Recherche
Magazine Be A Boss
S'abonner à la newsletter S'abonner au magazine

Piratage : qu'est-ce que le vishing et comment s'en protéger ?

Publié par le - mis à jour à
Piratage : qu'est-ce que le vishing et comment s'en protéger ?

L'escroquerie par « vishing », contraction de « voice » et « phishing », ou hameçonnage par le téléphone, n'en finit pas de croître dans le monde. Bien souvent, les hackers associent même le vishing au phishing, via l'e-mail. Et ces attaques hybrides seraient trois fois plus efficaces. Comment y parer ?

Je m'abonne
  • Imprimer

Lors d'une attaque de vishing, des hackers appellent leur victime par téléphone et se font passer pour les représentants d'une organisation, le plus souvent une entreprise de services financiers ou une administration. Ils utilisent ensuite des techniques de persuasion dites « d'ingénierie sociale », pour pousser leur cible à exécuter diverses opérations, comme communiquer des identifiants ou des informations financières par exemple.

Les attaques de vishing se multiplient depuis peu

En mai 2022, Cisco a été victime d'une attaque de vishing complexe qui a abouti à la publication de données internes sur le dark web. Un « scammer » ou fraudeur est parvenu à tromper un employé de l'entreprise lequel a validé des demandes d'authentification multifacteur (MFA) depuis son appareil. Le cybercriminel a ainsi pu accéder à des informations sensibles et les diffuser à la revente sur le dark web.

Cette attaque récente n'est qu'un exemple parmi d'autres qui touchent les entreprises. Il devient plus difficile pour les employés d'éviter les « micro-distractions » ou de détecter des liens et messages malveillants toujours plus complexes.

D'autant que le recours au télétravail, accéléré par la pandémie, a contribué à brouiller la frontière entre vie personnelle et vie professionnelle. Toutes les conditions sont donc réunies pour déployer des stratégies d'ingénierie sociale malveillantes face à des services informatiques démunis et des utilisateurs finaux encore trop peu informés.

Vers des attaques hybrides

Le vishing est bien une forme d'hameçonnage, c'est-à-dire une tentative de duperie en se faisant passer pour une personne ou une organisation connue. Comme le phishing, il instille un sentiment d'urgence qui pousse les victimes à réaliser une action risquée et permet au criminel de mettre la main sur des informations ou des comptes à des fins malveillantes. Le vishing coûte cher à de nombreuses organisations, à l'instar du phishing, qui a déjà coûté 4,5M$ dans le monde en 2022[1].

Les deux techniques présentent cependant une différence fondamentale : le vecteur d'attaque. Le phishing s'appuie sur l'email, quand le vishing utilise le téléphone. Mais les hackers peuvent avoir recours aux deux pour arriver à leurs fins. Comme lors de la campagne BazaCall, un email de phishing encourage d'abord à appeler un numéro administré par le hackeur. Quand la victime appelle, l'attaque de vishing consiste à lui faire télécharger un logiciel malveillant. Les statistiques suggèrent que ces attaques hybrides seraient 3 fois plus efficaces.

Des modus operandi variés

L'attaque via logiciel VoIP (Voice over Internet Protocol)

Avec la pandémie, l'utilisation de logiciels VoIP pour passer des appels téléphoniques via Internet a explosé. Une aubaine pour les hackers qui créent des numéros de téléphone similaires à des numéros légitimes et considérés comme fiables par les utilisateurs des systèmes de VoIP.

Quand l'utilisateur décroche, le hackeur le convainc par des techniques d'ingénierie sociale très persuasives de lui communiquer ses identifiants, de saisir son identité sur un faux site ou encore de révéler des informations sensibles concernant son entreprise. Les auteurs d'attaques VoIP se font souvent passer pour des représentants d'administrations publiques ou des autorités judiciaires, deux entités qui inspirent confiance et poussent à agir rapidement.

L'arnaque à la banque

Dans ce type d'attaque de vishing, l'auteur de l'appel se fait passer pour le représentant d'une banque, voire même affiche le vrai numéro de service client de la banque (logiciel de spoofing). Il explique à sa victime qu'une opération de compte pose un problème, et que ses identifiants sont nécessaires pour résoudre la situation - et accéde ainsi instantanément au compte pour le vider, ou alors qu'un montant X doit être transféré vers un autre compte - frauduleux.

L'offre « trop belle pour être vraie »

Qu'il s'agisse d'un hacker proposant de rembourser un crédit étudiant ou de recevoir un beau chèque du gouvernement, ces offres non sollicitées ont pour but de pousser leurs destinataires à agir sans réfléchir. Souvent conditionnées au paiement de frais ou à la communication d'informations sensibles, les victimes comprennent après coup les véritables intentions de leur interlocuteur.

3 mesures pour se protéger contre le vishing

Les attaques de vishing seront toujours plus nombreuses et élaborées en 2023. Voici quelques suggestions pour s'en protéger :

1. Formez et sensibilisez vos employés

C'est au tour des entreprises de former leurs employés aux bonnes pratiques de cyber-hygiène et à la détection des indices pouvant trahir une tentative cyber malveillante. Une formation à la sensibilisation des utilisateurs transformera le maillon faible en point fort et limitera le risque d'attaque.

2. Faites preuve de bon sens

Le succès d'une attaque de vishing repose essentiellement sur la naïveté de la victime sur le moment. Il parait fondamental d'encourager chacun-e à faire preuve de prudence y compris lors de simples interactions téléphoniques. La règle est simple : jamais les banques et autres entités légitimes n'appellent directement pour demander des identifiants. Apprenez à vos collaborateurs à ne jamais accorder le contrôle de leur ordinateur à un tiers, et surtout à vérifier en interne la légitimité d'une demande avant de l'honorer.

3. Signalez les numéros suspects

Encouragez les employés à signaler les appels suspects, ce qui vous permettra de les ajouter à la liste des numéros bloqués et d'empêcher les attaques de vishing d'arriver jusqu'à eux.

Pensez à l'étape d'après, si compromission il y a

Si de nombreuses solutions dédiées offrent une protection contre les attaques de vishing, votre organisation dispose également de garde-fous pour se protéger si le compte d'un employé venait à être compromis. Une technologie de type « EDR » de détection et réponses aux menaces, basée sur l'IA, vous protégera des attaques venues « de l'intérieur » qui bien souvent suivent l'usurpation d'un compte.

Pour aller plus loin :

Adrien Gendre, directeur Tech et des produits -co-fondateur de Vade

(1) https://www.ibm.com/fr-fr/reports/data-breach


Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

Chef d'Entreprise Newsletter

Artisans Newsletter

Commerce Newsletter

Event

Event

Event

Les Podcasts de Chef d'Entreprise

Lifestyle Chef d'Entreprise

Artisans Offres Commerciales

Chef d'Entreprise Offres Commerciales

Commerce Offres Commerciales

Good News by Netmedia Group

La rédaction vous recommande

Retour haut de page