Qualifié d’arnaque, plus que de menace pour la cybersécurité, l’hameçonnage vocal (vishing) désigne les tentatives de vol d’informations ou d’argent par téléphone. Ces appels résultent de l’utilisation de données personnelles acquises lors de cyberattaques précédentes pour gagner la confiance de leur victime. Un rapport publié en 2019 par Orion Trends a établi que 75 % des fraudeurs disposaient déjà des informations personnelles de leurs victimes avant de les appeler.
Le type d’hameçonnage vocal le plus courant consiste à se faire passer pour une figure d’autorité telle qu’un fonctionnaire, un client ou un collègue de travail. L’objectif du cybercriminel est d’obtenir des informations sensibles sur sa victime telles qu’un numéro de sécurité sociale. Ces appels peuvent constituer de véritables menaces à la sécurité si la victime fournit des informations telles que le mot de passe d’un ordinateur.
Dans de rares cas, les criminels tenteront de convaincre la victime de transférer de l’argent ou de payer une fausse facture afin de voler les fonds de l’entreprise. Quel que soit l’objectif ou la méthode utilisée, la seule façon de déjouer ces attaques est de mettre en place des programmes appropriés de sensibilisation des utilisateurs.
Cet article examine sept exemples courants d’hameçonnage vocal afin que vos utilisateurs ne tombent pas dans le piège.
1. Appel robot
Grâce à un logiciel, ces attaques envoient un appel préenregistré à tous les numéros de téléphone d’un indicatif régional spécifique. La voix automatisée demande à la victime de communiquer plusieurs informations personnelles. Les réponses sont enregistrées et utilisées pour voler de l’argent ou ouvrir des cartes de crédit frauduleuses.
Ces appels sont devenus si courants que la plupart des gens les connaissent et raccrochent lorsqu’ils les reçoivent. Les numéros internationaux ou bloqués sont un autre signe révélateur de ces attaques, car les cybercriminels doivent régulièrement changer de numéro pour que les autorités ne puissent pas les repérer.
2. VoIP
Si le VoIP est une technologie formidable qui a permis des innovations commerciales fantastiques, les cybercriminels peuvent facilement créer de faux numéros pour mener leurs attaques. Cette technique peut être combinée à un appel robot, mais est souvent réalisée par de véritables appelants.
La meilleure façon de déjouer ces appels est de demander à recevoir plus d’informations par courriel, où les attaques sont plus faciles à détecter, ou de demander à rappeler pour poursuivre l’appel, car l’attaquant ne pourra pas le faire.
3. Usurpation de l’identité de l’appelant
Ce type d’attaque peut être particulièrement pernicieux, car il utilise un logiciel pour falsifier l’identité d’un appelant légitime. Les fraudeurs tentent généralement de se faire passer pour une institution telle qu’une agence fiscale, un service de police ou un hôpital afin de créer une situation d’urgence et d’amener la victime à communiquer des informations qu’elle ne donnerait pas habituellement.
Ces attaques sont difficiles à repérer, et la meilleure façon d’y échapper est la même que pour la VoIP, à savoir passer l’appel sur un autre support. Certains téléphones et certaines mesures de sécurité physique peuvent détecter ces faux identifiants d’appelants et les rejeter automatiquement.
4. La fouille de poubelle
Comme leur nom l’indique, ces attaques sont menées à l’aide d’informations recueillies dans les poubelles d’une entreprise. Les documents officiels de l’entreprise contiennent souvent suffisamment d’informations personnelles pour mener à bien une attaque par hameçonnage vocal.
La meilleure façon de contrer la fouille de poubelle (ou dumpster diving) est simple. Chaque entreprise doit déchiqueter tous les documents sensibles de l’entreprise avant de les jeter. Qu’il s’agisse de faire appel à une société externe ou d’acheter des déchiqueteuses pour le bureau, c’est un investissement indispensable compte tenu des risques.
5. Appel au support technique
Cette attaque est très répandue dans les grandes entreprises où les employés ne connaissent pas forcément les membres du service d’assistance technique ou ne les ont jamais rencontrés. Les cybercriminels prétendent devoir effectuer une mise à jour ou une réparation de l’ordinateur et demandent le mot de passe de la victime pour le faire.
L’éducation est essentielle pour lutter contre ces attaques. Rappelez fréquemment aux utilisateurs que vous ne leur demanderez jamais de divulguer leur mot de passe par téléphone et qu’ils ne doivent en aucun cas le faire.
6. Fraude par messagerie vocale
Celle-ci est un peu différente et implique des notifications par messagerie vocale. De nombreux téléphones intelligents et applications comme WhatsApp envoient des courriels à leurs utilisateurs pour les informer des messages vocaux enregistrés. Ces courriels contiennent un lien permettant d’écouter un message vocal. Ces courriels frauduleux renvoient alors à un faux enregistrement de message vocal, mais conduisent l’utilisateur vers un site Web qui télécharge des logiciels malveillants sur son appareil.
Il est possible de se prémunir contre cette fraude en veillant à ce que les utilisateurs soient correctement formés à la détection de courriels d’hameçonnage. Ces courriels comportent souvent des fautes d’orthographe, des logos de taille inadéquate et ne sont pas envoyés à partir de noms de domaine officiels.
7. Appel du client
Les fraudeurs qui se livrent à ce genre d’attaque se font souvent passer pour des clients de votre entreprise et demandent le paiement d’une facture, souvent en trouvant de vieilles factures dans les poubelles. Ils s’appuient sur un sentiment d’urgence pour convaincre la victime de leur transférer des fonds et de voler l’argent de l’entreprise.
Ce type d’hameçonnage vocal est un excellent exemple de la raison pour laquelle toute entreprise devrait faire approuver par deux personnes tout paiement de facture ou virement. De cette façon, une autre personne non impliquée dans l’attaque doit examiner le processus et peut détecter les tentatives frauduleuses.
L’éducation est la clé
L’hameçonnage est en nette augmentation. La meilleure façon de contrer ces cybermenaces est de s’assurer que vos utilisateurs sont conscients de leurs existences afin qu’ils puissent les reconnaître. Les simulations d’hameçonnage vocal sont tout aussi simples que les simulations d’hameçonnage et devraient faire partie intégrante de vos campagnes de formation en sensibilisation à la cybersécurité.
La meilleure façon de savoir si votre organisation est à risque sera toujours d’effectuer quelques tests et d’ajuster vos défenses en conséquence.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Snscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.