Vous connaissez probablement le phishing par e-mail, mais saviez-vous que le phishing pouvait également se diffuser par SMS (smishing) et par appel vocal (vishing) ?
Comment fonctionne concrètement le vishing ? Quelles sont les techniques utilisées par les hackers et leurs objectifs lorsqu’ils pratiquent le vishing ? Comment s’en protéger ? Voyons cela en détail dans cet article.
Qu’est-ce que le vishing et comment fonctionne-t-il ?
Vishing : définition
Le mot « vishing » est né de la contraction entre « vocal » et « phising », entre « voice » et « phishing » en anglais. En français, on traduit le mot par « hameçonnage vocal » ou « hameçonnage par téléphone ». Le vishing est donc considéré comme une variante du phishing.
En pratique, le vishing consiste à passer un appel téléphonique à une personne et à la convaincre de communiquer des informations confidentielles (informations d’identification, données personnelles, informations bancaires, etc.) ou à réaliser une action (effectuer un virement bancaire, par exemple).
Les attaquants peuvent ensuite utiliser les informations obtenues pour en faire un usage frauduleux, les revendre ou s’en servir pour mener des attaques plus poussées (prendre le contrôle d’un des comptes de la victime, par exemple).
L’objectif du vishing est donc le même que le phishing. Seul le canal utilisé change. Le vishing peut toucher à la fois les particuliers et les entreprises et peut être associé à du phishing ou du smishing.
Le vishing étape par étape
Dans un premier temps, les hackers cherchent des informations sur leur cible à partir des informations glanées sur Internet, ou encore en envoyant un e-mail de phishing pour obtenir par exemple le numéro de téléphone de leurs cibles. Certains attaquants n’hésitent pas à fouiller dans les poubelles situées près des locaux des entreprises pour recueillir des numéros de téléphone. D’autres envoient des SMS à des utilisateurs en leur demandant de rappeler un numéro de téléphone.
Les hackers passent ensuite leur appel, parfois en utilisant un logiciel leur permettant d’appeler à partir d’un faux numéro. Parfois, le contact par téléphone est établi par un message automatisé. Dans ce genre de cas, lorsque la victime accepte le contact, un humain prend le relai et poursuit la conversation.
Lors de l’appel, les hackers tentent d’obtenir la confiance de leur victime et de l’inciter par exemple à transmettre des informations confidentielles telles que des informations bancaires. Après avoir obtenu ces informations, les hackers peuvent les utiliser pour commettre une usurpation d’identité, réaliser des transactions bancaires frauduleuses avec les informations de carte de crédit de la victime, etc. Il existe différents scénarios de vishing.
Des exemples typiques de vishing
Certains auteurs de vishing se font passer pour le service des impôts, pour la Sécurité sociale ou encore pour une banque. Ils demandent à la victime de lui fournir des informations personnelles en menaçant de suspendre un paiement ou un remboursement si la personne ne fournit pas ces informations. Certains types d’arnaques font également croire à la victime qu’elle vient de gagner un cadeau et demandent en contrepartie des informations permettant d’acheminer le gain.
Les organisations constatent également le développement de tentatives de vishing menées par des personnes qui se présentent comme étant le support informatique de l’organisation ou encore le support de son fournisseur de messagerie. Dans ce genre de cas, le hacker indique à la victime qu’il a constaté une activité inhabituelle sur son compte et qu’il souhaite vérifier ses identifiants. Il peut également lui proposer de lui envoyer un e-mail contenant un lien permettant d’effectuer une mise à jour, mais l’e-mail en question sera évidemment malveillant (il peut par exemple conduire la victime à installer un malware lorsqu’elle clique sur le lien).
Comment se protéger du vishing ?
Comprendre les ressorts utilisés par les hackers
Les hackers s’appuient sur des techniques dites d’ingénierie sociale pour mener leurs attaques de vishing. Le ton et les arguments employés visent à susciter la confiance chez la victime, pour l’inciter à donner les informations demandées.
Les hackers ont également tendance à jouer sur le sentiment d’urgence. Il est important d’avoir connaissance de ces techniques de manipulation pour ensuite pouvoir les reconnaître.
Des protections techniques
Certaines solutions permettent aujourd’hui de créer une barrière technique face au vishing. C’est le cas par exemple des solutions qui utilisent la biométrie vocale.
Les opérateurs téléphoniques ont également pris en compte le problème du vishing et ont mis en place des dispositifs pour alerter les utilisateurs face à certains appels. Ainsi, en cas d’appel frauduleux, l’utilisateur voit une mention s’afficher sur son téléphone pour lui indiquer qu’il peut s’agir d’un appel malveillant.
Cependant, ce genre de protections techniques ne peuvent pas identifier l’ensemble des tentatives de vishing.
Les bons réflexes face au vishing
Voici quelques bons conseils à appliquer pour se protéger des tentatives de vishing.
- Ne jamais fournir d’informations sensibles par téléphone (informations relatives à son compte bancaire ou à sa carte bancaire en particulier). Les organismes publics ne les demandent d’ailleurs jamais par téléphone. En fournissant des informations de ce type, vous ouvrez la porte à d’autres types d’attaques.
- Ne pas cliquer sur les liens contenus dans les e-mails ou les SMS douteux, car il peut s’agir de tentatives de phishing ou de smishing couplées à du vishing.
- Prendre du recul si le ton employé devient menaçant ou vise à créer un sentiment d’urgence.
- Ne pas répondre aux appels émis par des numéros inconnus. Mieux vaut attendre que les interlocuteurs laissent des messages vocaux pour les consulter ensuite à tête reposée.
- Vérifier les informations transmises par l’interlocuteur avant d’agir (son entreprise, son identité, etc.).
- Ne pas diffuser son numéro de téléphone (professionnel comme personnel) lorsque cela n’est pas nécessaire.
- Ne pas répondre aux messages sur les réseaux sociaux demandant de fournir son numéro de téléphone.
Sensibiliser au vishing et entraîner les utilisateurs
Enfin, puisque le vishing exploite des failles humaines, la meilleure des protections face au vishing (et au phishing en général) reste l’entraînement. C’est pour cela que certaines entreprises mettent en place des programmes de sensibilisation de leurs collaborateurs aux menaces cyber et au phishing en particulier.
Grâce à ce genre de programmes, les utilisateurs peuvent tester leurs réflexes en conditions réelles et élever le niveau de protection de leur organisation face aux menaces cyber.