Hameçonnage vocal : protégez-vous du vishing
Le phishing reste aujourd’hui l’un des principaux vecteurs d’attaques informatiques, mais une variante gagne rapidement du terrain : le vishing.
Aussi appelé hameçonnage vocal ou phishing téléphonique, le vishing consiste à manipuler une victime par téléphone dans le but de lui soutirer des informations sensibles.
Bien que l’utilisation du téléphone à des fins frauduleuses ne soit pas une nouveauté, on observe depuis quelques années un perfectionnement des méthodes conduisant à un véritable changement de dimension.
Ce phénomène s’explique par l’évolution technologique et la prolifération des informations personnelles disponibles en ligne. Les cybercriminels exploitent ces données pour personnaliser leurs attaques, rendant leur approche de plus en plus convaincante et donc dangereuse.
Le succès de l’hameçonnage vocal repose sur sa simplicité de mise en œuvre et son efficacité redoutable. En jouant sur la confiance, l’urgence ou la peur, les attaquants manipulent psychologiquement leurs cibles pour obtenir des informations confidentielles, comme des identifiants, des mots de passe ou des données bancaires.
Comprendre les mécanismes de cette menace croissante est donc essentiel pour s’en prémunir et éviter de devenir la prochaine victime.
Hameçonnage vocal : définition et contexte
Qu’est-ce que le vishing ?
Le terme « vishing » résulte de la contraction des mots anglais « voice » (voix) et « phishing » (hameçonnage). Le vishing est donc l’équivalent vocal du phishing, qui repose lui sur des messages électroniques. C’est d’ailleurs pourquoi il est parfois appelé phishing téléphonique.
Mais alors, en quoi consiste l’hameçonnage vocal ? L’objectif reste le même : voler des données personnelles, des informations financières ou des accès sensibles à des systèmes informatiques.
Pour y parvenir, les pirates s’appuient sur des techniques d’ingénierie sociale. Une méthode qui repose sur la manipulation psychologique de la victime en exploitant des émotions telles que la peur, le respect de l’autorité, l’urgence, l’empathie ou encore la confiance.
En général, le succès du vishing repose sur la capacité de l’attaquant à inspirer confiance. Pour cela, le fraudeur collecte des renseignements sur sa cible afin de rendre son discours crédible et d’éviter de susciter des soupçons.
Les vishers se présentent souvent comme des professionnels ou des représentants d’autorités administratives, ce qui renforce l’apparente légitimité de leurs démarches frauduleuses.
De fait, les attaques par hameçonnage vocal les plus répandues sont les fraudes au faux support technique et au faux conseiller bancaire.
Pourquoi l’hameçonnage vocal se développe-t-il rapidement ?
Les acteurs de la cybersécurité remarquent une forte progression des attaques par hameçonnage vocal depuis plusieurs années.
Pour autant, les statistiques sur l’hameçonnage téléphonique sont difficiles à distinguer des autres attaques par ingénierie sociale et sont souvent regroupées avec les attaques par phishing. D’autant plus que les attaques par vishing sont souvent hybrides et utilisent comme point d’entrée un mail de phishing.
La pandémie de COVID-19 a probablement joué un rôle significatif dans le développement et la prolifération de l’hameçonnage vocal. Avec l’adoption massive du télétravail, de nombreuses entreprises et particuliers ont dû s’adapter rapidement, souvent sans mettre en place des mesures de sécurité adéquates.
Les cybercriminels ont exploité cette transition, profitant des vulnérabilités liées à l’isolement des employés et à la décentralisation des systèmes de sécurité.
L’évolution des habitudes de communication et les avancées technologiques sont également des causes du développement de l’hameçonnage vocal. Les fraudeurs ont désormais beaucoup plus facilement accès à des outils sophistiqués. Outils qui deviennent concomitamment plus puissants, moins difficile à prendre en main et moins chers.
De plus, la prolifération des informations personnelles disponibles en ligne, souvent issues de fuites de données ou d’une exposition sur les réseaux sociaux, permet aux cybercriminels de personnaliser leurs attaques pour paraître plus crédibles.
Or si les attaques par hameçonnage vocal se développent c’est bien parce qu’elles sont très efficaces. Elles demandent certes plus d’implication pour les assaillants, qui doivent élaborer des scénarios crédibles et se renseigner sur leur victime, mais le jeu en vaut la chandelle.
En effet, la Federal Trade Commission américaine constate que les attaques par hameçonnage vocal génèrent des pertes financières près de trois fois plus importantes pour les victimes que les attaques par phishing.
Le déroulement typique d’une attaque de vishing
Le vishing regroupe une réalité disparate de méthodes et de moyens. Pour autant, une attaque type se déroule en quatre temps.
1. Identification de la cible : Les escrocs collectent des informations sur leur cible via les réseaux sociaux, des annuaires d’entreprise ou d’associations accessibles en ligne ou issues de fuites de données.
2. Prise de contact : L’appel peut être automatisé ou effectué par un pirate en personne. Dans certains cas, les arnaqueurs envoient préalablement un mail de phishing demandant à la victime d’appeler un numéro.
3. Manipulation émotionnelle : L’interlocuteur invoque souvent une urgence (frais impayés, problème de sécurité, mise à jour de logiciel) ou se fait passer pour une entité de confiance (banque, administration, prestataire informatique) afin d’obtenir les données recherchées.
4. Exploitation des informations : Les données obtenues sont utilisées pour des escroqueries immédiates ou ultérieures, des transferts financiers ou des attaques plus complexes.4
Qui peut être victime de vishing ?
Les particuliers, cible historique de l’hameçonnage vocal
Les particuliers sont des cibles de choix de l’hameçonnage vocal. Ils sont souvent peu sensibilisés aux risques et détiennent, par définition, un accès direct sur leurs données personnelles et notamment bancaires.
De fait, selon le rapport d’activité annuel 2023 de Cybermalveillance.gouv.fr, les attaques au faux support technique représentent près de 10% des signalements émanant de particuliers.
Les arnaques au faux conseiller bancaire ont quant à elles progressé de 78% entre 2022 et 2023, après avoir été classé en 2022 parmi « les nouvelles formes de cybermalveillances ».
Pour autant, le vishing ne se limite pas à la sphère privée et le monde professionnel en est aujourd’hui tout autant la cible, même si peu de structures en ont suffisamment conscience.
Le monde professionnel : nouvel eldorado pour le vishing
Les professionnels, en particulier ceux qui occupent des fonctions ayant accès à des données financières ou stratégiques au sein des organisations, sont particulièrement vulnérables.
Les administrations, les collectivités locales et autres organismes publics sont, eux aussi, des cibles attrayantes en raison des informations critiques qu’elles détiennent et des fonds qu’elles gèrent, parfois avec des procédures de sécurité moins strictes.
Les attaquants se font fréquemment passer pour des fournisseurs, demandant de modifier les coordonnées de paiement pour des factures, ou bien pour des cadres ou des dirigeants d’entreprise afin d’autoriser des virements bancaires frauduleux sous couvert d’urgence.
Les services informatiques sont également usurpés, les fraudeurs cherchant alors à obtenir des mots de passe ou des informations d’accès sensibles pour pénétrer les systèmes de l’entreprise et y mener ultérieurement des attaques ciblées.
IA et vishing : quand votre voix devient une menace
Comment reconnaître une tentative de vishing ?
Personne ne peut se targuer d’être à l’abri du hameçonnage vocal. Les attaques sont aujourd’hui d’une telle précision et conduites avec un tel professionnalisme que n’importe qui peut potentiellement devenir victime.
Pour éviter de tomber dans le piège, quelques signaux d’alertes doivent vous faire réagir lors d’un appel.
1. Numéro masqué, externe ou inconnu
L’appel provient souvent d’un numéro masqué, inconnu, d’un numéro externe à l’entreprise ou d’un numéro falsifié ressemblant à celui d’une entreprise légitime. Il est important de rester sceptique au moment de décrocher.
2. Sentiment d’urgence, de pression, de peur, …
Le fraudeur utilise des techniques d’ingénierie sociale pour vous inciter à réagir vite et à vous empêcher de réfléchir (il prétextera par exemple d’un problème technique à résoudre au plus vite).
3. Demande d’informations sensibles ou inhabituelles
L’attaquant demande des données confidentielles, comme vos mots de passe, vos codes PIN, votre numéro de carte bancaire, sous prétexte de vérifications. Gardez en tête que ces informations ne doivent jamais être communiquées (et donc demandées) par téléphone.
4. Mise en confiance de l’interlocuteur
Pour vous inspirer confiance, l’assaillant peut utiliser des informations personnelles qu’il aura pu trouver sur les réseaux sociaux, sur les organigrammes d’entreprise, ou à la suite de fuites de données. Gardez de la distance vis-à-vis de l’interlocuteur sans considérer ces informations comme gage de confiance.
Que faire face à une tentative de hameçonnage vocal ?
Les signaux d’alerte repérés au cours d’une conversation vous laissent penser que vous êtes face à une tentative de vishing ? Mettez fin immédiatement à la conversation et prévenez vos collègues et votre service sécurité de la tentative. En cas de doute, poursuivez la conversation avec prudence et en gardant à l’esprit ces principes fondamentaux :
1. Vérifiez l’identité de l’interlocuteur
Cherchez à savoir qui vous appelle en posant des questions à votre interlocuteur. S’il s’agit de quelqu’un qui vous connaît réellement il saura répondre à des questions précises contrairement à un usurpateur.
En cas de doute vous pouvez aussi proposer de rappeler l’interlocuteur sur un numéro fiable et connu, de préférence depuis un autre téléphone.
2. Restez calme et réfléchissez
Les fraudeurs misent souvent sur la panique ou la précipitation. Prenez le temps de réfléchir avant de répondre ou d’agir. Votre instinct et l’écoute de vos émotions sont des alliés face au vishing. Si vous sentez que quelque chose est suspect, prenez du recul pour vérifier votre impression.
3. Évitez de communiquer des informations spontanément
En cas de doute, parlez le moins possible et laissez votre interlocuteur se dévoiler. Ne partagez jamais vos données personnelles, même si l’interlocuteur semble en savoir beaucoup sur vous et même s’il insiste sur l’urgence de l’action à mener.
4. Refusez d’effectuer toute action qui vous semble suspecte
En cas de doute, refusez de faire des actions suspectes comme de cliquer sur un lien, de renseigner votre identifiant ou votre mot de passe, de changer une configuration sur votre ordinateur, etc. Prenez, là encore, le recul nécessaire avant de vous exécuter.
Conclusion : comment se protéger du hameçonnage vocal ?
Nous l’avons vu, le vishing est un type d’attaque relativement simple à mettre en œuvre mais très efficace et qui tend à se développer de façon inquiétante.
Comme pour toute attaque d’ingénierie sociale, le meilleur rempart est un esprit sensibilisé au danger que représente le vishing. Prendre du recul, être sceptique et prudent peut vous permettre de déjouer une tentative de phishing vocal.
Gardons à l’esprit que le succès de cette attaque repose en grande partie sur les renseignements collectés par l’attaquant qui lui permettront de légitimer sa démarche et de vous mettre en confiance.
Par conséquent, évitez au maximum de publier vos informations personnelles ou professionnelles sur les réseaux sociaux et sur Internet (newsletter, compte fidélité, etc.) et limitez au stricte nécessaire les renseignements partagés (par exemple, l’inscription à une newsletter ne doit pas supposer de donner votre numéro de téléphone ou votre adresse postale).
En suivant ce conseil vous tarissez la source d’informations qu’un individu malveillant peut potentiellement collecter à votre sujet et vous réduisez de facto votre exposition aux techniques d’ingénierie sociale.
Enfin, le meilleur moyen de connaître le niveau de risque de votre organisation face au vishing est d’opter pour une mise en situation afin de tester en conditions réelles les réflexes de vos collaborateurs. Vous serez alors à même d’ajuster vos procédures en fonction des recommandations fournies à l’issue de la simulation de vishing.
