Si le phishing s’appuie sur les e-mails et les messages textes pour tromper ses victimes, le vishing repose sur les appels téléphoniques. Appelé aussi hameçonnage vocal, le vishing fait de nombreuses victimes en France à travers l’arnaque du faux conseiller bancaire.
Les internautes sont désormais fortement sensibilisés au phishing. Cette attaque consiste à envoyer des messages textes ou des e-mails contenant des liens ou des pièces jointes. Les deux éléments cachent pourtant des logiciels malveillants. Cependant, ils sont moins prudents face aux attaques de vishing.
Cette forme de cyberattaque fait partie de la grande famille du phishing, smishing, quishing ou encore du spearphishing. À la différence des autres, le vishing se sert des appels vocaux pour tromper ses victimes.
L’appelant peut prendre l’identité d’un technicien informatique, d’un employé de la banque ou encore d’un agent de recouvrement du Trésor public. En France, l’arnaque au faux conseiller bancaire est la plus courante.
Le vishing s’appuie sur l’ingénierie sociale pour mettre en confiance la victime. Son objectif reste le même que pour le phishing : obtenir des informations confidentielles. Une fois ces données dans les mains du fraudeur, il peut vider le compte en banque de sa cible, prendre son identité, etc. Au premier semestre 2023, les arnaques aux moyens de paiement utilisant le vishing s’élèvent à 204 millions d’euros d’après la Banque de France.
Qu’est-ce que le vishing ?
Le mot vient de la combinaison entre les termes « voice » et « phishing » qui se traduit par hameçonnage vocal en français. Si le phishing s’appuie sur les e-mails et les messages texte, le vishing s’appuie sur les appels vocaux.
Dans cette forme d’arnaque, le criminel choisit soigneusement sa victime. Il a obtenu des informations sur la personne grâce à l’ingénierie sociale. Il peut également utiliser le phishing pour l’appâter. Si l’internaute se laisse tromper par l’e-mail, il fera confiance à un appel téléphonique de suivi.
En effet, le vishing s’inscrit souvent dans une attaque plus sophistiquée avec le phishing. Une fois que la cible a cliqué sur un lien malveillant, il peut appeler de son propre gré le numéro présent sur le faux site ou recevoir un appel.
Dans les deux cas, le fraudeur passe maintenant à la prochaine étape qui consiste à soutirer des informations confidentielles. Pour cela, il peut susciter l’urgence, la peur ou encore la confiance chez sa victime. Il se sert des informations qu’il a déjà pour renforcer sa crédibilité.
Le vishing ne s’arrête pas au vol de données personnelles. L’escroc dispose maintenant d’assez d’informations pour vider le compte en banque de sa victime, pour réaliser des achats à l’insu du propriétaire, etc. Il peut également usurper l’identité de la victime pour tromper d’autres personnes (collègues, proches, etc.).
Les formes courantes de vishing
Un fraudeur peut directement appeler sa victime dans une attaque de vishing ou utiliser un outil d’appel automatisé. Il annonce d’emblée des informations personnelles comme le nom, l’adresse, le numéro de sécurité sociale. Les services gouvernementaux et les supports d’entreprises ne sont pas les seuls exploités par l’escroc. Ce dernier peut également prendre l’identité d’un collègue pour soutirer des informations d’identification à un compte bancaire en ligne par exemple.
Néanmoins, certains scénarios sont plus récurrents et permettent d’identifier les formes de vishing les plus courantes :
La demande de paiement
L’arnaqueur prétend travailler pour une agence gouvernementale, comme un agent de recouvrement du Trésor par exemple. Ce dernier peut dire que la victime présente des arriérés d’impôts qu’elle doit s’acquitter sous peine d’arrestation ou d’amende. Un message texte peut précéder l’appel pour le rendre encore plus crédible.
Le support technique
Ce type d’appel provient généralement d’un faux conseiller bancaire. Ce dernier prétexte un problème avec un paiement réalisé sur le compte ou identifie des transactions suspectes. Consciente des conséquences d’un tel problème, la victime veut le résoudre au plus vite. Pourtant, l’appelant lui intime de faire des actions comme la modification d’une instruction en cours, de communiquer le code d’accès au compte, etc.
L’escroquerie à l’inscription
Les fraudeurs se font passer pour des représentants d’une organisation gouvernementale ou d’une autre institution. Ils annoncent que les personnes peuvent bénéficier d’une prime ou d’une aide en échange d’une inscription. Cette inscription demande pourtant des informations personnelles et des données financières.
L’arnaque à la promotion et au prix
Cette méthode est sans doute la plus ancienne dans le vishing. L’appelant informe sa victime qu’il est l’heureux gagnant d’une offre promotionnelle à vie ou d’un concours. Pour toucher son gain, il doit communiquer des informations personnelles ou payer une somme.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Une forme d’arnaque qui gagne du terrain en France
En France, la plateforme cybermalveillance.gouv.fr met les internautes en garde contre cette forme d’arnaque. En effet, la technique du « faux conseiller bancaire » est redoutablement efficace en 2023.
Le fraudeur se fait passer pour un faux conseiller bancaire pour extorquer de l’argent à sa victime. L’arnaque prend de l’ampleur et fait plusieurs victimes, notamment dans le Nord.
L’escroc présente des informations personnelles sur la victime pour crédibiliser son appel. Il les a obtenues grâce à l’ingénierie sociale.
De son côté, la Banque de France rapporte que les fraudes aux moyens de paiement s’élèvent à 628 millions d’euros au premier semestre 2023. Pourtant, 16% de ces fraudes utilisent le vishing. Par contre, le chiffre s’élève à 40% si l’on considère la valeur des fraudes. Ainsi, le vishing a rapporté près de 204 millions d’euros aux fraudeurs sur la même période.
D’après cybermalveillance.gouv.fr, cette arnaque a fait au moins 1500 victimes sur le premier semestre 2023. Personnalités comme particuliers ne sont pas épargnés par ce type d’arnaques en France. Les préjudices peuvent aller jusqu’à plusieurs dizaines de milliers d’euros pour chaque victime.
Comment reconnaître une attaque par vishing ?
Certains signes avant-coureurs peuvent alerter l’utilisateur d’une attaque de vishing.
Les arnaqueurs usurpent souvent l’identité d’une autorité de confiance : la banque, la police ou encore l’hôpital. Leur objectif consiste à soutirer des informations personnelles par téléphone. Pourtant, ces institutions n’abordent jamais un sujet aussi sensible par téléphone.
Bien que l’auteur de l’appel semble convaincant, le bruit de fond inhabituel peut le trahir. La voix semble peu naturelle et s’arrête au milieu d’une phrase. Cela signifie que l’escroc utilise un clone de voix.
Le ton employé dans une attaque par hameçonnage est souvent alarmant. Les malfaiteurs suscitent ce sentiment d’urgence chez leur cible pour les inciter à passer à l’action rapidement. Par ailleurs, un employé légitime n’utilise pas un argument persuasif.
Certains attaquants laissent leur numéro de téléphone à la cible pour faire croire à leur crédibilité. L’utilisateur peut en profiter pour comparer avec le contact du service client de l’organisation. Si les deux sont différents, il s’agit sûrement d’une attaque de vishing.
La prudence est de mise face aux appels d’un support technique. C’est le cas notamment s’il demande un accès à distance à un compte ou invite à télécharger un logiciel. Les deux cas annoncent une tentative de vishing.
Enfin, il faut toujours rester en alerte face aux numéros masqués ou inconnus. Les fraudeurs les utilisent souvent pour mener une arnaque par téléphone.
Comment se protéger contre ce type d’arnaque ?
Quelques règles de bons sens permettent déjà d’avorter une tentative de vishing :
- Il est conseillé d’être plus prudent face aux numéros inconnus. Si le fraudeur laisse un message texte incitant à réaliser un appel vocal, la vérification du numéro s’impose. S’il ne correspond pas à celui de l’entreprise légitime, il s’agit sûrement d’une attaque de vishing. Si un numéro inconnu appelle directement, il vaut mieux le diriger vers le répondeur. Cela donne suffisamment de temps pour analyser la fiabilité de l’appel.
- En cas de doute sur l’identité d’un appelant, il faut lui poser des questions : demander son nom et prénom, le nom de son entreprise, sa fonction, etc. S’il se montre hésitant à fournir ces informations, la personne usurpe sûrement l’identité d’un service. Un support client n’hésite pas à se présenter et à répondre aux questions de son interlocuteur.
- Lorsqu’une demande paraît urgente, il est préférable de prendre son temps avant de se plier aux demandes de l’interlocuteur. Ce dernier exploite ce sentiment d’urgence pour inciter la victime à commettre une faute.
- Les fraudeurs obtiennent le numéro d’une cible via les e-mails ou les réseaux sociaux. Si un message demande de communiquer le numéro, il ne faut jamais y répondre. Il faut plutôt avertir l’équipe informatique qui vérifiera l’authenticité du message.
- Plusieurs fonctionnalités permettent de bloquer les appels indésirables sur un téléphone. Elles représentent une couche de protection supplémentaire.