L’hameçonnage vocal (le vishing) est un cybercrime qui consiste à passer des appels téléphoniques dans le but d’obtenir les renseignements personnels confidentiels des victimes. Les cybercriminels utilisent des tactiques d’ingénierie sociale pour convaincre leurs victimes de partager des informations privées comme les données d’accès à un compte bancaire.
Tout comme l’hameçonnage (phishing) ou l’hameçonnage par message texte (smishing), l’objectif de l’hameçonnage vocal est de convaincre les victimes qu’elles agissent dans l’intérêt général ou dans leur propre intérêt. Souvent, l’auteur de l’appel prétend téléphoner au nom du gouvernement, du service fiscal, de la police ou de la banque de la victime.
Les cybercriminels utilisent des menaces et un ton persuasif pour amener leurs victimes à croire que la seule option possible est de fournir l’information demandée. Certains sont très convaincants et réussissent à leur faire croire qu’ils les aident à éviter une poursuite criminelle. Une autre tactique fréquemment utilisée est de laisser des messages vocaux menaçants qui demandent au destinataire de rappeler immédiatement, sous peine par exemple d’être arrêté ou de voir son compte bancaire suspendu.
Le Hub de Cybersécurité
Inscrivez-vous maintenant pour accéder à du contenu de sensibilisation à la cybersécurité engageant, facile à partager et disponible en plusieurs formats.
Il arrive fréquemment que les cybercriminels ajustent leurs appels et leurs messages d’hameçonnage en fonction du moment de l’année, ou d’une nouvelle populaire dans l’actualité.
Par exemple, pendant la période des impôts, les criminels peuvent laisser des messages en prétendant être l’ARC. Et pendant la pandémie de COVID-19, des cybercriminels ont contacté des gens en leur promettant des vaccins et des trousses de test en échange de leurs informations bancaires et de leur adresse postale.
L’hameçonnage vocal est utilisé autant contre les individus que contre les organisations
Un cybercriminel peut effectuer une recherche sur une organisation, trouver les coordonnées d’un employé en ligne, puis l’appeler en se faisant passer pour le président. Il ne lui reste qu’à demander à la victime de transférer des fonds pour payer une facture en souffrance ou de transmettre un courriel contenant des fichiers personnels.
Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale est une technique utilisée par les cybercriminels et qui mise sur la tendance naturelle des êtres humains à faire confiance pour les convaincre de partager des informations confidentielles. Celles-ci peuvent ensuite être utilisées pour commettre d’autres cybercrimes.
Comment l’hameçonnage vocal se produit-il ?
Une attaque d’hameçonnage vocal réussie implique beaucoup plus de travail que de passer quelques coups de fil aléatoires. Les cybercriminels utilisent une approche stratégique pour voler leurs victimes.
Dans certains scénarios d’hameçonnage vocal, les cybercriminels fournissent un numéro de téléphone que les victimes peuvent composer en cas de questions ou pour faire un suivi. Il peut s’agir par exemple d’obtenir des informations sur le traitement de leurs impôts ou les résultats de leur test de dépistage de la COVID-19. Ce détail permet de légitimer les actions du cybercriminel et met la victime en confiance. Si la victime utilise le numéro, elle peut être dirigée vers une boîte vocale ou vers une personne qui poursuivra l’arnaque.
Quatre techniques communes d’hameçonnage vocal
1. Balayage de numéros de téléphone (wardialing)
Le cybercriminel utilise un logiciel pour appeler un indicatif régional spécifique et laisse un message semblant provenir d’une organisation locale, comme une banque, un service public ou une entreprise. Lorsqu’une personne répond, un message automatique démarre lui demandant de fournir son nom complet, les détails liés à sa carte de crédit, ses informations bancaires, son adresse postale et même son numéro d’assurance sociale. Le message enregistré peut préciser par exemple que ces informations sont nécessaires pour confirmer que le compte de la victime n’a pas été compromis.
2. Voix sur IP (VoIP)
Grâce à la voix sur IP, il est très facile pour les cybercriminels de créer un faux numéro de téléphone. Ces types de numéros sont difficiles à retracer et peuvent être utilisés pour créer des numéros de téléphone qui paraissent locaux ou qui présentent un préfixe 1-800. Certains cybercriminels créent des numéros VoIP qui semblent provenir d’un ministère, d’un hôpital local ou du service de police.
3. Mystification de l’identité de l’appelant
Tout comme dans le cas de l’hameçonnage vocal, le cybercriminel se cache derrière un faux numéro de téléphone pour se faire passer pour quelqu’un d’autre. Une des stratégies consiste à masquer l’identité de l’appelant et qu’apparaisse la mention « Inconnu » sur l’afficheur. Il est également possible de modifier le nom pour que l’appel semble provenir du gouvernement, d’un service public ou d’une banque. Le cybercriminel peut ainsi se faire passer pour une organisation légitime.
4. Le dumpster diving ou la fouille des poubelles
Une méthode simple et populaire pour recueillir des numéros de téléphone valides est de fouiller les poubelles situées derrière les édifices à bureaux et les entreprises. Souvent, les criminels trouvent suffisamment d’information pour lancer une attaque de harponnage contre la victime.
Exemples d’hameçonnage vocal
L’hameçonnage vocal est extrêmement commun. Les exemples suivants soulignent à quel point il est facile pour les cybercriminels de convaincre leurs victimes d’agir.
Les cybercriminels font continuellement évoluer leurs stratégies afin personnalisent leur message pour l’adapter aux dernières nouvelles, aux plus récentes avancées en matière de cybercrimes ou à des événements populaires, comme les soldes du Vendredi fou.
Comment reconnaître et prévenir l’hameçonnage vocal ?
Dans le cadre de votre formation en sensibilisation à la sécurité et de votre campagne de communication, rappelez à vos employés comment reconnaître et prévenir l’hameçonnage vocal.
1. Ne fournissez jamais vos informations personnelles par téléphone. Souvenez-vous que les banques, les hôpitaux, et les services publics ne vous appelleront jamais pour connaître vos informations personnelles.
2. Écoutez les appels avec attention. Prêtez attention au langage utilisé et réfléchissez avant de répondre. Ne partagez jamais des informations personnelles ou de travail. Ne confirmez pas votre adresse. Méfiez-vous des menaces et des demandes urgentes.
3. Méfiez-vous des appels vous indiquant d’appeler un numéro de téléphone pour confirmer votre identité. Vérifiez le numéro de téléphone, et rappelez en utilisant un téléphone différent. Les cybercriminels peuvent rediriger les numéros de téléphone et créer de faux numéros.
4. Évitez de répondre à des appels provenant de numéros inconnus. Laissez-les s’enregistrer dans votre boîte vocale, puis écoutez le message avec attention.
5. Posez des questions. Si durant un appel, on tente de vous offrir un prix ou de vous vendre quelque chose, demandez des preuves vous permettant de vérifier l’identité de l’interlocuteur et l’identité de son employeur. S’il refuse de vous fournir cette information, raccrochez. Assurez-vous de confirmer l’information partagée par l’interlocuteur avant de fournir vos informations.
6. Inscrivez votre numéro de téléphone sur la Liste nationale de numéros de télécommunication exclus. La plupart des entreprises légitimes respectent cette liste. Par conséquent, si vous recevez un appel d’une entreprise de télémarketing, c’est un indice qu’il s’agit d’une attaque d’hameçonnage vocal.
7. Souvenez-vous des informations que vous avez apprises sur l’ingénierie sociale grâce à votre formation en sensibilisation à la sécurité. Soyez à l’affût des discours qui misent sur la peur, la confiance et le désir d’aider les autres.
8. Souvenez-vous que votre gestionnaire ou votre collègue des ressources humaines ne vous appellera jamais à la maison pour vous demander de transférer des fonds, de partager des informations confidentielles et d’envoyer des documents à partir de votre compte de courrier électronique personnel.
9. Évitez de répondre à des courriels ou à des messages sur les médias sociaux qui vous demandent votre numéro de téléphone. C’est la première étape d’une attaque d’hameçonnage/hameçonnage vocal ciblée. Signalez ces courriels/messages à l’équipe des TI ou de soutien de la plateforme en question.
Qu’est-ce qu’une simulation d’hameçonnage ?
Les simulations d’hameçonnage constituent l’une des meilleures façons de sensibiliser les individus aux cyberattaques. Souvenez-vous que l’hameçonnage vocal est souvent utilisé avec l’hameçonnage par courriel pour mener une double cyberattaque.
Les simulations d’hameçonnage contribuent à identifier les employés les plus sensibles aux cybermenaces. Des simulations d’hameçonnage en temps réel sont essentielles à la réussite d’un programme de formation en sensibilisation à la sécurité.
La formation en sensibilisation à la sécurité et les simulations d’hameçonnage aident à augmenter les niveaux d’alerte face aux menaces de cybersécurité. Les simulations d’hameçonnage permettent aux participants d’acquérir une expérience concrète qui les aidera à comprendre comment les cybercriminels agissent pour les tromper et les convaincre de coopérer avec eux.
Comment les simulations d’hameçonnage peuvent-elles contribuer à prévenir les attaques d’hameçonnage vocal ?
Les simulations d’hameçonnage permettent de montrer aux employés comment les cybercriminels utilisent les appels téléphoniques, les messages vocaux et un discours persuasif pour commettre des cybercrimes. Les simulations d’hameçonnage permettent donc de:
1. Augmenter les niveaux d’alerte à l’égard du langage manipulateur utilisé par les cybercriminels dans les messages vocaux.
2. Entraîner les employés pour éliminer le réflexe de confiance automatique.
3. Mesurer et surveiller le degré de vulnérabilité de l’entreprise et des employés.
4. Déployer des solutions ciblées pour lutter contre l’hameçonnage et l’hameçonnage vocal.
5. Évaluer l’efficacité de la formation en sensibilisation à la cybersécurité.
6. Maintenir un niveau élevé de vigilance face à l’hameçonnage vocal parmi les employés.
7. Protéger les informations corporatives et personnelles confidentielles.
8. Instaurer une culture de cybersécurité au sein de l’entreprise et former des héros de la cybersécurité.
9. Répondre aux exigences de l’industrie en matière de formation en sécurité et de confidentialité.
Hameçonnage vocal, hameçonnage par message texte et hameçonnage — Connaissez-vous la différence ?
Hameçonnage vocal
Consiste à passer des appels téléphoniques et laisser des messages vocaux intimidants pour convaincre les victimes de partager des informations personnelles avant de les voler.
Hameçonnage par message texte
Consiste à envoyer des messages textes pour dérober des informations et commettre d’autres cybercrimes.
Hameçonnage
Utilise une grande variété de méthodes, y compris des courriels, des faux sites Web et des messages textes pour voler les victimes. L’hameçonnage par message texte et l’hameçonnage vocal sont deux types d’hameçonnage.
En apprendre davantage sur l’hameçonnage vocal
Pour en apprendre davantage sur l’hameçonnage vocal, l’hameçonnage, l’ingénierie sociale et la sensibilisation à la sécurité, consultez les ressources suivantes :
Contactez nous au 1-866-889-5806 ou sur [email protected] pour en apprendre d’avantage sur l’hameçonnage vocal.
Terranova Security s’engage à fournir une formation centrée sur les personnes qui sensibilise votre entreprise à la cybersécurité.