QU’EST-CE QUE LE VISHING ?
Le vishing (hameçonnage vocal ou VoIP) est un cybercrime qui consiste à passer des appels téléphoniques dans le but d’obtenir les renseignements personnels et confidentiels d’une victime. Les cybercriminels utilisent des tactiques d’ingénierie sociale pour convaincre leurs victimes de partager des informations privées comme les données d’accès à un compte bancaire.
Tout comme le phishing (hameçonnage) ou le phishing par SMS ou smishing, l’objectif du vishing est de convaincre les victimes qu’elles agissent dans l’intérêt général ou dans leur propre intérêt. Souvent, l’auteur de l’appel prétend téléphoner au nom du gouvernement, d’un service public ou de la banque de la victime.
Les cybercriminels utilisent des menaces et un ton persuasif pour amener leurs victimes à croire que la seule option possible est de fournir l’information demandée. Certains sont très convaincants et réussissent à leur faire croire qu’ils les aident à éviter une poursuite criminelle. Une autre tactique fréquemment utilisée est de laisser des messages vocaux menaçants qui demandent au destinataire de rappeler immédiatement, sous peine par exemple d’être arrêté ou de voir son compte bancaire suspendu.

Le Hub de Cybersécurité
Inscrivez-vous maintenant pour accéder à du contenu de sensibilisation à la cybersécurité engageant, facile à partager et disponible en plusieurs formats.
Par exemple, pendant la pandémie de COVID-19, des cybercriminels ont contacté des individus en leur promettant des vaccins et des trousses de test en échange de leurs informations bancaires et de leur adresse postale.

Le vishing est utilisé autant contre les individus que contre les organisations
Un cybercriminel peut effectuer une recherche sur une organisation, trouver les coordonnées d’un employé en ligne, puis l’appeler en se faisant passer pour le président de l’entreprise. Il ne lui reste qu’à demander à la victime de transférer des fonds pour régler une facture impayée ou de transmettre un e-mail contenant des fichiers personnels.

Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale est une technique utilisée par les cybercriminels et qui mise sur la tendance naturelle des êtres humains à faire confiance pour les convaincre de partager des informations confidentielles. Celles-ci peuvent ensuite être utilisées pour commettre d’autres cybercrimes.
Comment le vishing se produit-il ?
Une attaque de VoIP réussie implique beaucoup plus de travail que de passer quelques coups de fil aléatoires. Les cybercriminels utilisent une approche stratégique pour voler leurs victimes.
1.
Ils commencent par effectuer des recherches sur leurs victimes. Cette étape peut comprendre l’envoi d’un e-mail de phishing, en espérant qu’une personne réponde et fournisse son numéro de téléphone.
2.
Si la victime répond favorablement à la demande contenue dans l’e-mail, il est peu probable qu’elle se méfie d’un appel futur. En effet, selon le niveau de sophistication de l’attaque, la victime peut s’attendre à recevoir un appel téléphonique. Et comme les cybercriminels savent que les victimes sont plus susceptibles de répondre à un numéro provenant d’un indicatif régional local, ils peuvent utiliser un logiciel spécialisé leur permettant de simuler un appel effectué localement.
3.
Dès que les cybercriminels ont établi un contact, et selon le type d’arnaque, la victime mise en confiance sera amenée à communiquer des informations bancaires, à transférer des fonds, à fournir des renseignements le concernant ou concernant son employeur ou encore à transmettre des documents confidentiels par courriel.
4.
Une fois en possession de ces informations, les cybercriminels peuvent s’en servir pour commettre d’autres crimes tels que : vol d’identité, utilisation des fonds de la victime, achat en ligne avec les informations de carte de crédit, envoi de courriels aux collègues de la victime pour les inviter à leur tour à partager des informations confidentielles.
Dans certains scénarios de vishing, les cybercriminels fournissent un numéro de téléphone que les victimes peuvent composer en cas de questions ou pour faire un suivi. Ce détail permet de légitimer les actions du cybercriminel et met la victime en confiance. Si la victime utilise le numéro, elle peut être dirigée vers une boîte vocale ou vers une personne qui poursuivra l’arnaque.

1. La numérotation de guerre (wardialing)
Le cybercriminel utilise un logiciel pour appeler un indicatif régional spécifique et laisse un message semblant provenir d’une organisation locale, comme une banque, un service public ou une entreprise. Lorsqu’une personne répond, un message automatique démarre lui demandant de fournir des informations personnelles telles que : nom complet, renseignement de carte de crédit, données bancaires, adresse postale. Le message enregistré peut préciser par exemple que ces informations sont nécessaires pour confirmer que le compte de la victime n’a pas été compromis.

2. La voix sur IP (VoIP)
Grâce à la voix sur IP, il est très facile pour les cybercriminels de créer un faux numéro de téléphone. Ces types de numéros sont difficiles à retracer et peuvent être utilisés pour créer des numéros de téléphone qui paraissent locaux ou qui présentent un préfixe 1-800. Certains cybercriminels créent des numéros VoIP qui semblent provenir d’un ministère, d’un hôpital local ou d’un service public.

3. Le spoofing téléphonique ou l’usurpation de numéro
Tout comme dans le cas du vishing, le cybercriminel se cache derrière un faux numéro de téléphone. Une des principales stratégies de spoofing consiste à masquer l’identité de l’appelant et à faire apparaître la mention « Inconnu » sur l’afficheur du destinataire. Il est également possible d’indiquer sur l’afficheur que l’appel semble provenir du gouvernement, d’un service public ou d’une banque. Le cybercriminel peut ainsi se faire passer pour une organisation légitime.

4. Le dumpster diving ou la fouille des poubelles
Une méthode simple et populaire pour recueillir des numéros de téléphone valides consiste à littéralement fouiller les poubelles en particulier celles situées derrière les bureaux des entreprises. Souvent, les criminels trouvent suffisamment d’information pour lancer une attaque de spear phishing (harponnage) contre la victime.
L’ingénierie sociale est essentielle à la réussite de tous les types d’attaques de phishing. Il faut donc se méfier de tous appels au ton urgent, ferme ou convaincant. Il est important de se rappeler que le service de soutien technique de Microsoft, Amazon, ou d’un service public ne vous demanderont jamais vos informations personnelles ou bancaires.
Exemples de vishing
Le vishing est extrêmement commun. Les exemples suivants soulignent à quel point il est facile pour les cybercriminels de convaincre leurs victimes d’agir.
1. Représentant du gouvernement
L’auteur de l’appel prétend téléphoner au nom du gouvernement afin de valider des données d’identification personnelle. Il peut menacer de suspendre le paiement d’un remboursement d’impôt ou d’un programme de sécurité sociale si la victime ne fournit pas les informations demandées pour confirmer son compte et son identité.
2. Fraude du soutien technique
Dance cette situation, le cybercriminel prétend être un représentant du soutien technique de Microsoft, Amazon ou d’un fournisseur de service en ligne. Il affirme avoir remarqué une activité inhabituelle dans le compte de la victime et souhaite confirmer qu’il possède les informations exactes du compte. En outre, le cybercriminel peut demander à la victime de lui transmettre son adresse courriel pour qu’il puisse lui envoyer la mise à jour d’un logiciel, soi-disant pour protéger son ordinateur des cybercriminels. Bien entendu, son installation permettra plutôt l’installation d’un malware.
3. Fausse banque
En utilisant un faux numéro de téléphone et une fausse identité, le cybercriminel prétend téléphoner au nom de la banque de la victime. Il affirme qu’une activité inhabituelle a été détectée dans son compte et qu’il doit confirmer ses détails bancaires, y compris son adresse postale, comme preuve d’identification. Cette information peut ensuite être utilisée pour commettre un vol d’identité.
4. Attaque de télémarketing
Tout le monde aime gagner des cadeaux et les cybercriminels le savent bien. Ils profitent de cette situation pour amener des victimes sans méfiance à partager des informations confidentielles pour confirmer la réception du prix et l’acheminer à la victime.
Les cybercriminels font continuellement évoluer leurs stratégies afin de personnaliser leur message pour l’adapter à l’actualité, aux plus récentes avancées en matière de cybercrimes ou à des événements populaires comme les soldes du Black Friday.
Comment reconnaître et prévenir le vishing ?
Dans le cadre de votre formation en sensibilisation à la sécurité et de votre campagne de communication, rappelez à vos employés comment reconnaître et prévenir le vishing.
1. Ne fournissez jamais vos informations personnelles par téléphone. Souvenez-vous que les banques, les hôpitaux, et les services publics ne vous appelleront jamais pour connaître vos informations personnelles.
2. Écoutez les appels avec attention. Prêtez attention au langage utilisé et réfléchissez avant de répondre. Ne partagez jamais des informations personnelles ou de travail. Ne confirmez pas votre adresse. Méfiez-vous des menaces et des demandes urgentes.
3. Méfiez-vous des appels vous indiquant d’appeler un numéro de téléphone pour confirmer votre identité. Vérifiez le numéro de téléphone, et rappelez en utilisant un téléphone différent. Les cybercriminels peuvent rediriger les numéros de téléphone et créer de faux numéros.
4. Évitez de répondre à des appels provenant de numéros inconnus. Laissez-les s’enregistrer dans votre boîte vocale, puis écoutez le message avec attention.
5. Posez des questions. Si durant un appel, on tente de vous offrir un prix ou de vous vendre quelque chose, demandez des preuves vous permettant de vérifier l’identité de l’interlocuteur et l’identité de son employeur. S’il refuse de vous fournir cette information, raccrochez. Assurez-vous de confirmer l’information partagée par l’interlocuteur avant de fournir vos informations.
6. Inscrivez votre numéro de téléphone sur la liste téléphonique Bloctel, la liste d’opposition au démarchage téléphonique. Les entreprises légitimes respectent cette liste. Par conséquent, si vous recevez un appel d’une entreprise de télémarketing, c’est un indice qu’il peut s’agir d’une attaque de vishing.
7. Souvenez-vous des informations que vous avez apprises sur l’ingénierie sociale grâce à votre formation en sensibilisation à la sécurité. Soyez à l’affût des discours qui misent sur la peur, la confiance et le désir d’aider les autres.
8. Souvenez-vous que votre gestionnaire ou votre collègue des ressources humaines ne vous appellera jamais à la maison pour vous demander de transférer des fonds, de partager des informations confidentielles et d’envoyer des documents à partir de votre compte de messagerie électronique personnelle.
9. Évitez de répondre à des courriels ou à des messages sur les réseaux sociaux qui vous demandent votre numéro de téléphone. C’est la première étape d’une attaque de phishing/hameçonnage vocal ciblée. Signalez ces courriels/messages à l’équipe des TI ou de soutien de la plateforme en question.
Les simulations de phishing constituent l’une des meilleures façons de sensibiliser les individus aux cyberattaques. Souvenez-vous que le vishing est souvent utilisé avec le phishing par e-mail pour mener une double cyberattaque.
Les simulations de phishing contribuent à identifier les employés les plus sensibles aux cybermenaces. Des simulations de phishing en temps réel sont essentielles à la réussite d’un programme de formation en sensibilisation à la sécurité.
La formation en sensibilisation à la sécurité et les simulations de phishing aident à augmenter les niveaux d’alerte face aux menaces de cybersécurité. Les simulations de phishing permettent aux participants d’acquérir une expérience concrète qui les aidera à comprendre comment les cybercriminels agissent pour les tromper et les convaincre de coopérer avec eux.

Co-présenté par

Comparez votre taux de clics avec celui de vos pairs!
Réservez le rapport du Gone Phishing Tournament 2021 dès maintenant
Comment les simulations de phishing peuvent-elles contribuer à prévenir les attaques de vishing ?
Les simulations de phishing permettent de montrer aux employés comment les cybercriminels utilisent les appels téléphoniques, les messages vocaux et un discours persuasif pour commettre des cybercrimes. Les simulations de phishing permettent donc de :
1. Augmenter les niveaux d’alerte à l’égard du langage manipulateur utilisé par les cybercriminels dans les messages vocaux.
2. Entraîner les employés pour éliminer le réflexe de confiance automatique.
3. Mesurer et surveiller le degré de vulnérabilité de l’entreprise et des employés.
4. Déployer des solutions ciblées pour lutter contre le phishing et le vishing.
5. Évaluer l’efficacité de la formation en sensibilisation à la cybersécurité.
6. Maintenir un niveau élevé de vigilance face au vishing parmi les employés.
7. Protéger les informations corporatives et personnelles confidentielles.
8. Instaurer une culture de cybersécurité au sein de l’entreprise et former des héros de la cybersécurité.
9. Répondre aux exigences de l’industrie en matière de formation en sécurité et de confidentialité.
Vishing
Consiste à passer des appels téléphoniques et laisser des messages vocaux intimidants pour convaincre les victimes de partager des informations personnelles avant de les voler.
Smishing
Consiste à envoyer des messages textes pour dérober des informations et commettre d’autres cybercrimes.
Phishing
Utilise une grande variété de méthodes, y compris des e-mails, de faux sites Web et des SMS pour voler les victimes. Le smishing et le vishing sont deux types de phishing.
Pour en apprendre davantage sur le vishing, le phishing, l’ingénierie sociale et la sensibilisation à la sécurité, consultez les ressources suivantes :
Contactez nous au 1-866-889-5806 ou sur [email protected] pour en apprendre d’avantage sur le vishing.
Terranova Security s’engage à fournir une formation centrée sur les personnes qui sensibilise votre entreprise à la cybersécurité.