Que'est-ce que l'hameçonnage vocal ?

L’hameçonnage vocal (le vishing) est un cybercrime qui consiste à passer des appels téléphoniques dans le but d’obtenir les renseignements personnels confidentiels des victimes. Les cybercriminels utilisent des tactiques d’ingénierie sociale pour convaincre leurs victimes de partager des informations privées comme les données d’accès à un compte bancaire.

Tout comme l’hameçonnage (phishing) ou l’hameçonnage par message texte (smishing), l’objectif de l’hameçonnage vocal est de convaincre les victimes qu’elles agissent dans l’intérêt général ou dans leur propre intérêt. Souvent, l’auteur de l’appel prétend téléphoner au nom du gouvernement, du service fiscal, de la police ou de la banque de la victime.

Les cybercriminels utilisent des menaces et un ton persuasif pour amener leurs victimes à croire que la seule option possible est de fournir l’information demandée. Certains sont très convaincants et réussissent à leur faire croire qu’ils les aident à éviter une poursuite criminelle. Une autre tactique fréquemment utilisée est de laisser des messages vocaux menaçants qui demandent au destinataire de rappeler immédiatement, sous peine par exemple d’être arrêté ou de voir son compte bancaire suspendu.

Le Hub de Cybersécurité

Inscrivez-vous maintenant pour accéder à du contenu de sensibilisation à la cybersécurité engageant, facile à partager et disponible en plusieurs formats.

ACCÉDER AU HUB

Il arrive fréquemment que les cybercriminels ajustent leurs appels et leurs messages d’hameçonnage en fonction du moment de l’année, ou d’une nouvelle populaire dans l’actualité.

Par exemple, pendant la période des impôts, les criminels peuvent laisser des messages en prétendant être l’ARC. Et pendant la pandémie de COVID-19, des cybercriminels ont contacté des gens en leur promettant des vaccins et des trousses de test en échange de leurs informations bancaires et de leur adresse postale.

L’hameçonnage vocal est utilisé autant contre les individus que contre les organisations

Un cybercriminel peut effectuer une recherche sur une organisation, trouver les coordonnées d’un employé en ligne, puis l’appeler en se faisant passer pour le président. Il ne lui reste qu’à demander à la victime de transférer des fonds pour payer une facture en souffrance ou de transmettre un courriel contenant des fichiers personnels.

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale est une technique utilisée par les cybercriminels et qui mise sur la tendance naturelle des êtres humains à faire confiance pour les convaincre de partager des informations confidentielles. Celles-ci peuvent ensuite être utilisées pour commettre d’autres cybercrimes.

Comment l’hameçonnage vocal se produit-il ?

Une attaque d’hameçonnage vocal réussie implique beaucoup plus de travail que de passer quelques coups de fil aléatoires. Les cybercriminels utilisent une approche stratégique pour voler leurs victimes.

1.

Ils commencent par effectuer des recherches sur leurs victimes. Cette étape peut comprendre l’envoi d’un courriel d’hameçonnage, en espérant qu’une personne réponde et fournisse son numéro de téléphone.

2.

Si la victime répond favorablement à la demande contenue dans le courriel, il est peu probable qu’elle se méfie d’un appel futur. En effet, selon le niveau de sophistication de l’attaque, la victime peut s’attendre à recevoir un appel téléphonique. Et comme les cybercriminels savent que les victimes sont plus susceptibles de répondre à un numéro provenant d’un indicatif régional local, ils peuvent utiliser un logiciel spécialisé leur permettant de simuler un appel effectué localement.

3.

Dès que les cybercriminels ont établi un contact, et selon le type d’arnaque, la victime mise en confiance sera amenée à communiquer des informations bancaires, à transférer des fonds, à fournir des renseignements le concernant ou concernant son employeur ou encore à transmettre des documents confidentiels par courriel.

4.

Une fois en possession de ces informations, les cybercriminels peuvent s’en servir pour commettre d’autres crimes tels que : vol d’identité, utilisation des fonds de la victime, achat en ligne avec les informations de carte de crédit, envoi de courriels aux collègues de la victime pour les inviter à leur tour à partager des informations confidentielles.

Dans certains scénarios d’hameçonnage vocal, les cybercriminels fournissent un numéro de téléphone que les victimes peuvent composer en cas de questions ou pour faire un suivi. Il peut s’agir par exemple d’obtenir des informations sur le traitement de leurs impôts ou les résultats de leur test de dépistage de la COVID-19. Ce détail permet de légitimer les actions du cybercriminel et met la victime en confiance. Si la victime utilise le numéro, elle peut être dirigée vers une boîte vocale ou vers une personne qui poursuivra l’arnaque.

Quatre techniques communes d’hameçonnage vocal

1. Balayage de numéros de téléphone (wardialing)

Le cybercriminel utilise un logiciel pour appeler un indicatif régional spécifique et laisse un message semblant provenir d’une organisation locale, comme une banque, un service public ou une entreprise. Lorsqu’une personne répond, un message automatique démarre lui demandant de fournir son nom complet, les détails liés à sa carte de crédit, ses informations bancaires, son adresse postale et même son numéro d’assurance sociale. Le message enregistré peut préciser par exemple que ces informations sont nécessaires pour confirmer que le compte de la victime n’a pas été compromis.

2. Voix sur IP (VoIP)

Grâce à la voix sur IP, il est très facile pour les cybercriminels de créer un faux numéro de téléphone. Ces types de numéros sont difficiles à retracer et peuvent être utilisés pour créer des numéros de téléphone qui paraissent locaux ou qui présentent un préfixe 1-800. Certains cybercriminels créent des numéros VoIP qui semblent provenir d’un ministère, d’un hôpital local ou du service de police.

3. Mystification de l’identité de l’appelant

Tout comme dans le cas de l’hameçonnage vocal, le cybercriminel se cache derrière un faux numéro de téléphone pour se faire passer pour quelqu’un d’autre. Une des stratégies consiste à masquer l’identité de l’appelant et qu’apparaisse la mention « Inconnu » sur l’afficheur. Il est également possible de modifier le nom pour que l’appel semble provenir du gouvernement, d’un service public ou d’une banque. Le cybercriminel peut ainsi se faire passer pour une organisation légitime.

4. Le dumpster diving ou la fouille des poubelles

Une méthode simple et populaire pour recueillir des numéros de téléphone valides est de fouiller les poubelles situées derrière les édifices à bureaux et les entreprises. Souvent, les criminels trouvent suffisamment d’information pour lancer une attaque de harponnage contre la victime.

L’ingénierie sociale est essentielle à la réussite de tous les types d’attaques de phishing. Il faut donc se méfier de tous appels au ton urgent, ferme ou convaincant. Il est important de se rappeler que le service de soutien technique de Microsoft, Amazon, ou d’un service public ne vous demanderont jamais vos informations personnelles ou bancaires.

Exemples d’hameçonnage vocal

L’hameçonnage vocal est extrêmement commun. Les exemples suivants soulignent à quel point il est facile pour les cybercriminels de convaincre leurs victimes d’agir.

1. Représentant du gouvernement

L’auteur de l’appel prétend téléphoner au nom du gouvernement afin de valider des données d’identification personnelle. Il peut menacer de suspendre le paiement d’un remboursement d’impôt ou d’un programme de sécurité sociale si la victime ne fournit pas les informations demandées pour confirmer son compte et son identité.

2. Fraude du soutien technique

Dance cette situation, le cybercriminel prétend être un représentant du soutien technique de Microsoft, Amazon ou d’un fournisseur de service en ligne. Il affirme avoir remarqué une activité inhabituelle dans le compte de la victime et souhaite confirmer qu’il possède les informations exactes du compte. En outre, le cybercriminel peut demander à la victime de lui transmettre son adresse courriel pour qu’il puisse lui envoyer la mise à jour d’un logiciel, soi-disant pour protéger son ordinateur des cybercriminels. Bien entendu, son installation permettra plutôt l’installation d’un maliciel.

3. Fausse banque

En utilisant un faux numéro de téléphone et une fausse identité, le cybercriminel prétend téléphoner au nom de la banque de la victime. Il affirme qu’une activité inhabituelle a été détectée dans le compte de la victime et qu’il doit confirmer ses détails bancaires, y compris son adresse postale, comme preuve d’identification. Cette information peut ensuite être utilisée pour commettre un vol d’identité.

4. Attaque de télémarketing

Tout le monde aime gagner un prix. Les cybercriminels profitent de cette situation pour amener des victimes sans méfiance à partager des informations confidentielles pour confirmer la réception du prix et l’acheminer à la victime.

Les cybercriminels font continuellement évoluer leurs stratégies afin personnalisent leur message pour l’adapter aux dernières nouvelles, aux plus récentes avancées en matière de cybercrimes ou à des événements populaires, comme les soldes du Vendredi fou.

Comment reconnaître et prévenir l’hameçonnage vocal ?

Dans le cadre de votre formation en sensibilisation à la sécurité et de votre campagne de communication, rappelez à vos employés comment reconnaître et prévenir l’hameçonnage vocal.

1. Ne fournissez jamais vos informations personnelles par téléphone. Souvenez-vous que les banques, les hôpitaux, et les services publics ne vous appelleront jamais pour connaître vos informations personnelles.

2. Écoutez les appels avec attention. Prêtez attention au langage utilisé et réfléchissez avant de répondre. Ne partagez jamais des informations personnelles ou de travail. Ne confirmez pas votre adresse. Méfiez-vous des menaces et des demandes urgentes.

3. Méfiez-vous des appels vous indiquant d’appeler un numéro de téléphone pour confirmer votre identité. Vérifiez le numéro de téléphone, et rappelez en utilisant un téléphone différent. Les cybercriminels peuvent rediriger les numéros de téléphone et créer de faux numéros.

4. Évitez de répondre à des appels provenant de numéros inconnus. Laissez-les s’enregistrer dans votre boîte vocale, puis écoutez le message avec attention.

5. Posez des questions. Si durant un appel, on tente de vous offrir un prix ou de vous vendre quelque chose, demandez des preuves vous permettant de vérifier l’identité de l’interlocuteur et l’identité de son employeur. S’il refuse de vous fournir cette information, raccrochez. Assurez-vous de confirmer l’information partagée par l’interlocuteur avant de fournir vos informations.

6. Inscrivez votre numéro de téléphone sur la Liste nationale de numéros de télécommunication exclus. La plupart des entreprises légitimes respectent cette liste. Par conséquent, si vous recevez un appel d’une entreprise de télémarketing, c’est un indice qu’il s’agit d’une attaque d’hameçonnage vocal.

7. Souvenez-vous des informations que vous avez apprises sur l’ingénierie sociale grâce à votre formation en sensibilisation à la sécurité. Soyez à l’affût des discours qui misent sur la peur, la confiance et le désir d’aider les autres.

8. Souvenez-vous que votre gestionnaire ou votre collègue des ressources humaines ne vous appellera jamais à la maison pour vous demander de transférer des fonds, de partager des informations confidentielles et d’envoyer des documents à partir de votre compte de courrier électronique personnel.

9. Évitez de répondre à des courriels ou à des messages sur les médias sociaux qui vous demandent votre numéro de téléphone. C’est la première étape d’une attaque d’hameçonnage/hameçonnage vocal ciblée. Signalez ces courriels/messages à l’équipe des TI ou de soutien de la plateforme en question.

Qu’est-ce qu’une simulation d’hameçonnage ?

Les simulations d’hameçonnage constituent l’une des meilleures façons de sensibiliser les individus aux cyberattaques. Souvenez-vous que l’hameçonnage vocal est souvent utilisé avec l’hameçonnage par courriel pour mener une double cyberattaque.

Les simulations d’hameçonnage contribuent à identifier les employés les plus sensibles aux cybermenaces. Des simulations d’hameçonnage en temps réel sont essentielles à la réussite d’un programme de formation en sensibilisation à la sécurité.

La formation en sensibilisation à la sécurité et les simulations d’hameçonnage aident à augmenter les niveaux d’alerte face aux menaces de cybersécurité. Les simulations d’hameçonnage permettent aux participants d’acquérir une expérience concrète qui les aidera à comprendre comment les cybercriminels agissent pour les tromper et les convaincre de coopérer avec eux.

Comparez votre taux de clics avec celui de vos pairs !

Réservez le rapport du Gone Phishing Tournament 2021 dès maintenant

OBTENIR LE RAPPORT

Comment les simulations d’hameçonnage peuvent-elles contribuer à prévenir les attaques d’hameçonnage vocal ?

Les simulations d’hameçonnage permettent de montrer aux employés comment les cybercriminels utilisent les appels téléphoniques, les messages vocaux et un discours persuasif pour commettre des cybercrimes. Les simulations d’hameçonnage permettent donc de:

1. Augmenter les niveaux d’alerte à l’égard du langage manipulateur utilisé par les cybercriminels dans les messages vocaux.
2. Entraîner les employés pour éliminer le réflexe de confiance automatique.
3. Mesurer et surveiller le degré de vulnérabilité de l’entreprise et des employés.
4. Déployer des solutions ciblées pour lutter contre l’hameçonnage et l’hameçonnage vocal.
5. Évaluer l’efficacité de la formation en sensibilisation à la cybersécurité.

6. Maintenir un niveau élevé de vigilance face à l’hameçonnage vocal parmi les employés.
7. Protéger les informations corporatives et personnelles confidentielles.
8. Instaurer une culture de cybersécurité au sein de l’entreprise et former des héros de la cybersécurité.
9. Répondre aux exigences de l’industrie en matière de formation en sécurité et de confidentialité.

Hameçonnage vocal, hameçonnage par message texte et hameçonnage — Connaissez-vous la différence ?

Hameçonnage vocal

Consiste à passer des appels téléphoniques et laisser des messages vocaux intimidants pour convaincre les victimes de partager des informations personnelles avant de les voler.

Hameçonnage par message texte

Consiste à envoyer des messages textes pour dérober des informations et commettre d’autres cybercrimes.

Hameçonnage

Utilise une grande variété de méthodes, y compris des courriels, des faux sites Web et des messages textes pour voler les victimes. L’hameçonnage par message texte et l’hameçonnage vocal sont deux types d’hameçonnage.

En apprendre davantage sur l’hameçonnage vocal

Pour en apprendre davantage sur l’hameçonnage vocal, l’hameçonnage, l’ingénierie sociale et la sensibilisation à la sécurité, consultez les ressources suivantes :

Demo