Outils, logiciels et technologies Découvrez
Vous connaissez le phishing, cette méthode d’hameçonnage par mail. Les cybercriminels se réinventent pour se montrer plus efficaces. La nouvelle tendance consiste à réaliser des messages vocaux frauduleux, aussi appelés vishing. Les ordinateurs ou les systèmes d’information des entreprises ne sont plus les seules cibles des hackers pour voler des données personnelles. Le téléphone portable est désormais un support de prédilection. L’appel frauduleux est à la mode : voici comment vous en prémunir.
Qu’est-ce que le vishing ?
Le vishing est la contraction des mots « voice » et « phishing ». Il s’agit donc d’une technique d’hameçonnage basée sur la voix. Vous pouvez recevoir un appel frauduleux ou un message vocal sur les réseaux sociaux. Comme le phishing (mail frauduleux) ou le smishing (SMS frauduleux), le vishing est une attaque d’ingénierie sociale. Elle repose sur la manipulation psychologique d’une victime pour parvenir à un vol de données personnelles.
Comment fonctionne l’hameçonnage par vishing ?
Tout comme le phishing ou le smishing, une attaque par vishing repose sur des méthodes d’ingénierie sociale. Son fonctionnement se base sur de la manipulation psychologique.
Des méthodes d’ingénierie sociale utilisées par des escrocs au téléphone
L’ingénierie sociale cible l’humain et ses faiblesses. Les cybercriminels exploitent les vulnérabilités de leurs victimes. Ils utilisent leur innocence et leurs méconnaissances des attaques de cybersécurité. La méthode est rodée et fonctionne de plusieurs façons. Il s’agit soit de jouer sur la confiance en se faisant passer pour votre conseiller bancaire, ou d’instiller la peur. Votre argent est bloqué ou vous avez droit à une offre à ne pas manquer. Votre interlocuteur vous met face à une situation d’urgence : vous devez décider rapidement.
Que le message soit positif ou négatif, vous devez agir dans les plus brefs délais. La pression, la peur de perdre ses économies ou de passer à côté d’une bonne affaire vous fait agir dans la précipitation. La seule façon de vous sortir de cette situation est de communiquer vos données. Vous livrez vos informations bancaires, comme le numéro de votre carte bleue. Aveuglé par un sentiment de panique, sans possibilité de réfléchir, vous devenez victime de l’escroquerie.
L’approche stratégique des cybercriminels en ligne pour des arnaques réussies
Les cybercriminels utilisent des logiciels pour créer des numéros d’appel au même indicatif que votre région. Le numéro ne s’affiche plus en 08 ni en 09, mais en 01, 02 voire même 06. Un numéro « normal » suscite moins de méfiance chez la victime. Dans le cas d’une fraude au faux conseiller bancaire, la personne au téléphone appelle avec le numéro de votre organisme. Vous êtes légitimement en droit d’être en confiance.
Notez que, bien souvent, vous avez déjà été la victime d’un phishing. Vous avez cliqué sur une offre et laissé votre numéro de téléphone. Le vishing repose également sur la technique du smishing. Vous recevez un SMS d’alerte comprenant un numéro de téléphone à contacter dans les plus brefs délais. Le vishing n’est pas une attaque portée au hasard. Les cybercriminels construisent leur arnaque avec un véritable savoir-faire psychologique et technique.
Comment reconnaître une attaque de vishing ?
Les scénarios visant à escroquer les utilisateurs de téléphone sont nombreux pour vous voler vos informations personnelles.
- Votre compte bancaire est compromis ou vous venez de perdre une importante somme d’argent. Votre interlocuteur vous propose de transférer vos économies sur un autre compte ou bien de faire lui-même opposition avec vos identifiants. Votre banque vous le rappelle : aucun conseiller ne vous demandera vos informations confidentielles en ligne.
- Un investissement à ne pas manquer, un concours remporté : si vous n’avez jamais joué ou si l’opportunité est trop invraisemblable, vous n’avez aucune raison de communiquer vos informations personnelles.
- La fraude aux impôts, à l’assurance maladie, au courtier, au conseiller bancaire, etc. : impôts ou amendes impayés, faux crédit, votre interlocuteur se fait passer pour le représentant d’une institution. Vous devez rapidement donner vos informations pour résoudre un problème ou décrocher le crédit au meilleur taux du moment. Ces appels frauduleux se reconnaissent par la pression exercée.
- Votre ordinateur a besoin d’une réparation en ligne : vous avez cliqué sur un lien contenu dans un mail et votre écran affiche une panne. Une fenêtre s’ouvre et vous communique un numéro à joindre pour une intervention à distance.
Dès qu’il est question de communiquer vos informations personnelles, méfiez-vous. Aucune organisation, comme votre banque ou les impôts, n’a besoin de connaître les données qu’ils possèdent déjà.
Quels sont les objectifs et les cibles du vishing ?
Pour les cybercriminels, toutes les tactiques sont bonnes pour réussir leur arnaque. Cibler les personnes les plus fragiles, comme les personnes âgées, est un jeu d’enfant pour eux.
Les objectifs du vishing : vols de vos informations et vol d’argent
Les cybercriminels cherchent à vous extorquer un maximum d’informations. Certains souhaitent vous voler vos comptes, d’autres à usurper votre identité. La prise de contrôle de votre ordinateur est réalisée, là encore, à des fins de demande de rançon. Vous risquez de perdre des milliers d’euros, que vous les possédiez ou non sur vos comptes bancaires.
Les cibles préférées des cybercriminels : les personnes les plus fragiles, premières victimes du vishing
Les méthodes d’ingénierie sociale visent en priorité les personnes qui n’ont pas conscience de ces attaques. Les appels frauduleux s’adressent bien souvent aux personnes âgées. Elles n’ont pas toujours connaissance des pratiques d’hameçonnage, encore moins de vishing. Elles répondent à un appel et peuvent paniquer facilement en cas de problèmes liés à l’argent ou l’assurance maladie.
Quels sont les risques pour les victimes de vishing ?
Les victimes de vishing découvrent bien souvent que les pertes d’argent ne sont pas remboursées par leur banque. En effet, l’établissement bancaire peut juger que la fraude est due à des négligences graves de leur client. Vous avez communiqué vos informations personnelles de vous-même.
Il peut être difficile de prouver votre innocence dans le cas d’une fraude bancaire. Le dédommagement, suite à escroquerie, est long. La procédure, qui consiste à apporter des preuves du vishing, et à porter plainte rapidement, peut prendre plusieurs mois à aboutir en votre faveur.
Comment se protéger contre le vishing ?
Pour éviter toute situation financière critique, plusieurs solutions existent pour vous prémunir du vishing. De bonnes pratiques et une prévention collective vous prémunissent contre ce type d’attaque.
Les bonnes habitudes à prendre en cas de messages vocaux ou SMS frauduleux
Vous pouvez commencer par vous inscrire sur la plateforme Bloctel pour empêcher le démarchage téléphonique. Ce type de service connaît cependant quelques limites. Elle n’évite pas les appels sur le CPF ou la rénovation énergétique. Surtout, elle ne peut rien contre les cybercriminels qui arrivent à vous appeler en utilisant un numéro officiel, comme celui de votre banque.
Ne répondez pas à un numéro inconnu, mais orientez-le vers votre messagerie. Tout comme pour les messages textes et les mails suspects, soyez prudents avec les appels reçus. Enfin, n’oubliez pas de mettre à jour vos appareils et applications pour corriger les failles de sécurité.
Une campagne de prévention contre le vishing pour informer les potentielles victimes
Le vishing est une attaque assez récente. L’arnaque aux appels frauduleux, surtout quand elle émane de vrais numéros, n’est pas toujours très connue. Aussi, une campagne de prévention, réalisée dans les entreprises ou par les institutions, apporte une source d’informations essentielles. Le service public, les banques et les entreprises privées doivent informer le grand public des risques courus et des conséquences d’une attaque par vishing. Et marteler qu’en aucun cas les informations confidentielles ne sont demandées par téléphone.
Les réflexes à avoir en cas d’attaque vishing
Malgré toutes les précautions, les cybercriminels arrivent à passer entre les mailles du filet. En utilisant des numéros crédibles, vous ne pouvez pas toujours soupçonner une attaque vishing.
Comment réagir en cas d’appel frauduleux ?
Vous avez décroché votre téléphone et vous avez des doutes ? Voici la bonne attitude à prendre en cas d’appel frauduleux.
- Demandez des informations à votre interlocuteur : vérifiez son identité, l’entreprise à laquelle il appartient, etc.
- Vous pouvez également raccrocher et mettre un terme à la discussion.
Vous avez donné vos informations bancaires : les démarches
Vous avez donné vos informations personnelles. Après vérification, vous avez compris l’escroquerie. Appelez votre banque et faites opposition sur votre carte bancaire pour éviter les opérations frauduleuses. Changez les mots de passe de tous vos comptes bancaires. Conservez un maximum de preuves que vous pouvez : mail, message, etc. Déposez plainte rapidement. Vous pouvez également signaler l’escroquerie au service public, via la plateforme Perceval.
Pourquoi signaler une tentative d’escroquerie à la carte bancaire ou une tentative de vols d’informations ?
Signaler l’escroquerie compte deux avantages. Le premier consiste à faciliter vos démarches et espérer obtenir dédommagement dans le cas où votre carte bancaire a déjà été exploitée. Le second permet aux autorités de mener leur enquête de cybersécurité. Une arnaque connue et partagée au grand public limite l’efficacité des cybercriminels.
Les cybercriminels se montrent très inventifs pour réussir à obtenir vos numéros de téléphone. Avec des techniques d’hameçonnage reposant à la fois sur du phishing, du smishing et du vishing, les cyberattaques trouvent plus facilement leurs victimes. À la Cyber Management School, nous formons les experts en cybersécurité, capables d’utiliser les outils et les méthodes pour limiter le champ d’action des cybercriminels.