Qu’est-ce que le vishing ?
On parle de vishing, ou phishing vocal, lorsqu’une personne ou une société censée être de confiance passe des appels téléphoniques ou utilise des services de messagerie vocale pour convaincre ses victimes de divulguer des informations personnelles. Lors d’une attaque de vishing, l’escroc se fait passer pour une source fiable afin d’obtenir des informations sensibles, comme un numéro de carte de crédit ou un numéro d’identité nationale.
En général, les escrocs usurpent un numéro local ou le numéro d’une entreprise de confiance pour entrer en contact avec leurs victimes. Parfois, ils ont recours au vishing pour implanter des malwares dans votre appareil, ce qui leur permet de récolter des informations d’une autre manière.
Si vous avez un numéro de téléphone, vous êtes une cible potentielle. Aussi bien des particuliers que des entreprises ont été victimes d’arnaques par vishing. Et comme les escrocs s’appuient sur des tactiques d’ingénierie sociale sophistiquées, personne n’est à l’abri.
Comparaison vishing/phishing
Le phishing est une arnaque par laquelle l’escroc se fait passer pour une source légitime et manipule les victimes pour les inciter à divulguer des informations personnelles. Le vishing est l’une des innombrables formes d’arnaques par phishing. Ce type d’attaque est mené par téléphone ou par le biais de messages vocaux.
Mais il existe bien d’autres types de phishing. En voici quelques exemples. On parle de spear phishing quand un escroc cible une personne ou une entreprise bien précise. Dans le cas du phishing sur les réseaux sociaux, un post humoristique publié sur votre mur Facebook vous demande de répondre à des questions de sécurité courantes. Quant au smishing, il désigne les attaques de phishing par SMS.
Quelle que soit la méthode employée, toutes les attaques de phishing poursuivent le même but : obtenir des informations personnelles afin de dérober de l’argent, commettre un vol d’identité ou tirer parti des informations sensibles des victimes.
Exemples courants d’attaques de vishing
Il existe de nombreux exemples d’attaques de vishing et les techniques mises en œuvre sont légion. En fait, il ne se passe pas un seul jour sans qu’une nouvelle fraude apparaisse ! Le « wardialing », le vishing VoIP, l’usurpation d’identité de l’appelant et la « fouille de poubelles » sont quelques techniques de vishing courantes. Les escroqueries du régime d’assurance-maladie et celles liées aux impôts sont d’autres arnaques de vishing couramment utilisées.
Voici quelques exemples d’attaques de vishing :
Wardialing
Le wardialing (que l’on pourrait traduire par « numérotation de guerre ») désigne l’utilisation d’un logiciel qui analyse automatiquement des listes de numéros de téléphone et compose rapidement des dizaines de numéros. Ce logiciel est souvent utilisé pour trouver des numéros de téléphone associés à des appareils de téléphonie, c’est-à-dire des appareils qui ne sont pas des téléphones, mais qui sont capables de passer des appels téléphoniques sur Internet.
Utilisée seule, cette technique n’est pas dangereuse et constitue davantage une nuisance pour la personne qui décroche (généralement, le logiciel est programmé pour raccrocher). Cependant, les pirates utilisent également le wardialing à des fins malveillantes, à savoir : trouver des victimes disposant d’un compte VoIP (Voice over Internet Protocol) pour commettre une tentative de fraude. Le wardialing est également utilisé dans le cadre des arnaques par appels automatisés, une technique qui a recours à des messages pré-enregistrés plutôt qu’à des escrocs en chair et en os.
VoIP
Dans le cas présent, ce sont les numéros connectés par VoIP qui sont ciblés plutôt que les lignes fixes. D’un point de vue fonctionnel, les services VoIP sont semblables aux numéros de téléphones fixes ou cellulaires. La seule différence, c’est qu’ils fonctionnent uniquement sur Internet. Les numéros de téléphone VoIP sont moins dépendants d’un emplacement physique spécifique. Tant qu’il existe une connexion Internet, un même numéro peut passer des appels dans le monde entier.
Si la technologie VoIP présente d’indéniables avantages, l’anonymat et l’absence d’ancrage géographique des numéros VoIP constituent une aubaine pour les escrocs potentiels. Les hameçonneurs peuvent télécharger et configurer leurs logiciels, préparer un script et appeler tout leur soûl en ne déboursant pas un centime. En fait, le seul coût est celui de leur connexion Internet. De plus, il y a de fortes chances que leur identité réelle reste à jamais un mystère.
Usurpation d’identité de l’appelant
L’usurpation d’identité de l’appelant est une autre technique très prisée par les hameçonneurs. Souvent utilisée dans le cadre des services VoIP, l’usurpation d’identité de l’appelant (à ne pas confondre avec l’usurpation d’adresse IP) fait croire à la victime que l’appelant est quelqu’un d’autre. Dans le cas du vishing, les escrocs usurpent l’identité d’une source locale ou officielle pour inciter la victime à décrocher. Grâce à la technologie moderne, il est facile pour les escrocs de recourir à l’usurpation d’identité de l’appelant.
Fouille de poubelles
Comme son nom l’indiquer, la fouille de poubelles (ou « Dumpster diving » en anglais) est une pratique qui consiste à fouiller les poubelles d’une personne dans l’espoir d’y trouver un trésor. Pour les escrocs, ce trésor prend la forme d’une liste d’informations personnelles renseignées sur des documents que les particuliers ou les entreprises jettent sans réfléchir. Il peut s’agir de numéros de téléphone, de noms, d’adresses ou encore de données de carte de crédit. Autant d’informations qui aideront les escrocs à s’attirer la confiance de leurs victimes.
Fraude à la carte de crédit
Les fraudes à la carte de crédit sont parmi les exemples de vishing les plus courants. L’escroc se fait passer pour un représentant de la société émettrice de votre carte de crédit et vous informe que les informations de votre carte ont été compromises. Il vous demande vos identifiants pour l’aider à « résoudre » le soi-disant problème. Une fois qu’il a obtenu les informations souhaitées, il s’empresse de mettre fin à l’appel et la malheureuse victime découvre que sa carte de crédit a atteint le plafond autorisé.
Escroqueries du régime d’assurance-maladie et de la sécurité sociale
Ce type d’escroquerie implique l’usurpation d’identité d’un représentant officiel attaché à l’une de ces agences gouvernementales. Bien souvent, l’escroc signalera un problème avec votre compte ou vous proposera une nouvelle carte d’avantages sociaux. Dans les deux cas, il vous invitera à fournir des informations personnelles qui ne devraient pas être divulguées librement. Ces types de fraude ciblent généralement les personnes plus âgées qui se méfient moins des appels téléphoniques, et qui ne sont pas nécessairement au courant des nouvelles technologies et des arnaques.
Arnaques aux impôts ou à l’IRS
Ce type d’arnaque, où les escrocs se font passer pour des agents du fisc, est devenue monnaie courante au cours des dernières années. Les escrocs peuvent évoquer un problème avec votre déclaration de revenus ou vous annoncer que vous devez encore vous acquitter d’autres taxes. Ils vous invitent alors à vérifier votre identité en leur communiquant des informations privées. Si vous refusez, ils vous menacent d’annuler vos avantages sociaux, voire de vous mettre en prison.
Comment les criminels commettent-ils des escroqueries par vishing
Pour commettre leurs méfaits, les criminels combinent des astuces techniques, comme l’usurpation d’identité de l’appelant et les appels téléphoniques sur Internet, à des techniques d’ingénierie sociale. Grâce aux informations personnelles qu’ils ont recueillies, les escrocs peuvent mieux manipuler leurs victimes afin de les prendre au piège.
L’ingénierie sociale exploite la tendance de l’être humain à faire confiance à certaines institutions ou formes de comportement pour inciter les victimes à faire quelque chose. L’escroc se fait passer pour une personne de confiance, comme un représentant du gouvernement ou d’une banque. Les escrocs de support technique se font passer pour des experts techniques afin de gagner la confiance de leurs victimes et de faire en sorte qu’elles installent des malwares ou leur donnent accès à leur appareil. Quel que soit leur objectif ultime, les escrocs ont généralement recours à l’ingénierie sociale pour obtenir les informations souhaitées.
Créer un sentiment d’urgence est une autre tactique dont les fraudeurs sont particulièrement friands. Lorsqu’ils usurpent l’identité d’une personne de confiance, les escrocs insistent souvent sur la gravité et le caractère urgent du supposé problème pour inciter les victimes à agir rapidement. Compte tenu de la situation, les victimes sont moins susceptibles d’interroger leur interlocuteur ou de vérifier la véracité de ses dires, et ont donc plus de chances de se faire attraper.
Comment se protéger des escroqueries par vishing
Pour éviter les escroqueries par vishing, ne répondez pas aux appels provenant de numéros inconnus et ne communiquez jamais d’informations privées par téléphone. Si vous pensez que l’appelant est un escroc, raccrochez. Pour éviter de tomber dans le piège tendu par les escrocs, mémorisez ces quelques astuces et apprenez à repérer les tentatives de vishing et de phishing.
Le succès de ce type d’escroquerie repose sur l’erreur humaine et une bonne prévention passe par la prise de conscience de nos propres vulnérabilités. Étudiez les quelques exemples de vishing ci-dessus pour savoir à quel moment vous devez être sur vos gardes.
Le mot d’ordre est de ne jamais communiquer ni confirmer des informations privées par téléphone. Il est extrêmement rare qu’une société vous appelle pour obtenir ce genre d’informations. De même, n’appelez pas un numéro de téléphone qui vous a été communiqué pour valider des informations. Utilisez plutôt Google ou une autre source de confiance pour trouver les informations dont vous avez besoin.
Si l’appel vous semble suspect, demandez à votre interlocuteur de vous fournir des informations plus précises, de vous donner le motif de l’appel ou de vous dire comment il a obtenu votre numéro. Même si cela peut vous paraître impoli, n’hésitez pas à raccrocher si vous pensez qu’il s’agit d’une tentative d’escroquerie.
Il se peut que les escrocs possèdent déjà des informations privées sur vous, mais ne les confirmez jamais par téléphone.
Vous pouvez aussi enregistrer votre numéro auprès du Do Not Call registry (aux États-Unis) ou du Telephone Preference Service (au Royaume-Uni) pour bloquer les appels commerciaux non sollicités. Sachez toutefois que ces services sont loin d’être parfaits. Après tout, il est peu probable que les escrocs respectent votre souhait de ne pas recevoir ce type d’appel.
Si vous ne recevez pas souvent d’appels provenant de numéros non identifiés, vous pouvez simplement éviter de répondre aux numéros inconnus qui essaient de vous contacter. Si un hameçonneur vous laisse un message en prétendant appeler pour le compte d’un organisme connu, contactez directement cet organisme plutôt que de rappeler le numéro.
Nombre de ces stratégies de prévention sont efficaces contre les arnaques de tout type, aussi bien en ligne que hors ligne. Cependant, pour mieux vous protéger et sécuriser vos informations personnelles, l’utilisation d’un logiciel antivirus et d’autres outils peut faire une grande différence pour renforcer votre sécurité en ligne.
Protégez-vous contre les escroqueries par vishing avec AVG BreachGuard
Les escrocs ne reculeront devant rien, pas même fouiller vos poubelles, pour mettre la main sur vos données personnelles. Malheureusement, il peut s’avérer difficile d’assurer la protection de vos données personnelles étant donné les nombreux services et comptes en ligne qui y ont accès.
AVG BreachGuard vous simplifie la tâche en recherchant sur le dark Web la moindre trace de violation de données impliquant vos informations privées. Le Gestionnaire de risques intégré de BreachGuard travaille 24 heures sur 24, 7 jours sur 7, ce qui permet à BreachGuard de vous alerter dès qu’une violation de données est détectée.
AVG BreachGuard vous permet également de garder le contrôle de vos données personnelles en demandant automatiquement aux courtiers en données de supprimer vos informations de leurs bases de données. Cela empêche les tiers (y compris les escrocs) d’obtenir votre adresse, votre numéro de téléphone et d’autres informations privées.
AVG BreachGuard contribue à protéger vos informations et s’assure que vous êtes conscient des données personnelles que vous partagez avec les grandes organisations. Installez AVG BreachGuard aujourd’hui, et commencez à vous protéger contre les tentatives de vishing et les escrocs de tous bords avant qu’il ne soit trop tard.