Votre IP :Aucune donnée

·

Statut : Aucune donnée

Continuer vers le site principal


Le vishing, c’est quoi ? Définition et mesures de protection

Les arnaques téléphoniques sont devenues de plus en plus sophistiquées, de sorte qu’il est désormais difficile de savoir si un appel que vous recevez est authentique. En quoi consiste le vishing et comment s’en prémunir ? Découvrez nos conseils pour identifier les techniques de vishing et éviter d’en être la cible.

27 déc. 2024

13 min. de lecture

Qu’est-ce que le vishing et comment l’empêcher ?

Qu’est-ce que le vishing ?

Le vishing, abréviation de voice phishing, est une technique d’ingénierie sociale dérivée du phishing (ou hameçonnage). Aussi appelée hameçonnage vocal, cette technique utilise les appels téléphoniques ainsi que les applications VoIP (telles que Skype ou WhatsApp) pour manipuler la victime et lui soutirer des informations personnelles.

Les attaques de vishing peuvent cibler aussi bien des particuliers que des entreprises. Une fois vos précieuses informations récoltées, les criminels peuvent s’en servir pour usurper votre identité, commettre des fraudes financières ou accéder à vos comptes sans autorisation.

Le vishing peut également être associé à d’autres formes d’hameçonnage, telles que des sites web frauduleux, pour rendre l’attaque plus crédible et amener la cible à dévoiler des données sensibles.

Différence entre le vishing et le phishing

Le vishing n’est autre qu’une variante du phishing qui se produit par téléphone. Le phishing ou hameçonnage désigne toute forme d’attaque où un escroc se fait passer pour un tiers de confiance dans le but d’obtenir de l’argent ou des données personnelles.

Alors qu’une attaque de phishing peut utiliser différents canaux, tels que des SMS, des e-mails ou encore de faux sites web, le vishing consiste à escroquer les personnes uniquement par le biais d’appels téléphoniques ou de plateformes VoIP (appels via Internet). Le vishing prend parfois le relais du phishing, par exemple via un numéro gratuit affiché sur une publicité en ligne ou un site web malveillant.

Parmi d’autres techniques de phishing, on compte le spear phishing, le whaling, le smishing ou encore l’angler phishing.

Différence entre le vishing et le smishing

La différence entre le vishing et le smishing réside dans le canal utilisé : tandis que le vishing utilise les appels téléphoniques pour soutirer des informations à la victime, le smishing est une forme de phishing menée par SMS. Les messages contiennent généralement un lien malveillant et utilisent divers prétextes pour inciter le destinataire à cliquer dessus : confirmation d’une livraison (dans le cas d’une arnaque à la livraison de colis), activité suspecte sur votre compte bancaire, lot remporté à un jeu-concours… Ils peuvent également vous fournir un numéro de téléphone à rappeler d’urgence : naturellement, c’est un escroc qui vous attendra à l’autre bout du fil.

Le vishing et le smishing utilisent globalement les mêmes stratagèmes, induisant généralement un sentiment d’urgence chez la victime pour fausser son jugement et l’inciter à agir rapidement.

Comment fonctionne le vishing ?

Le vishing joue principalement sur les émotions des victimes, comme la peur ou l’appât du gain, ou encore en créant un sentiment d’urgence pour vous pousser à communiquer vos données sans réfléchir. Ces techniques consistent à vous faire divulguer vos informations en vous faisant croire que c’est dans votre intérêt, comme pour réclamer un prix ou résoudre un problème informatique. Par exemple, un fraudeur imite un conseiller bancaire et prétexte un incident de sécurité sur votre compte. En réalité, vous fournirez votre mot de passe ou vos coordonnées bancaires directement aux hackers.

Généralement, l’attaquant se renseigne au préalable afin de collecter des informations sur sa cible, qui seront utilisées pour créer un scénario convaincant lors de l’appel. Cela lui permet d’établir une relation de confiance, afin de maximiser ses chances d’obtenir des informations sensibles.

Les escrocs imitent une entité en laquelle vous avez confiance, comme votre banque, le service client d’une entreprise, ou même l’un de vos proches. Il peut s'agir d'un véritable être humain, d’une voix de synthèse générée par l’intelligence artificielle, ou vous pouvez recevoir un message vocal vous demandant de rappeler un numéro.

Les techniques de vishing les plus courantes

Les criminels usent de différentes techniques pour mener à bien leurs attaques de vishing : en voici quelques-unes à connaître.

  • ID spoofing : les escrocs utilisent couramment cette technique pour usurper le numéro de téléphone d’une entreprise de confiance, afin de faire croire que l'appel provient d'une source fiable.
  • Wardialing : cette technique utilise un logiciel qui scanne et compose automatiquement des centaines de numéros de téléphone. En automatisant leurs appels, les cybercriminels maximisent l’efficacité de leurs attaques.
  • Appels VoIP (voice over internet protocol) : les fraudeurs appellent leurs victimes via des applications utilisant Internet, comme WhatsApp ou Skype, de sorte qu’ils ne montrent aucun identifiant d’appelant pouvant trahir un emplacement géographique.
  • Fouille de poubelles : certains escrocs vont jusqu’à fouiller les poubelles de leur cible en quête de documents révélant des informations personnelles, comme leur nom, leur numéro de téléphone, leurs données de carte bancaire, etc. Cela leur permet de légitimer leurs appels, en partageant à la victime des informations réelles à son sujet.

Avec l'essor de l’IA et de la technologie deepfake, le vishing est devenu encore plus perfectionné. Les escrocs peuvent désormais imiter la voix d'une personne que vous connaissez, comme votre patron ou un membre de votre famille, voire générer des vidéos réalistes mettant en scène vos collègues et amis qui vous demandent de l’aide.

9 exemples d’attaques de vishing

Les escroqueries par vishing peuvent se présenter sous différentes formes et employer différents prétextes. Voici les exemples de scénarios les plus courants en matière de phishing vocal.

Fraude au conseiller bancaire

Dans le cas d’une fraude au conseiller bancaire, ou fraude à la carte de crédit, les attaquants peuvent se faire passer pour des représentants de votre banque et prétendre avoir détecté une activité suspecte sur votre compte. Ils vous demandent alors de confirmer les détails de votre carte bancaire ou vos informations de connexion, en vue de vérifier votre identité et de protéger votre compte. Si vous communiquez ces informations, les hackers pourront s'en servir pour commettre une fraude.

En outre, certains fraudeurs peuvent vous demander de leur communiquer le code de double authentification reçu sur votre téléphone pour “confirmer votre identité”. Ne faites surtout pas cette erreur : cela leur donnerait l’autorisation d'accéder à votre compte et de mener leurs transactions frauduleuses.

Faux conseiller en assurance

Les escrocs peuvent se faire passer pour des compagnies d'assurance et vous proposer des offres très alléchantes portant sur des contrats d'assurance habitation, automobile, de mutuelle ou de retraite, par exemple. Ils peuvent même se faire passer pour votre assureur actuel qui vous appelle pour étendre votre couverture. Ils vous demanderont immédiatement vos données personnelles ou vos informations de paiement pour conclure l’accord.

Fausse entité gouvernementale

Dans ce scénario, les escrocs se font passer pour des représentants d'une autorité gouvernementale, telle que la Direction générale des finances publiques, l'Assurance maladie, voire la police. Ils peuvent prétexter que vous devez de l'argent à l'institution, ou encore que vous avez commis une infraction et que vous devez régulariser votre situation immédiatement. En jouant sur la peur, ils vous incitent à révéler rapidement des informations sensibles, comme votre numéro de sécurité sociale ou vos informations de carte de crédit.

Faux support technique

Dans la fraude au support technique, les escrocs vous diront qu'ils ont été informés que votre appareil doit être mis à jour ou qu'ils ont trouvé des vulnérabilités de sécurité qui doivent être corrigées immédiatement. Pour résoudre ces problèmes, ils vous demanderont un accès à distance. Si vous acceptez, les hackers prendront le contrôle de votre appareil et pourront dérober vos données ou installer des logiciels malveillants.

Les vishers peuvent également essayer de retourner l'attaque en vous incitant à les appeler. Pour ce faire, ils créent des publicités malveillantes imitant les alertes de votre antivirus. Ces pop-ups vous informent d'une faille dans le système et vous demandent d'appeler un numéro spécifique pour y remédier. Lorsque vous appelez les escrocs, ils tentent de vous soutirer davantage d'informations et de vous faire payer leur service.

Arnaque par télémarketing

Les escrocs du télémarketing prétendent appeler au nom d'une entreprise légitime dont vous êtes déjà client ou d'une entreprise proposant des offres commerciales exceptionnelles. Par exemple, on peut vous proposer des vacances gratuites ou un voyage tous frais payés. Néanmoins, en retour, la personne au bout du fil vous demandera de communiquer vos informations personnelles ou encore de payer des frais de dossier.

Arnaque relationnelle

Les escroqueries relationnelles ciblent souvent les personnes âgées. Le scénario typique est un appel de votre enfant ou de votre petit-enfant, qui aurait des problèmes et aurait besoin de votre aide. Il peut essayer de vous convaincre qu'il a eu un accident et qu'il est à l'hôpital, en prison ou coincé à l'étranger. Le seul moyen pour lui de rentrer est que vous lui transfériez une certaine somme d'argent. Ces techniques s'appuient souvent sur le clonage de la voix, voire la manipulation de l'image de votre proche par le biais de l'intelligence artificielle, pour rendre l'attaque encore plus convaincante.

En outre, le vishing peut se produire dans le cadre d’arnaques aux rencontres en ligne, où l’escroc prétend être quelqu'un que vous avez rencontré sur une application ou un site de rencontres. Ils finissent par demander de l'argent ou des informations personnelles après avoir établi une relation de confiance et une connexion émotionnelle.

Offres d’emploi frauduleuses

Dans les fraudes à l'offre d'emploi, les escrocs se font passer pour des employeurs proposant des postes attrayants. Les victimes sont invitées à fournir des informations personnelles, telles que leur numéro de sécurité sociale ou leurs coordonnées bancaires, pour finaliser leur contrat. Parfois, ils peuvent même demander un paiement initial pour une formation ou du matériel, bien entendu fictif. D’autres escroqueries similaires peuvent vous proposer une opportunité d’investissement exceptionnelle ou un prêt à des conditions très avantageuses. Quel que soit le prétexte utilisé, méfiez-vous toujours des offres trop belles pour être vraies.

Arnaque au prestataire de services

Dans le cadre d'une arnaque au prestataire de services, les escrocs prétendent représenter un prestataire tel que votre fournisseur d'accès à Internet ou votre opérateur téléphonique. Ils peuvent prétendre qu'un problème concernant votre compte doit être résolu d'urgence. Les victimes sont poussées à fournir leurs identifiants de connexion ou à confirmer leurs informations de paiement afin de résoudre le problème.

Arnaque au jeu-concours

Cette escroquerie consiste à vous appeler pour vous annoncer que vous avez remporté un lot à l’occasion d’une loterie ou d’un jeu-concours. Le fraudeur vous réclame alors des informations personnelles ou le paiement de frais de dossier pour valider les gains. Une fois le paiement effectué ou les informations communiquées, l'escroc disparaît et le cadeau n’arrive jamais.

Comment reconnaître une attaque de vishing ?

Reconnaître les attaques par hameçonnage peut vous aider à protéger vos informations personnelles et à éviter de tomber dans le piège des escrocs. Voici quelques signes auxquels vous devez prêter attention :

  • Identifiant d'appelant inconnu. Les arnaqueurs usurpent souvent l'identité de l'appelant pour faire croire qu'ils appellent d'une source fiable. Soyez donc toujours prudent si le numéro ne vous semble pas familier.
  • Demandes urgentes. Les vishers créent souvent un sentiment d'urgence, en vous disant que vous devez agir rapidement pour éviter des problèmes ou pour protéger votre compte. Cette pression peut vous amener à partager des informations sans réfléchir. Prenez toujours le temps de réfléchir avant d'agir.
  • Appels non sollicités. Si vous recevez un appel d'une personne que vous n'attendiez pas, soyez prudent. Si vous pensez que l'appel que vous avez reçu est une tentative d'hameçonnage, trouvez le numéro de l'institution qui vous a appelé et contactez-la directement. Par exemple, si l'appelant prétend provenir de votre banque, recherchez le numéro de votre banque en ligne et vérifiez les informations qui vous ont été communiquées.
  • Demandes d'informations personnelles. Si vous recevez un appel d'une personne vous demandant des informations personnelles, cela doit vous alerter. Les entreprises légitimes ou votre banque ne vous demanderont jamais d'informations sensibles, comme votre numéro de carte bancaire ou votre mot de passe, par téléphone.
  • Messages d'accueil génériques. Les escrocs utilisent souvent des formules de politesse génériques au lieu de votre nom. Cela peut être un signe qu'il ne s'agit pas de vrais représentants de l'organisation. Toutefois, certains escrocs peuvent déjà connaître votre nom ; restez donc toujours prudent, quelle que soit la façon dont ils s'adressent à vous.
  • Offres trop belles pour être vraies. Si votre interlocuteur vous fait une offre qui semble trop belle pour être vraie, c'est probablement le cas. Les vacances gratuites sont rares, tout comme les gains à une loterie à laquelle vous n 'avez jamais participé. Ce ne sont que des astuces pour obtenir vos informations personnelles ou de l'argent.

Que faire si vous avez été victime de vishing ?

Si vous vous rendez compte que vous avez été victime d'une attaque de vishing, essayez de rester calme et prenez ces mesures pour vous protéger.

  • Si vous êtes toujours en ligne, raccrochez immédiatement.
  • Signalez la fraude au 17cyber ou à Pharos, les plateformes mises en place par le gouvernement pour lutter contre la cybermalveillance.
  • Si vous avez communiqué vos informations bancaires, contactez rapidement votre banque pour signaler l’incident et faire opposition.
  • Changez immédiatement tous vos mots de passe : cela minimisera les risques que les pirates accèdent à vos comptes en ligne. Pensez à utiliser des mots de passe complexes et uniques pour chaque compte.
  • Surveillez de près vos relevés bancaires pour détecter les transactions non autorisées et signalez immédiatement toute activité suspecte.

Comment éviter les attaques de vishing ?

Comme pour tout type d’arnaque, la prévention contre le vishing requiert du bon sens, de la prudence et de s'informer sur les menaces existantes.

  • Ne répondez pas aux appels inconnus. Soyez prudent avec les appels provenant de numéros inconnus : à moins que vous n’attendiez une livraison ou l’appel d’un service en particulier, ne décrochez pas. Bloquez les appels indésirables depuis les paramètres de votre mobile pour réduire les risques d’être pris pour cible par des appels de vishing. N'oubliez pas que s'il s'agit d'une urgence ou si quelqu'un a un message important à vous transmettre, il trouvera d'autres moyens de vous contacter.
  • Inscrivez votre numéro sur liste rouge. Ces listes de blocage permettent d’empêcher au moins une partie des appels de démarchage et des arnaques téléphoniques. 
  • Limitez les informations que vous partagez sur les réseaux sociaux. Vos profils sur les réseaux sociaux peuvent fournir de nombreuses informations précieuses que les escrocs peuvent utiliser pour rendre leurs histoires plus convaincantes. Faites donc attention à ce que vous publiez en ligne. Ajustez vos paramètres de confidentialité afin que seuls vos amis puissent voir vos publications.
  • Ne communiquez pas de données personnelles par téléphone, à l'exemple de votre numéro de sécurité sociale, de vos coordonnées bancaires ou vos mots de passe. Rappelez-vous que si l'entreprise a vraiment besoin de ces informations, elle communiquera avec vous par des moyens sécurisés, comme via un portail en ligne officiel.
  • Protégez vos comptes. Optez pour des mots de passe forts et activez l’authentification multi-facteurs dès que possible. Ainsi, une deuxième forme de vérification (comme un code envoyé par SMS) sera nécessaire pour vous connecter. Cela rend plus difficile pour les escrocs d’accéder à vos comptes, même s’ils mettent la main sur votre mot de passe.
  • Retirez vos informations personnelles du Web. Si votre numéro de téléphone est divulgué sur des sites douteux, vous serez plus facilement exposé au phishing par téléphone. Des services comme Incogni permettent de retirer vos données personnelles du marché et contribuent à vous protéger contre de telles attaques.

La sécurité en ligne commence par un simple clic.

Restez en sécurité avec le chef de file mondial en matière de VPN

Également disponible en: Svenska, 日本語, Italiano, ‪한국어‬, Português Brasileiro, Español, Dansk, Polski, English.


author delphine 1 png

Delphine Lacour

Curieuse à propos des nouvelles technologies, Delphine Lacour s'intéresse aux usages des internautes au quotidien et aux problématiques de cybersécurité. Elle s'attache à partager un maximum de contenu pertinent pour partager cet intérêt avec le plus grand nombre.