Le vishing, qui est l’abréviation de « voice phishing », est un type d’attaque d’ingénierie sociale qui utilise des appels téléphoniques ou une communication vocale pour inciter quelqu’un à donner des informations sensibles, telles que les coordonnées bancaires, les identifiants de connexion ou les informations d’identification personnelle (PII). Alors que les emails de phishing sont plus fréquemment reconnus, les attaques de vishing sont en augmentation, souvent volant sous le radar. Contrairement à d’autres cyberattaques qui ciblent les canaux numériques, le vishing manipule la confiance humaine grâce à une interaction vocale directe, ce qui en fait un outil puissant pour les escrocs.
Les attaques de vishing reposent sur une combinaison de techniques de manipulation pour rendre leurs schémas convaincants. Voici quelques-unes des tactiques les plus utilisées :
L’attaquant créera une histoire ou un « prétexte » fabriqué pour justifier l’appel. Ils peuvent prétendre provenir de la banque de la victime et leur dire qu’il y a une activité suspecte sur leur compte. Ils essaieront de créer un sentiment d’urgence dans leur prétexte afin que la victime réponde sans réfléchir et abandonne ses informations sensibles.
Les attaquants manipulent les informations d’identification de l’appelant pour donner l’impression que l’appel provient d’une source légitime. Cela permet de réduire les défenses de la cible et de la rendre plus susceptible de faire confiance à l’appelant.
L’une des techniques les plus efficaces en matière de vishing est de créer un sentiment d’urgence. Les attaquants peuvent prétendre qu’une action immédiate est nécessaire pour prévenir la fraude ou la perte financière, en poussant la victime à agir avant d’avoir le temps de réfléchir de manière critique ou de vérifier l’identité de l’appelant.
Les attaquants se font généralement passer pour un employé du service client de sociétés technologiques connues, affirmant que l’ordinateur de la victime est compromis. Ils convainquent les victimes d’accorder un accès à distance ou de payer des réparations contrefaites, ce qui entraîne souvent un vol de données ou une perte financière.
Dans ces escroqueries, les fraudeurs se font passer pour des représentants bancaires, revendiquant une activité suspecte sur le compte de la victime. L’attaquant demande des informations sensibles, telles que des mots de passe ou des PIN, sous couvert de sécurisation du compte, ce qui entraîne un accès non autorisé aux données financières.
Les escroqueries de livraison impliquent des attaquants prétendant provenir d’un service de livraison, affirmant qu’il y a un problème avec un colis. Il est demandé à la victime de fournir des informations personnelles ou de paiement pour résoudre le problème, que les escrocs exploitent ensuite pour la fraude.
Risques pour les individus
Si vous recevez un appel inattendu vous demandant des informations personnelles, comme des numéros de compte ou des mots de passe, il s’agit d’un signal d’alarme. Les organisations légitimes ne demandent généralement pas de données sensibles par téléphone sans vérification préalable.
Les escrocs par vishing créent souvent un sentiment d’urgence, affirmant qu’une action immédiate est nécessaire pour éviter quelque chose de négatif, comme la suspension de votre compte ou la perte de fonds. Méfiez-vous de tout appelant qui vous pousse à prendre des décisions rapides sans vérification.
Méfiez-vous des appels qui vous demandent de confirmer des informations personnelles, telles que votre numéro de sécurité sociale ou vos identifiants de connexion, en particulier si vous ne vous attendiez pas à l’appel. Les organisations légitimes autorisent généralement des processus de vérification alternatifs.
Si vous recevez un appel non sollicité demandant des informations personnelles, vérifiez toujours l’identité de l’appelant en contactant directement l’organisation via ses canaux officiels. Ne vous fiez pas uniquement à l’identifiant de l’appelant, car il peut être usurpé.
Évitez de partager des informations personnelles, telles que des numéros de compte, des mots de passe ou des codes PIN, par téléphone. Les organisations légitimes ne demanderont jamais ces informations lors d’un appel non sollicité.
Les entreprises doivent organiser une formation régulière sur la cybersécurité pour leurs employés afin d’apprendre à reconnaître les tentatives de vishing et à établir un protocole pour signaler les appels suspects.
Envisagez d’utiliser des applications ou des services de blocage des appels qui filtrent les appels indésirables. Les entreprises peuvent utiliser des outils d’authentification vocale pour vérifier l’identité des appelants, en particulier lorsque des informations sensibles sont impliquées.