Vishing

Copier l'URL de l'article actuel Partager par e-mail

Cet article (PDF) Documentation complète (PDF)

Le vishing (voice phishing ou voice phishing) est une attaque qui utilise des appels vocaux et des techniques d’ingénierie sociale. Les attaquants utilisent un appel téléphonique pour inciter la victime à donner des informations personnelles ou de paiement ou pour l’amener à transférer de l’argent. En termes simples, il s’agit d’un canular.

•Comment fonctionne le vishing ?

•Reconnaissez-vous l’hameçonnage vocal ?

•Comment se défendre contre le vishing ?

Comment fonctionne le vishing ?

Les attaques de phishing vocal sont généralement menées à l’aide de systèmes vocaux automatisés qui incitent la victime à appeler un numéro contrôlé par l’attaquant. Parfois, les attaques sont menées directement par un appelant en direct. L’attaquant tente ensuite d’extorquer des informations à la victime par la pression psychologique afin de transférer de l’argent, le plus souvent des données personnelles, des données de connexion (pour la banque en ligne) ou des données de paiement (par exemple, numéro de carte de crédit et code CVC/CVV). Tout cela se termine généralement par le transfert d’argent sur le compte du fraudeur.

Grâce à la possibilité d’utiliser l’apprentissage automatique (ML) pour créer des voix synthétiques, les attaques dans lesquelles les fraudeurs utilisent des outils basés sur le ML pour imiter en temps réel la voix d’un haut responsable de l’entreprise et convaincre les employés de transférer de l’argent constituent une menace majeure pour les entreprises.

Reconnaissez-vous l’hameçonnage vocal ?

Les conseils suivants devraient vous aider à vous défendre contre l’hameçonnage vocal :

•Un numéro de téléphone qui apparaît sur l’écran de votre téléphone aura l’air suspect. Par exemple, il peut être court ou contenir un indicatif régional spécial. Malheureusement, les escrocs peuvent utiliser l’usurpation d’identité, où l’attaquant peut usurper n’importe quel numéro.

•Même les utilisateurs les plus avancés et les plus prudents tombent souvent dans le piège de l’usurpation d’identité, en s’appuyant sur la vérification auparavant sécurisée d’un contact par e-mail ou numéro de téléphone.

•Le criminel n’est pas spécifique : il ne connaît pas votre banque, il marmonne un faux nom et un faux titre de poste et donne des informations générales pour obtenir des informations privées de votre part.

•L’appel tente de créer un sentiment d’urgence. L’attaquant suggère que des problèmes peuvent survenir si vous n’agissez pas rapidement.

•Vous pouvez vérifier les numéros suspects dans les bases de données de numéros de téléphone portable accessibles au public ou les saisir dans Google pour découvrir qu’ils appartiennent à des escrocs.

•L’appel vous met dans la peau d’un sauveteur. Lorsque vous donnez des informations à l’attaquant, vous « sauvez » votre collègue, votre patron ou toute l’entreprise.

Comment se défendre contre le vishing ?

La plupart des gens pensent qu’ils peuvent repérer une arnaque par hameçonnage vocal.

Cependant, il est facile de succomber à une demande urgente de données sensibles lorsqu’on est stressé. Habituellement, nous ne nous rendons compte que quelque chose ne va pas lorsqu’il est trop tard.

C’est pourquoi nous vous proposons un guide pour reconnaître le vishing et ne pas tomber dans le piège des appels téléphoniques frauduleux.

Règles de sécurité

Méfiez-vous des appels téléphoniques non sollicités. Vous devez être particulièrement prudent si l’appelant prétend représenter la banque ou l’entreprise pour laquelle vous travaillez ou avec laquelle vous avez récemment été en contact.

Il existe un moyen simple de vérifier si un numéro de téléphone est frauduleux. Regardez dans le journal d’appels de votre téléphone portable et copiez ou transcrivez le numéro dans votre moteur de recherche préféré. Étant donné que chaque numéro est une chaîne unique de chiffres, il peut facilement être trouvé dans les bases de données accessibles au public que les moteurs de recherche sur Internet indexent régulièrement. Si le numéro est frauduleux, vous trouverez les expériences d’autres utilisateurs décrites dans la base de données en ligne. Pour être sûr, vérifiez le numéro dans plusieurs bases de données différentes.

Comment vérifier un numéro de téléphone ?

•Mettez fin à l’appel et dites à l’autre partie que vous rappellerez plus tard.

•Recherchez le numéro de téléphone de l’institution que l’appelant prétend provenir d’une source fiable et appelez-la directement. Informez-les de l’appel frauduleux. Donnez également le numéro de l’agresseur à la police tchèque. Ne rappelez jamais le numéro de l’attaquant. Vous pouvez également bloquer le numéro sur votre téléphone.

Si vous utilisez ESET Mobile Security, utilisez la fonction de filtrage des appels. Le filtre d’appels bloque les appels entrants et sortants en fonction de vos règles définies. Si vous bloquez un appel entrant provenant d’un numéro frauduleux, l’attaquant ne vous joindra plus. Pour bloquer un appel provenant du dernier numéro que vous avez reçu, appuyez sur Bloquer le dernier appelant dans l’application. Si vous êtes sur Android ou iOS, vous pouvez facilement bloquer un numéro directement depuis l’application d’appel par défaut. Allez dans les détails du numéro et sélectionnez Bloquer l’appelant ou Liste noire dans les options.

Comment bloquer un numéro frauduleux sur un téléphone mobile ?

•Les escrocs peuvent obtenir vos informations personnelles de base en ligne (par exemple, sur les réseaux sociaux). Ne présumez pas qu’un appelant est digne de confiance simplement parce qu’il connaît votre nom ou qu’il possède certaines de vos informations personnelles.

•Ne partagez jamais votre mot de passe de banque en ligne, votre numéro de carte de crédit, votre code PIN, votre code CVC/CVV ou toute autre information personnelle sensible avec qui que ce soit. La banque ne vous demandera jamais ces informations.

•Ne transférez jamais d’argent de votre compte bancaire vers un autre compte à la demande d’une personne non vérifiée. La Banque ne vous demandera jamais d’effectuer un tel virement.

•Signalez tout appel suspect de votre banque via une ligne d’assistance officielle.

Votre banque ne vous demandera jamais vos coordonnées bancaires ou d’autres informations sensibles par téléphone ou par e-mail.

˄˅