Qu'est-ce que le Vishing ?

La plupart des gens ont entendu parler du phishing.

Le vishing (pour voice phishing, ou phishing par la voix) est une attaque différente qui relève du phishing et qui a les mêmes objectifs. Les cybercriminels utilisent des numéros de téléphone frauduleux, des logiciels de modification de la voix, des messages texte et des techniques d'ingénierie sociale pour inciter les utilisateurs à divulguer des informations sensibles.

Le vishing utilise généralement la voix pour tromper les utilisateurs. Le smishing, une autre forme de phishing qui utilise des SMS pour obtenir des informations personnelles, est souvent utilisé en tandem avec des appels vocaux en fonction des méthodes de l'attaquant).

Le phishing et le vishing ont le même objectif : obtenir des utilisateurs des données sensibles qui pourraient être utilisées dans le cadre d'une usurpation d'identité, d'un gain monétaire ou d'une prise de contrôle de compte.

La principale différence entre le phishing et le vishing réside dans le support utilisé pour cibler les victimes potentielles.

Alors que le phishing est principalement une attaque par email, le vishing utilise la voix, généralement des appels vers le numéro de téléphone portable d'un utilisateur.

Les vishers et les phishers envoient des messages aux victimes potentielles, généralement en grand nombre. Les auteurs de phishing envoient un grand nombre de messages électroniques à une liste de cibles potentielles. Si l'attaquant vise une organisation spécifique, il peut utiliser uniquement une liste d'adresses électroniques d'utilisateurs à haut niveau de privilège de l'entreprise ciblée.

Les criminels utilisent généralement des emails convaincants pour inciter les utilisateurs à répondre en fournissant des informations sensibles ou pour convaincre l'utilisateur de cliquer sur un lien où est hébergé un malware. Des pièces jointes malveillantes sont également utilisées dans certaines attaques de phishing.

Le fraudeur peut d'abord envoyer un SMS à des victimes potentielles en grand nombre à partir d'une longue liste de numéros de téléphone. Le message peut demander aux utilisateurs de passer un appel téléphonique au numéro de l'attaquant. Une autre méthode de vishing consiste à créer un message automatisé et à appeler les victimes potentielles par téléphone.

L’attaquant utilise des messages vocaux générés par ordinateur pour supprimer les accents et instaurer la confiance. Le message vocal incite ensuite l'utilisateur à se connecter à un agent humain qui poursuit l'arnaque, ou bien il peut demander aux utilisateurs d'ouvrir un site Web contrôlé par l'attaquant.

Bien qu'il existe des différences mineures entre le vishing et le phishing, l'objectif final est toujours le même : obtenir des informations d'identification, des données personnelles identifiables et des informations financières.

Les utilisateurs qui connaissent le phishing ne connaissent pas forcément le vishing, ce qui augmente les chances de succès des attaquants.

Le smishing est une attaque de phishing très proche qui utilise également des numéros de téléphone.

Mais au lieu de la messagerie vocale, le smishing utilise des messages texte pour tromper les utilisateurs. Ces messages peuvent contenir un numéro de téléphone à appeler par l'utilisateur ciblé ou un lien vers un site Web contrôlé par l'attaquant et hébergeant un logiciel malveillant ou une page de phishing.

Le smishing repose principalement sur la confiance des utilisateurs dans les SMS. Ces messages promettent généralement de l'argent, des réductions ou menacent d'annuler des comptes si l'utilisateur ne s'authentifie pas et ne réinitialise pas ses informations d'identification. Les messages textuels étant plus informels, les victimes peuvent leur faire davantage confiance qu'à un email suspect.

Il y a beaucoup de chevauchement entre le smishing et le vishing. Une attaque par phishing vocal peut également commencer par un message texte et contenir un numéro de téléphone demandant aux utilisateurs d'appeler, mais les attaques par phishing vocal peuvent également utiliser des messages automatisés et des appels robotisés.

Le smishing peut également inclure un numéro de téléphone dans un message texte, mais de nombreuses attaques visent principalement à inciter les utilisateurs à cliquer sur des liens et à ouvrir une page Web malveillante.

Il est plus difficile d'identifier une attaque par vishing qu'une attaque par phishing ou smishing. Les attaques par vishing commencent par un message texte et contiennent généralement un numéro de téléphone.

L'image suivante est un exemple d'attaque par vishing :

Les escrocs utilisent des tactiques d'intimidation pour convaincre les utilisateurs de passer un appel téléphonique.

Dans ce message, l'attaquant prétend être de l'IRS, le fisc américain. La plupart des utilisateurs craignent les pénalités et les frais imposés par l'IRS, de sorte que tout utilisateur qui appelle ce numéro de téléphone se verra dire qu'il doit de l'argent.

L'attaquant convainc l'utilisateur ciblé de débiter sa carte de crédit ou de transférer de l'argent directement depuis son compte. Les arnaques de l'IRS sont l'une des attaques les plus courantes visant les utilisateurs aux États-Unis. En France, les attaques visent les impôts de la même façon.

L'image suivante est un autre exemple d'attaque par vishing commençant par un message texte :

Dans l'image ci-dessus, les mêmes menaces et tactiques d'intimidation sont utilisées pour convaincre les utilisateurs d'appeler.

Si l'utilisateur ciblé répond par STOP, les messages se poursuivent.

En répondant à l'attaquant, l'utilisateur cible vérifie que le numéro de téléphone est valide et continuera à être une cible.

Remarquez dans les deux images que le numéro indiqué dans l'identification de l'appelant est un numéro de contact court et invalide à 6 chiffres. Ces numéros sont utilisés par les télécoms pour envoyer des messages aux utilisateurs, mais c'est aussi une indication que le message a été envoyé depuis une API de numérotation automatique ou un compte de messagerie. Si un message provient de l'un de ces numéros, il faut toujours se méfier : il pourrait s'agir d'une arnaque de type smishing ou vishing.

Les messages comportant un numéro non valide dans l'identification de l'appelant ne sont pas tous malveillants. Ces numéros sont également utilisés dans les demandes d'authentification multifactorielle lorsque l'utilisateur reçoit un code PIN pour terminer le processus d'authentification.

Les auteurs d'attaques d'ingénierie sociale inciteront les utilisateurs à envoyer le code PIN, mais cela implique de contacter l'utilisateur et de l'inciter à divulguer le code. Le vishing, le phishing et le smishing peuvent tous être combinés avec l'ingénierie sociale pour des attaques à plus grande échelle sur des comptes à haut niveau de privilèges.

Parmi les attaquants qui s'en tiennent aux appels téléphoniques, il est de plus en plus courant d'utiliser des programmes informatiques pour masquer les voix et les accents géographiques. Les attaquants peuvent même utiliser une voix de sexe différent pour lancer une attaque. Souvent, ces voix sont générées par ordinateur de manière audible et constituent des tentatives évidentes de vishing.

Mais il faut toujours se méfier des appels téléphoniques demandant des informations privées au cours d'une conversation.

La meilleure façon d'éviter d'être victime de vishing est d'ignorer les messages.

Les opérateurs téléphoniques ont mis en place des systèmes anti-fraude qui affichent “Fraud Risk” (ou quelque chose de similaire) sur l'identification de l'appelant lorsqu'un appel malveillant connu est reçu.

Cependant, vous ne pouvez pas compter sur les opérateurs pour repérer tous les appels malveillants. Les utilisateurs peuvent prendre leurs propres précautions pour éviter de devenir une victime.

L'échange de cartes SIM et l'ingénierie sociale rendent votre numéro vulnérable aux attaquants.

L'échange de cartes SIM consiste à inciter socialement un représentant des télécommunications à donner à un attaquant l'accès à votre numéro de téléphone. Si vous recevez un message étrange concernant un code PIN ou des modifications apportées à votre compte de téléphone portable, contactez toujours votre opérateur pour vous assurer que vous n'avez pas été victime d'un échange ou d'un détournement de carte SIM.

Voici quelques mesures à prendre pour éviter d'être victime d'hameçonnage vocal et d'attaques connexes :

• Soyez conscient de l’existence du vishing. Pour les organisations, l'éducation des utilisateurs les aide à identifier les attaques de vishing, afin qu'ils puissent les ignorer et les signaler. Pour les particuliers, ne donnez jamais d'informations privées à quelqu'un qui vous contacte par SMS ou par appel vocal. Une institution légitime donnera le numéro principal à appeler afin que vous puissiez vérifier qu'il s'agit d'un appel officiel.
• Identifiez les tactiques de pression et d'intimidation. Les escrocs font pression sur les utilisateurs ciblés pour qu'ils envoient de l'argent immédiatement, que ce soit par carte de crédit, virement bancaire ou même carte cadeau. Par exemple, un moyen courant d'inciter les utilisateurs à se laisser prendre au piège de l'escroquerie de l'IRS consiste à les menacer d'une peine de prison si l'argent n'est pas envoyé immédiatement.
• Ignorez les appels provenant de numéros inconnus. Si vous ne reconnaissez pas le numéro, laissez l'appelant sur la messagerie vocale.
• Méfiez-vous de tout appelant qui veut des informations sensibles. Ne donnez jamais d'informations sensibles à un appelant, quel que soit l'endroit où il prétend travailler.