Vishing : dé­fi­ni­tion - Comment iden­ti­fier l’ha­me­çon­nage par téléphone et se protéger contre les escrocs

Le terme « vishing » est composé des deux mots « voice » (fr. « voix ») et « phishing » (fr. « ha­me­çon­nage ») d’où son ap­pel­la­tion fréquente de « voice phishing ». Dans le vishing, les pirates ex­ploi­tent la té­lé­pho­nie IP pour passer une multitude d’appels frau­du­leux gratuits ou à faible coût et ainsi voler les données, les mots de passe ou les coor­don­nées bancaires de victimes peu méfiantes.

Nous vous ex­pli­quons les stra­té­gies de ces escrocs et vous montrons comment vous protéger contre les appels VoIP frau­du­leux.

Les pirates pra­ti­quant le vishing se livrent à une ma­ni­pu­la­tion à la fois technique et émo­tion­nelle afin d’essayer d'obtenir des données sensibles de leurs victimes. D’un point de vue technique, le vishing consiste à utiliser la tech­no­lo­gie VoIP (Voice over IP) afin de masquer son identité et son numéro d’appel. L’imposteur feint alors d’appeler depuis un numéro de téléphone qui ne lui ap­par­tient pas ou qui n’est pas relié à son adresse IP. Le Voice Phishing attire de nombreux escrocs, car les coûts des appels VoIP sont très bas. Il suffit à l’escroc de disposer d’une connexion internet active pour passer plusieurs milliers d’appels et collecter ainsi une multitude de données en cas de succès.

Dans le vishing, une com­po­sante émo­tion­nelle s’ajoute à la com­po­sante technique : l’escroc imagine une histoire ap­pa­rais­sant comme plausible à la victime et lui imposant d'agir im­mé­dia­te­ment et de trans­mettre des données sensibles. Dans un tel cas, on parle également d’in­gé­nie­rie sociale, c’est-à-dire le fait d’exercer une influence ciblée sur une personne afin d’obtenir des in­for­ma­tions con­fi­den­tielles. En recourant à des astuces psy­cho­lo­giques, ces im­pos­teurs ex­ploi­tent le com­por­te­ment humain de façon ciblée pour pousser leurs victimes à divulguer des in­for­ma­tions sensibles. Bien qu’il existe de nom­breuses méthodes de vishing toutes aussi sour­noises les unes que les autres, toutes les attaques d’ha­me­çon­nage par téléphone reposent sur un modèle commun :

1. Au téléphone, l’imposteur vous annonce un problème dont vous entendez parler pour la première fois.
2. Pour le résoudre, l’imposteur vous demande des données per­son­nelles comme des données d’accès ou des données de compte et de carte de crédit.
3. L’escroc souligne l’urgence de la situation et souhaite provoquer une réponse immédiate et rapide de votre part.

Dans la pratique, les escrocs utilisent toujours les mêmes histoires pour obtenir les données de leurs victimes. Nous pré­sen­tons un aperçu des combines les plus courantes afin de vous permettre de dis­tin­guer les appels frau­du­leux des appels légitimes.

Une méthode appréciée par les im­pos­teurs pra­ti­quant l’ha­me­çon­nage par téléphone consiste à se faire passer pour un employé de l’as­sis­tance d’une grande société in­for­ma­tique. Dans ce cas, l’imposteur allègue un problème supposé avec le logiciel et prétend vouloir vous aider dans sa ré­so­lu­tion. Pour ce faire, vous devez té­lé­char­ger un programme qui permettra à l’imposteur de disposer d’un accès à distance total à votre or­di­na­teur. Après l’ins­tal­la­tion de ce programme, le hacker peut installer des pro­grammes mal­veil­lants et voler vos données per­son­nelles.

Autre exemple de vishing : votre in­ter­lo­cu­teur vous annonce que vous avez gagné un prix dans un jeu-concours. Pour l’obtenir, vous devez toutefois vous acquitter des frais de port. Il vous est donc demandé d’indiquer vos coor­don­nées bancaires. Par ailleurs, il vous est demandé de trans­mettre une dé­cla­ra­tion de con­sen­te­ment pour le pré­lè­ve­ment élec­tro­nique. Les criminels ponc­tion­nent alors ré­gu­liè­re­ment de l’argent sous prétexte que vous auriez souscrit un abon­ne­ment ou vendent ces données à d’autres escrocs.

L’ha­me­çon­nage par téléphone vise très souvent votre compte bancaire ou de carte de crédit. C’est pourquoi de nombreux criminels se font passer pour des employés de banque. Dans ce scénario, le vol des données s’opère gé­né­ra­le­ment sans aucun contact direct avec la victime : l’imposteur laisse un message sur le répondeur ou dans la boîte mail afin de vous informer que votre compte bancaire est en danger à cause d’un piratage ou d’une erreur technique.

Lorsque vous rappelez le numéro, vous entendez une annonce en­re­gis­trée qui vous demande vos données d’accès à votre compte en ligne ou vos données de carte de crédit. Avec ce message, le hacker espère vous faire paniquer car, en dé­fi­ni­tive, ce sont nos données bancaires qui sont à coup sûr les plus sensibles.

Pour iden­ti­fier un vishing et s’en prémunir ef­fi­ca­ce­ment, il est né­ces­saire de faire preuve de vigilance et d’une saine méfiance vis-à-vis des autorités. Nous vous con­seil­lons de suivre les ins­truc­tions suivantes lorsque vous recevez des appels d’employés supposés d’une en­tre­prise :

Conseil 1 : vérifiez toujours que le numéro appelant est bien un numéro officiel de la société que votre in­ter­lo­cu­teur est censé re­pré­sen­ter. Toutefois, même si vous trouvez le numéro sur le site internet de l’en­tre­prise, cela ne signifie pas né­ces­sai­re­ment que l’appel est légitime. La si­mu­la­tion d’un numéro de téléphone fait partie in­té­grante du vishing. Vérifier le numéro ne vous donne qu’une première in­di­ca­tion qui vous permettra de vous prémunir contre les attaques mal préparées.

Conseil 2 : au moindre doute, mettez un terme à la con­ver­sa­tion et contactez per­son­nel­le­ment le service client de l’en­tre­prise. Demandez-leur si le numéro est connu et si ce genre de procédure est habituel. Pour ce faire, utilisez uni­que­ment le numéro de téléphone indiqué sur le site internet de l’en­tre­prise. N’appelez jamais un numéro trouvé dans un e-mail supposé provenir de l’en­tre­prise. Les e-mails de ce type peuvent faire partie des attaques d’ha­me­çon­nage (par téléphone).

Conseil 3 : ne donnez jamais vos données de connexion ou bancaires par téléphone. Aucune en­tre­prise sérieuse ne vous demandera les données d’accès à votre compte par téléphone. Lorsqu’un in­ter­lo­cu­teur vous demande de fournir des données de compte ou des données à caractère personnel, refusez et signalez votre con­ver­sa­tion à l’en­tre­prise concernée.

Conseil 4 : si vous pensez avoir été victime d’ha­me­çon­nage par téléphone, signalez l’incident à la police et déposez plainte ! D’autre part, vous devriez également signaler l’incident à l’en­tre­prise utilisée par l’imposteur. Si l’incident concerne des données de compte, contactez votre banque et demandez un blocage tem­po­raire de votre compte. Il est souvent possible de bloquer les données d’accès aux comptes en ligne sur le site internet. Si vous utilisez le même mot de passe pour dif­fé­rents comptes (ce qui n’est en aucun cas re­com­mandé), vous devez im­pé­ra­ti­ve­ment modifier le mot de passe pour tous vos comptes.

La dé­fi­ni­tion du vishing, formulée au début de cet article, permet de dis­tin­guer le vishing des autres méthodes de vol de données nu­mé­riques.

Alors que, dans le cas d’un ha­me­çon­nage par téléphone, la porte d’accès aux données est la té­lé­pho­nie IP, les escrocs utilisant le phishing ont recours à des e-mails pour « ha­me­çon­ner » les données per­son­nelles des uti­li­sa­teurs peu méfiants. Dans ce but, les messages élec­tro­niques sont par­ti­cu­liè­re­ment bien préparés pour paraître aussi au­then­tiques que possible et sont dotés d’un lien vers un site internet mal­veil­lant. Le spear phishing constitue une autre forme d’ha­me­çon­nage dans laquelle l’escroc cible des données très spé­ci­fiques d’une ou plusieurs victimes. Les pirates pra­ti­quant le spear phishing ne mettent donc pas en place une es­cro­que­rie de grande ampleur mais réalisent une attaque ciblée.

Le smishing opère de façon très similaire mais utilise les SMS comme moyen pour voler les données.

Le vishing, le phishing et le smishing se dis­tin­guent donc par le type de contact et de com­mu­ni­ca­tion avec les victimes utilisé par les escrocs. Dans chacune de ces variantes, l’objectif demeure le même : voler des données per­son­nelles telles que des données bancaires, des numéros de carte de crédit ou des données d’accès afin de s’enrichir.