Vishing : définition - Comment identifier l’hameçonnage par téléphone et se protéger contre les escrocs

Le terme « vishing » est composé des deux mots « voice » (fr. « voix ») et « phishing » (fr. « hameçonnage ») d’où son appellation fréquente de « voice phishing ». Dans le vishing, les pirates exploitent la téléphonie IP pour passer une multitude d’appels frauduleux gratuits ou à faible coût et ainsi voler les données, les mots de passe ou les coordonnées bancaires de victimes peu méfiantes.

Nous vous expliquons les stratégies de ces escrocs et vous montrons comment vous protéger contre les appels VoIP frauduleux.

Comment fonctionne le vishing ?

Les pirates pratiquant le vishing se livrent à une manipulation à la fois technique et émotionnelle afin d’essayer d'obtenir des données sensibles de leurs victimes. D’un point de vue technique, le vishing consiste à utiliser la technologie VoIP (Voice over IP) afin de masquer son identité et son numéro d’appel. L’imposteur feint alors d’appeler depuis un numéro de téléphone qui ne lui appartient pas ou qui n’est pas relié à son adresse IP. Le Voice Phishing attire de nombreux escrocs, car les coûts des appels VoIP sont très bas. Il suffit à l’escroc de disposer d’une connexion internet active pour passer plusieurs milliers d’appels et collecter ainsi une multitude de données en cas de succès.

Dans le vishing, une composante émotionnelle s’ajoute à la composante technique : l’escroc imagine une histoire apparaissant comme plausible à la victime et lui imposant d'agir immédiatement et de transmettre des données sensibles. Dans un tel cas, on parle également d’ingénierie sociale, c’est-à-dire le fait d’exercer une influence ciblée sur une personne afin d’obtenir des informations confidentielles. En recourant à des astuces psychologiques, ces imposteurs exploitent le comportement humain de façon ciblée pour pousser leurs victimes à divulguer des informations sensibles. Bien qu’il existe de nombreuses méthodes de vishing toutes aussi sournoises les unes que les autres, toutes les attaques d’hameçonnage par téléphone reposent sur un modèle commun :

  1. Au téléphone, l’imposteur vous annonce un problème dont vous entendez parler pour la première fois.
  2. Pour le résoudre, l’imposteur vous demande des données personnelles comme des données d’accès ou des données de compte et de carte de crédit.
  3. L’escroc souligne l’urgence de la situation et souhaite provoquer une réponse immédiate et rapide de votre part.

L’hameçonnage par téléphone en pratique : à quoi ressemble une attaque ?

Dans la pratique, les escrocs utilisent toujours les mêmes histoires pour obtenir les données de leurs victimes. Nous présentons un aperçu des combines les plus courantes afin de vous permettre de distinguer les appels frauduleux des appels légitimes.

Le pirate se fait passer pour un employé de l’assistance d’une entreprise informatique

Une méthode appréciée par les imposteurs pratiquant l’hameçonnage par téléphone consiste à se faire passer pour un employé de l’assistance d’une grande société informatique. Dans ce cas, l’imposteur allègue un problème supposé avec le logiciel et prétend vouloir vous aider dans sa résolution. Pour ce faire, vous devez télécharger un programme qui permettra à l’imposteur de disposer d’un accès à distance total à votre ordinateur. Après l’installation de ce programme, le hacker peut installer des programmes malveillants et voler vos données personnelles.

L’escroc prétend que vous avez gagné à un jeu-concours

Autre exemple de vishing : votre interlocuteur vous annonce que vous avez gagné un prix dans un jeu-concours. Pour l’obtenir, vous devez toutefois vous acquitter des frais de port. Il vous est donc demandé d’indiquer vos coordonnées bancaires. Par ailleurs, il vous est demandé de transmettre une déclaration de consentement pour le prélèvement électronique. Les criminels ponctionnent alors régulièrement de l’argent sous prétexte que vous auriez souscrit un abonnement ou vendent ces données à d’autres escrocs.

L’imposteur se présente comme un employé de votre banque

L’hameçonnage par téléphone vise très souvent votre compte bancaire ou de carte de crédit. C’est pourquoi de nombreux criminels se font passer pour des employés de banque. Dans ce scénario, le vol des données s’opère généralement sans aucun contact direct avec la victime : l’imposteur laisse un message sur le répondeur ou dans la boîte mail afin de vous informer que votre compte bancaire est en danger à cause d’un piratage ou d’une erreur technique.

Lorsque vous rappelez le numéro, vous entendez une annonce enregistrée qui vous demande vos données d’accès à votre compte en ligne ou vos données de carte de crédit. Avec ce message, le hacker espère vous faire paniquer car, en définitive, ce sont nos données bancaires qui sont à coup sûr les plus sensibles.

Se prémunir contre le vishing : comment vous protéger contre l’hameçonnage par téléphone ?

Pour identifier un vishing et s’en prémunir efficacement, il est nécessaire de faire preuve de vigilance et d’une saine méfiance vis-à-vis des autorités. Nous vous conseillons de suivre les instructions suivantes lorsque vous recevez des appels d’employés supposés d’une entreprise :

Conseil 1 : vérifiez toujours que le numéro appelant est bien un numéro officiel de la société que votre interlocuteur est censé représenter. Toutefois, même si vous trouvez le numéro sur le site internet de l’entreprise, cela ne signifie pas nécessairement que l’appel est légitime. La simulation d’un numéro de téléphone fait partie intégrante du vishing. Vérifier le numéro ne vous donne qu’une première indication qui vous permettra de vous prémunir contre les attaques mal préparées.

Conseil 2 : au moindre doute, mettez un terme à la conversation et contactez personnellement le service client de l’entreprise. Demandez-leur si le numéro est connu et si ce genre de procédure est habituel. Pour ce faire, utilisez uniquement le numéro de téléphone indiqué sur le site internet de l’entreprise. N’appelez jamais un numéro trouvé dans un e-mail supposé provenir de l’entreprise. Les e-mails de ce type peuvent faire partie des attaques d’hameçonnage (par téléphone).

Conseil 3 : ne donnez jamais vos données de connexion ou bancaires par téléphone. Aucune entreprise sérieuse ne vous demandera les données d’accès à votre compte par téléphone. Lorsqu’un interlocuteur vous demande de fournir des données de compte ou des données à caractère personnel, refusez et signalez votre conversation à l’entreprise concernée.

Conseil 4 : si vous pensez avoir été victime d’hameçonnage par téléphone, signalez l’incident à la police et déposez plainte ! D’autre part, vous devriez également signaler l’incident à l’entreprise utilisée par l’imposteur. Si l’incident concerne des données de compte, contactez votre banque et demandez un blocage temporaire de votre compte. Il est souvent possible de bloquer les données d’accès aux comptes en ligne sur le site internet. Si vous utilisez le même mot de passe pour différents comptes (ce qui n’est en aucun cas recommandé), vous devez impérativement modifier le mot de passe pour tous vos comptes.

Vishing, phishing et smishing

La définition du vishing, formulée au début de cet article, permet de distinguer le vishing des autres méthodes de vol de données numériques.

Alors que, dans le cas d’un hameçonnage par téléphone, la porte d’accès aux données est la téléphonie IP, les escrocs utilisant le phishing ont recours à des e-mails pour « hameçonner » les données personnelles des utilisateurs peu méfiants. Dans ce but, les messages électroniques sont particulièrement bien préparés pour paraître aussi authentiques que possible et sont dotés d’un lien vers un site internet malveillant. Le spear phishing constitue une autre forme d’hameçonnage dans laquelle l’escroc cible des données très spécifiques d’une ou plusieurs victimes. Les pirates pratiquant le spear phishing ne mettent donc pas en place une escroquerie de grande ampleur mais réalisent une attaque ciblée.

Le smishing opère de façon très similaire mais utilise les SMS comme moyen pour voler les données.

Le vishing, le phishing et le smishing se distinguent donc par le type de contact et de communication avec les victimes utilisé par les escrocs. Dans chacune de ces variantes, l’objectif demeure le même : voler des données personnelles telles que des données bancaires, des numéros de carte de crédit ou des données d’accès afin de s’enrichir.