Qu’est-ce que le vishing ?
Le vishing est une forme d’attaque qui tente d’inciter les victimes à donner des informations personnelles sensibles par téléphone. Bien que cela ressemble à une escroquerie démodée, les attaques de vishing comportent des éléments de haute technologie : elles font appel à une technologie de simulation vocale automatisée, par exemple, ou l’escroc peut utiliser des informations personnelles sur la victime récoltées lors de cyberattaques précédentes pour la mettre à l’aise.
Quelle que soit la technologie utilisée, la configuration de l’attaque suit un script d’ingénierie sociale familier : Un attaquant crée un scénario pour exploiter les émotions humaines, généralement la cupidité ou la peur, et convainc la victime de divulguer des informations sensibles, comme des numéros de carte de crédit ou des mots de passe. En ce sens, les techniques de vishing reflètent les escroqueries par phishing qui existent depuis les années 1990. Mais les appels de vishing exploitent le fait que nous sommes plus susceptibles de faire confiance à une voix humaine – et peuvent cibler les personnes âgées et technophobes qui sont naïves et n’ont aucune expérience de ces types d’escroqueries.
Statistiques de vishing
Ces chiffres notables offrent une idée de l’état du vishing et de la raison pour laquelle il peut être une activité lucrative pour les attaquants.
- Les attaques de vishing sont en hausse depuis quelques années. En 2018, les appels frauduleux représentaient près de 30 % de tous les appels mobiles entrants.
- Il ne faut donc pas s’étonner que ce terme bizarre commence à être plus largement reconnu. Le rapport 2020 State of the Phish de Proofpoint a révélé que 25 % des travailleurs participant à leur enquête mondiale pouvaient définir correctement le terme.
- 75 % des victimes d’escroquerie rapportent que les vishers disposaient déjà de certaines informations personnelles à leur sujet, qu’ils ont utilisées pour les cibler et obtenir encore plus d’informations.
- Parmi les personnes qui signalent à la FTC des escroqueries de vishing par imposteur gouvernemental, seuls 6 % avaient effectivement perdu de l’argent – mais ceux qui en ont perdu beaucoup, la perte médiane étant de 960 $.
Vishing vs. phishing vs. smishing : quelle est la différence ?
Le phishing est la grand-mère de toutes ces attaques, et CSO a une explication complète avec tous les détails, mais en substance, il s’agit d’envoyer des messages électroniques ciblés pour tromper les destinataires. « Phish » se prononce comme il s’écrit, c’est-à-dire comme le mot « poisson » – l’analogie est celle d’un pêcheur à la ligne qui jette un hameçon appâté (le courriel de phishing) et espère que vous mordez. Le terme est apparu au milieu des années 90 parmi les pirates informatiques qui voulaient inciter les utilisateurs d’AOL à donner leurs informations de connexion. Le « ph » s’inscrit dans une tradition d’orthographe fantaisiste des hackers, et a probablement été influencé par le terme « phreaking », abréviation de « phone phreaking », une première forme de piratage qui consistait à jouer des tonalités sonores dans des combinés téléphoniques pour obtenir des appels gratuits.
L’hameçonnage est, essentiellement, un hameçonnage par appels téléphoniques. Tout comme le phishing est considéré comme un sous-ensemble du spam, le vishing est une excroissance du spam VoIP, également connu sous le nom de spam par téléphonie, ou SPIT. Le terme « vishing » lui-même existe depuis la fin des années 2000.
Le « smishing » est un type d’attaque similaire qui utilise des messages texte au lieu d’e-mails ou d’appels vocaux ; le mot est un portmanteau de « SMS » et « phishing ». Pour en savoir plus sur le smishing, consultez notre explicatif sur le sujet.
Techniques de vishing
Presque toutes les attaques de vishing ont quelques points en commun. Les appels téléphoniques sont initialement passés via des services de voix sur IP (VoIP), ce qui facilite l’automatisation d’une partie ou de la totalité du processus par les vishers et rend plus difficile le repérage par les victimes ou les forces de l’ordre. Et l’objectif ultime des attaquants est de profiter de vous d’une manière ou d’une autre – soit en récoltant des informations sur vos comptes bancaires ou d’autres données personnelles qu’ils peuvent utiliser pour accéder à vos comptes bancaires, soit en vous incitant à les payer directement.
Mais dans l’univers des escroqueries par hameçonnage vocal, il existe un large éventail de techniques et de stratégies. Elles vont de l’attaque largement automatisée » shotgun » ciblant de nombreuses victimes potentielles dans l’espoir d’obtenir quelques morsures à des escroqueries ciblées au laser qui visent une cible spécifique de grande valeur.
Peut-être que la forme la plus répandue de vishing commence par ce qu’on appelle le » wardialing « , c’est-à-dire des centaines ou des milliers d’appels automatisés à des centaines ou des milliers de numéros. La victime potentielle (ou sa boîte vocale) reçoit un enregistrement destiné à l’effrayer ou à l’inciter à téléphoner elle-même aux escrocs. Souvent, les escrocs prétendent être de l’IRS ou d’une autre agence gouvernementale, ou encore d’une banque ou d’une coopérative de crédit. Le wardialing se concentre sur un code régional spécifique et utilise le nom d’une institution locale dans l’espoir de trouver des clients réels.
Une variante de cette technique consiste à utiliser des fenêtres popup sur votre ordinateur, souvent plantées par des logiciels malveillants, pour simuler un avertissement de votre système d’exploitation concernant un problème technique. On dit à la victime qu’elle doit appeler « Microsoft Support » ou quelque chose de similaire et on lui donne un numéro de téléphone. Elle est alors en ligne avec le vishers, qui peut finir par utiliser une combinaison de réponses vocales réelles et automatisées au cours de votre conversation – encore une fois, l’objectif ici est d’obtenir le plus de retour possible avec peu d’efforts.
Spear vishing
Dans ce genre d’attaques au fusil, les vishers ne savent généralement presque rien de vous et devront bluffer pour vous faire croire qu’ils sont ceux qu’ils prétendent être ; de ce fait, ils peuvent être relativement facilement repérés. Cependant, les vishers qui s’adressent spécifiquement à vous sont beaucoup plus troublants. Cette technique est connue sous le nom de « spear vishing » ; comme le spear phishing, elle exige que les attaquants disposent déjà de certaines données sur leur cible. Par exemple, un spear visher peut déjà connaître votre adresse personnelle et votre banque avant de vous appeler, ce qui lui permet de vous inciter plus facilement à lui communiquer votre code PIN.
Mais comment en savent-ils déjà autant sur vous ? « Une grande partie de ces données provient du dark web, qui a souvent pour origine des violations de données », explique Paige Schaffer, PDG des services mondiaux d’identité et de cyberprotection de Generali Global Assistance (GGA). Ainsi, lorsque vous lisez des articles sur les violations de données importantes, sachez qu’elles peuvent faciliter grandement le vishing. Il peut sembler étrange qu’un attaquant qui possède déjà vos informations personnelles soit désireux d’en obtenir davantage, mais comme le souligne M. Schaffer, « plus un escroc dispose d’informations, plus il peut faire de dégâts ». Pourquoi se contenter des quatre derniers chiffres du SSN alors qu’ils peuvent potentiellement vous faire donner les cinq autres ? Un SSN complet leur permet d’ouvrir des cartes de crédit, des prêts et bien d’autres choses encore. »
Si tout cela vous semble beaucoup plus laborieux que de wardiquer quelqu’un et de lui dire que vous êtes du fisc, vous avez raison. Mais la plupart des gens – surtout les cibles de grande valeur, qui sont souvent plus éduquées et cybernétiques – verront clair dans ces arnaques plus simples. Si la récompense est suffisamment importante, cela peut valoir la peine de prendre le temps de construire une identité convaincante pour arracher des informations à la victime. « Un pirate peut avoir patiemment travaillé à l’acquisition d’informations auprès de la victime par le biais d’e-mails de phishing ou de logiciels malveillants », explique M. Schaffer. Lorsque les harponneurs s’en prennent à de plus gros « poissons » (pour ainsi dire), comme des PDG, nous appelons cela de la « chasse à la baleine ». Et comme les techniques de simulation de la voix s’améliorent, les baleiniers ont encore plus d’outils dans leur arsenal, avec la capacité d’imiter des personnes spécifiques pour essayer de tromper leurs victimes.
Exemples d’hameçonnage
Jusqu’à présent, nous sommes restés assez vagues sur les escroqueries spécifiques que les vishers feront pour obtenir votre argent ou vos informations personnelles. HashedOut les répartit en quatre grandes catégories :
Fraude par télémarketing. Ce type d’escroquerie est honnêtement antérieur à l’ère du vishing mais a adopté nombre de ses techniques. Le visher vous appelle à froid sans vraiment savoir qui vous êtes et vous fait une offre trop belle pour être vraie : vous avez gagné à une loterie à laquelle vous n’avez jamais participé, on vous offre des vacances gratuites au Marriott, vous pouvez réduire les intérêts de votre carte de crédit, etc. En général, il y a un coût initial pour obtenir votre argent « gratuit », et bien sûr, l’appât qu’on vous a promis n’arrive jamais.
Immitations du gouvernement. Une escroquerie courante consiste à insinuer qu’un problème bloque les prestations que la victime devrait recevoir, comme les paiements de Medicare ou de la sécurité sociale ; proposer de » régler » le problème ouvre la porte à l’amadouement de la victime pour qu’elle donne des informations personnelles, comme son numéro de sécurité sociale ou de compte bancaire. Une version plus agressive de ces pratiques est le fait de faux « enquêteurs » de l’IRS, qui prétendent souvent que les victimes doivent des arriérés d’impôts et les menacent d’amendes ou de prison. Cette vidéo montre un officier de police interagissant avec l’un de ces escrocs.
Il n’est pas rare que ces types d’escrocs demandent à être payés par la victime en achetant des cartes-cadeaux Amazon et en lui lisant les numéros au dos, puisque les achats par carte ne peuvent pas être tracés. C’est un bon indice que vous n’avez pas affaire à une agence gouvernementale !
Fraude au support technique. Nous en avons parlé un peu plus haut – les escrocs peuvent profiter des naïfs en matière de technologie et de leurs craintes d’être piratés, en utilisant des publicités popup ou des logiciels malveillants se faisant passer pour un avertissement du système d’exploitation pour inciter les victimes à appeler les vishers. Kapersky met en garde contre une variante de cette escroquerie qui est essentiellement un type de rançongiciel : le logiciel malveillant verrouille un PC mais fournit un numéro de « support technique », où un gentil « technicien » – qui fait en réalité partie du gang qui a installé le logiciel malveillant en premier lieu – réparera votre ordinateur, moyennant un prix, vous laissant croire qu’il vous a réellement aidé.
Attaques de vishing sur des comptes bancaires. Obtenir l’accès à vos informations bancaires est, bien sûr, le saint graal d’un visher. Et si un attaquant a déjà accès à certaines de vos données personnelles à partir d’une autre source, comme nous l’avons vu précédemment, il peut facilement imiter le genre d’appels légitimes que l’on s’attend à recevoir de son institution financière, d’une manière qui peut tromper même les plus avertis d’entre nous. Le fondateur de Panic Inc., Caleb Sasser, a raconté à Krebs on Security l’histoire poignante d’une attaque par hameçonnage vocal presque réussie. L’attaquant a réussi à usurper son numéro de téléphone pour qu’il corresponde à celui de Wells Fargo, la banque de M. Sasser, et a prétendu faire le suivi de certains frais potentiellement frauduleux. Comme la » banque » proposait d’envoyer une nouvelle carte ATM, Sasser est presque allé jusqu’à entrer un nouveau code PIN dans son téléphone avant de se rétracter à la dernière minute ; s’il l’avait fait, les vishers auraient pu cloner sa carte et l’utiliser librement.
Ces types d’escrocs sont les plus susceptibles de partir à la chasse à la baleine, à la recherche de cibles de très grande valeur pour les aider à s’enrichir rapidement. Une variante est devenue connue sous le nom de « l’arnaque du vendredi après-midi », dans laquelle les vishers appellent une société d’investissement ou une autre cible riche à la toute fin de la semaine de travail, comptant sur le fait que la personne qui répond au téléphone est fatiguée et distraite et qu’elle baisse sa garde.
Comment prévenir le vishing
Si vous cherchez à identifier et à éviter le vishing, espérons que le matériel que nous avons couvert jusqu’à présent vous aidera à savoir ce qu’il faut rechercher. La FTC propose un bon résumé des points clés que tout le monde devrait connaître :
- Se méfier d’un appel prétendant provenir d’une agence gouvernementale demandant de l’argent ou des informations. Les agences gouvernementales ne vous appellent jamais à l’improviste pour vous demander – ou vous offrir – de l’argent. En cas de doute, raccrochez, cherchez indépendamment le vrai numéro de l’agence et appelez-la pour savoir si elle essaie de vous joindre.
- Ne payez jamais rien avec une carte cadeau ou un virement bancaire. C’est un signe fort d’escroquerie.
- Ne vous fiez pas à l’identification de l’appelant. Il est très facile à falsifier.
Kapersky a une autre bonne règle de base : une chose que chaque escroquerie par hameçonnage vocal a en commun est une tentative de créer un faux sentiment d’urgence, vous faisant croire que vous êtes en difficulté ou sur le point de manquer une opportunité et que vous devez agir maintenant. Cela ne fait jamais de mal de prendre un moment pour faire une pause, de noter des informations sur l’appelant sans offrir les vôtres, puis de rappeler après avoir fait des recherches.
Si vous voulez prendre des mesures proactives pour protéger votre organisation, vous pourriez inclure le vishing dans le cadre d’une formation de sensibilisation à la sécurité. Plusieurs fournisseurs proposent des plateformes de vishing simulé qui peuvent vous aider à découvrir les vulnérabilités dans l’attitude du personnel et à démontrer la nature de la menace à vos employés.
.