièges trompeurs.
Avec la progression de la cybercriminalité, de nouvelles terminologies telles que « smishing » et « vishing » sont apparues, entrant dans la catégorie plus large du phishing. Dans les attaques par smishing, les fraudeurs envoient des SMS dans le but de convaincre les destinataires de cliquer sur un lien malveillant ou de partager des informations personnelles via un échange de SMS.
D’un autre côté, le vishing intègre la communication vocale à un certain stade de l’attaque. L'objectif du message initial est d'inciter une victime potentielle à composer un numéro, permettant aux attaquants soit de poursuivre leur tromperie, soit de confirmer la propriété du numéro contacté.
Comment fonctionne le vishing ?
Les attaques par hameçonnage sont des opérations complexes qui impliquent bien plus que la simple composition de numéros aléatoires pour réussir. Découvrez ci-dessous le parcours détaillé en quatre phases d'une attaque de vishing :
Phase 1 : Enquête
L’attaque démarre lorsque les auteurs de la menace effectuent des recherches approfondies sur leurs cibles. Au cours de cette phase, ils peuvent diffuser des e-mails de phishing, en anticipant les réponses de victimes potentielles prêtes à partager leurs coordonnées. L'utilisation d'un logiciel sophistiqué leur permet d'appeler une multitude de personnes, en utilisant un numéro partageant l'indicatif régional de leurs victimes.
Phase 2 : exécution de l'appel
Si une victime est trompée par un e-mail de phishing précédent, elle sera probablement moins méfiante à l'égard de l'appel entrant. Selon la ruse de la tactique de vishing, la victime peut anticiper un appel, ce qui facilite la tâche des pirates. Les attaquants exploitent la probabilité de réponse aux appels provenant des indicatifs régionaux locaux.
Phase 3 : Persuasion
Une fois le contact établi, l’objectif de l’acteur menaçant consiste désormais à manipuler les instincts inhérents de confiance, de peur, d’avidité et d’altruisme de la victime. En utilisant une combinaison de ces techniques d’ingénierie sociale, ils rassurent les victimes et pourraient les persuader de :
Divulguer les détails bancaires et de carte de crédit
Partager des adresses e-mail
Transfert de fonds
Transférer des documents confidentiels liés au travail
Révéler des informations sur leur employeur
Phase 4 : point culminant
Le voyage du vishing ne s’arrête pas là. Forts des informations acquises, les acteurs malveillants sont prêts à commettre des infractions supplémentaires. Ils peuvent épuiser les ressources bancaires de la victime, usurper son identité et exécuter des transactions non autorisées. De plus, ils pourraient exploiter l'e-mail de la victime pour inciter ses collègues à divulguer des informations organisationnelles sensibles.
Méthodes de hameçonnage
Les Vishers emploient diverses tactiques pour atteindre leurs objectifs trompeurs. Les méthodes courantes incluent :
Usurpation de l'identification de l'appelant : les attaquants manipulent l'identification de l'appelant pour donner l'impression qu'une entité de confiance, comme une banque ou une agence gouvernementale, appelle.
Pretexting : L'attaquant crée un scénario ou un prétexte fabriqué pour extraire des informations de la cible.
Phishing IVR : les systèmes de réponse vocale interactive automatisée (IVR) imitent les entreprises légitimes pour capturer des données sensibles.
Exemples de vishing courants
À mesure que ces escroqueries deviennent de plus en plus sophistiquées, il est essentiel de reconnaître les schémas et scénarios courants. Avant d'aborder les différents exemples de vishing, familiarisons-nous avec certaines des tactiques les plus répandues afin que vous puissiez garder une longueur d'avance et protéger vos informations.
Arnaque à l'IRS
Les appelants se font passer pour des agents de l'IRS, affirmant que la victime doit des impôts et risque d'être arrêtée à moins qu'elle ne paie immédiatement, exigeant généralement un paiement par carte-cadeau ou par virement bancaire. Cette variante implique souvent des messages automatisés faisant état d'écarts dans les déclarations de revenus et menaçant de poursuites judiciaires, associés à une usurpation de l'identification de l'appelant pour imiter un contact avec l'IRS. Il est crucial de vérifier ces réclamations directement auprès de l'IRS et d'éviter de s'engager avec l'escroc.
Arnaque au support technique
Les fraudeurs se font passer pour des agents de support technique d'entreprises réputées, alléguant que l'ordinateur de la victime est infecté par un virus. Ils demandent un accès à distance ou un paiement pour résoudre le problème inexistant.
Alerte fraude bancaire
Les fraudeurs prétendent appartenir à la banque de la victime, affirmant qu'il y a une activité suspecte sur son compte. Ils demandent les détails du compte et les codes PIN pour « vérifier » l'identité de la victime et « sécuriser » le compte. Au lieu de s'y conformer, il est conseillé de mettre fin à la conversation et de contacter directement la banque en utilisant les coordonnées de son site officiel.
Escroqueries à la loterie ou aux prix
Les victimes reçoivent des appels les informant qu'elles ont gagné un prix ou une loterie, mais qu'elles doivent payer des taxes ou des frais à l'avance pour réclamer la récompense. La vigilance et la vérification sont essentielles pour éviter de devenir la proie de telles tactiques.
Escroqueries à la sécurité sociale
Les appelants prétendent appartenir à l'administration de la sécurité sociale, déclarent que le SSN de la victime a été suspendu en raison d'une activité suspecte, et demandent des informations personnelles pour résoudre le problème. La Federal Trade Commission identifie notamment les appels téléphoniques comme la principale méthode utilisée par les fraudeurs ciblant les personnes âgées.
Alerte médicale/escroqueries à l'assurance
Les fraudeurs proposent des systèmes d'alerte médicale gratuits ou se font passer pour des représentants de l'assurance maladie pour soutirer des informations personnelles et financières aux victimes, en ciblant notamment les personnes âgées.
Arnaque aux grands-parents
L'appelant se fait passer pour un petit-enfant en détresse, ayant besoin d'une aide financière immédiate, et demande au grand-parent de ne pas en parler aux autres membres de la famille.
Escroqueries aux services publics
Se faisant passer pour des représentants d'entreprises de services publics, les escrocs prétendent que le service de la victime sera déconnecté à moins qu'un paiement immédiat ne soit effectué.
Escroqueries aux subventions gouvernementales
Les victimes sont informées qu'elles ont été sélectionnées pour recevoir une subvention gouvernementale et qu'elles doivent payer des frais de traitement ou fournir leurs coordonnées bancaires pour recevoir les fonds.
Escroqueries au recouvrement de créances
Les appelants se font passer pour des agents de recouvrement, menaçant de poursuites judiciaires à moins que la victime ne paie une dette qu'elle ne doit pas réellement. Il est essentiel de rester sceptique, car les prêteurs et investisseurs légitimes n'opèrent pas de cette manière et n'initient pas de contacts inattendus.
Comment reconnaître les attaques de vishing
Reconnaître le vishing peut être essentiel pour se protéger contre de telles pratiques trompeuses. Un aspect clé auquel il faut prêter attention est l’audio pendant l’appel. La qualité audio de l'appel peut être médiocre, avec des bruits de fond qui ne correspondent pas à un environnement professionnel.
De plus, les attaques par vishing présentent souvent des signes révélateurs :
Urgence : l'appelant insiste pour une action immédiate, faisant pression sur la victime pour qu'elle partage l'information à la hâte.
Demande d'informations sensibles : Les organisations légitimes demandent rarement des données personnelles par téléphone.
Appelant inconnu : recevoir des appels provenant de numéros inconnus ou inattendus peut être un signal d'alarme.
Comment empêcher le vishing
Se défendre contre le vishing nécessite une approche multidimensionnelle. Pour éviter de devenir une victime, assurez-vous de respecter les précautions suivantes :
Protégez les informations sensibles
Évitez de confirmer ou de divulguer des informations sensibles par téléphone. N'oubliez pas que les banques ou agences gouvernementales authentiques ne solliciteront jamais de données personnelles lors d'un appel.
Être observateur
Examinez le langage et le comportement de l'appelant. Restez vigilant quant à la divulgation de toute information personnelle et méfiez-vous de toute menace ou demande urgente formulée lors de l'appel.
Filtrez vos appels
Si un numéro inconnu appelle, il est plus sûr de le laisser accéder à la messagerie vocale. Les identifications de l'appelant peuvent être manipulées, alors vérifiez l'identité de l'appelant en écoutant le message avant de décider de retourner l'appel.
Limiter les informations partagées
Si vous répondez, évitez de divulguer des détails sur vous-même, votre lieu de travail ou votre emplacement.
Se renseigner et vérifier
Si l’appelant commercialise un produit ou offre des récompenses, exigez une preuve de son identité et de son affiliation. Confirmez les informations fournies avant de partager l’une des vôtres. Mettez fin à l’appel s’ils hésitent à se conformer.
Inscrivez-vous au registre des numéros de télécommunication exclus
L'inscription de votre numéro sur le registre des numéros de télécommunication exclus dissuadera les télévendeurs, rendant suspect tout appel provenant de telles entités, car les entreprises légitimes respectent généralement cette liste.
Soyez attentif aux demandes officielles
Sachez que les supérieurs légitimes ou les représentants des RH n'exigeront pas de transferts d'argent, de données sensibles ou de soumission de documents via des canaux personnels.
Ignorer les communications suspectes
Ne répondez pas aux e-mails ou aux messages sur les réseaux sociaux vous demandant votre numéro de téléphone. De telles communications peuvent être le précurseur d’attaques ciblées. Signalez tout message suspect à votre équipe informatique ou d’assistance.
Instruisez-vous
Recherchez des informations de manière proactive, participez à des programmes de sensibilisation et utilisez les ressources en ligne pour vous familiariser avec les dernières menaces de vishing et les mesures de protection.
Les entreprises utilisant le marketing par SMS peuvent jouer un rôle dans l’éducation des consommateurs sur le vishing, en fournissant des informations sur la façon de reconnaître et de répondre aux escroqueries potentielles et en soulignant les différences entre une communication légitime et des tactiques trompeuses.
Quelles mesures devez-vous prendre si vous le souhaitez ?
Si vous avez involontairement partagé vos coordonnées bancaires avec un fraudeur présumé, une action immédiate est essentielle.
Contactez votre banque, votre société de carte de crédit, votre institution financière ou votre contact Medicare concerné. Renseignez-vous sur la possibilité de mettre fin aux transactions suspectes et d’empêcher de nouveaux prélèvements non autorisés. Pour renforcer la sécurité et vous prémunir contre tout accès non autorisé, pensez à modifier vos numéros de compte.
Par la suite, déposez une plainte auprès de la Federal Trade Commission ou du Internet Crime Complaint Center du FBI pour que les mesures appropriées soient prises.
Conclusion
Bien que trompeur et potentiellement dommageable, le vishing peut être efficacement atténué grâce à la vigilance, à l’éducation et à l’utilisation judicieuse de la technologie. En restant informés et en faisant preuve de prudence, les individus et les organisations peuvent contrecarrer les tentatives des vishers, garantissant ainsi la sécurité des informations sensibles.