Après le phishing, une arnaque effectuée virtuellement par le biais de SMS ou sites web fallacieux, le vishing est la nouvelle méthode de cyber-arnaque à la mode. Mais alors comment ces experts de la tromperie mettent à exécution leurs plans diaboliques ? Études Tech te dit tout sur cette nouvelle pratique en vogue.
Quel est le principe du vishing ?
Le vishing ou « voice phishing » (hameçonnage vocal), est une forme d’arnaque téléphonique où un fraudeur se fait passer pour une personne ou une entreprise de confiance, dans le but d’obtenir des informations personnelles ou financières. Le vishing est souvent réalisé à l’aide d’un message préenregistré qui demande à la victime de rappeler un numéro de téléphone pour confirmer des informations personnelles sensibles : un numéro de carte de crédit ou un mot de passe par exemple.
Le numéro utilisé semble le plus souvent commun, mais il s’agit souvent d’un numéro falsifié. Le vishing peut également se faire en direct, où le fraudeur se fait passer pour un représentant de la banque ou de l’entreprise et demande des informations confidentielles à la victime. Il est important de se méfier des appels téléphoniques non sollicités et de ne jamais donner d’informations personnelles ou financières à moins d’être certain de la légitimité de l’appel.
Quelle différence entre le phishing et le vishing ?
Contrairement au vishing qui s’effectue par la voie téléphonique, le phishing, lui, est utilisé grâce à l’envoi de courriers électroniques ou SMS, mais également par le biais de sites web falsifiés qui imitent les véritables plateformes d’entreprises ou d’institutions financières. Lorsque la victime entre sur ce site, elle doit saisir ses identifiants de connexion, son mot de passe et le plus souvent, des informations bancaires.
Dans les deux cas, l’auteur de l’arnaque joue de la crédulité de la victime qu’il vise pour que celle-ci divulgue des informations personnelles ou financières sensibles. Il est donc important de rester vigilant et de protéger ses informations en ne dévoilant jamais ses données confidentielles.
Lire aussi : Les cyberattaques les plus communes en ce moment
Comment reconnaître une attaque de vishing ?
Les fraudeurs ayant recours au vishing vont utiliser des techniques sophistiquées pour se faire passer pour des gens de confiance. Si le principal objectif est de duper son interlocuteur, certains signes ne trompent pas ; en voici quelques exemples :
– Urgence ou menace : les fraudeurs veulent créer, chez la victime, un sentiment d’urgence en affirmant qu’elle doit agir rapidement ou qu’il y aura des conséquences négatives, comme la suspension d’un compte ou des frais supplémentaires ;
– Demande de renseignements personnels ou financiers : les arnaqueurs n’hésitent pas à demander des informations personnelles ou financières sensibles directement ; numéros de carte bancaire, mots de passe ou informations d’identification d’un compte ;
– Numéro de téléphone suspect : le numéro de téléphone de l’appelant peut sembler faux ou ne correspond pas au numéro habituel de l’entreprise prétendument représentée ;
– Message préenregistré : lorsque l’appel démarre par un message préenregistré, cela peut indiquer une arnaque ;
– Demande de paiement immédiat : Les fraudeurs peuvent demander des paiements immédiats pour éviter des conséquences négatives, même si la demande de paiement ne semble pas légitime.
Comment déceler le phishing ?
À l’instar des spécialistes du vishing, l’arnaque par phishing joue sur la naïveté de sa victime pour lui soutirer des informations personnelles. Pour éviter de se faire arnaquer, il existe plusieurs moyens afin de démasquer le fraudeur.
En général, l’hameçonnage s’effectue par le biais d’e-mails frauduleux. La technique est simple : utiliser une adresse mail presque identique à celle d’une institution de confiance. La différence est souvent infime, et si la victime agit par lecture rapide, sans s’attarder sur les petits détails, comme un « . » en plus, une majuscule au lieu d’une minuscule, elle peut se faire avoir. Dans certains cas, le contenu de ces e-mails peut contenir des fautes d’orthographe. Si celles-ci sont récurrentes, alors il s’agit probablement d’une arnaque.
Les fraudeurs peuvent également inclure des pièces jointes ou des liens malveillants dans leurs e-mails pour tenter de télécharger des logiciels malveillants ou de te diriger vers des sites web frauduleux. Pour y parvenir, le voyou du web peut user d’un moyen simple : faire miroiter à sa cible un gain inopiné ou lui proposer une offre irrésistible, dans l’unique but de l’attirer dans son piège.
Lire aussi : L’incroyable histoire de John McAfee
Nos astuces pour se protéger de ces arnaques
Se protéger contre le phishing
Pour rester protégé contre les attaques d’hameçonnage, il est essentiel de comprendre ce qu’est l’hameçonnage et de se tenir informé des dernières escroqueries. Les périodes importantes, telles que la période de déclaration des impôts, sont des moments privilégiés pour les attaquants qui se font souvent passer pour le trésor public. Être vigilant face aux dernières escroqueries d’hameçonnage peut faire toute la différence pour garantir votre sécurité et celle de vos données. Si tu penses être victime de phishing, il est important d’agir rapidement pour minimiser les dommages potentiels. Voici quelques étapes à suivre pour te protéger :
– Changer immédiatement tous les mots de passe associés aux comptes qui ont été compromis. Utiliser des mots de passe forts et différents pour chaque compte ;
– Signaler l’attaque de phishing à l’institution financière ou à l’entreprise concernée. Ils peuvent te fournir des informations sur les mesures à prendre pour protéger tes informations et t’aider à récupérer les fonds perdus ;
– Signaler l’attaque aux autorités compétentes. Dans de nombreux pays, il existe des organismes gouvernementaux ou des associations spécialisées qui te permettent de signaler les fraudes en ligne et les escroqueries ;
– Informer tes proches pour éviter qu’ils ne soient également victimes de l’attaque ;
– Mettre à jour ton logiciel antivirus et réaliser une analyse complète de ton ordinateur pour détecter toute présence de logiciels malveillants.
Pour éviter les attaques de phishing, il est recommandé de ne pas cliquer sur des liens non sollicités et de vérifier leur sécurité avant de les ouvrir. Le recours à un vérificateur d’URL peut également t’aider à t’assurer que tu peux cliquer en toute sécurité. En outre, l’utilisation d’un système d’authentification multi facteur (MFA) peut te protéger contre une compromission totale de tes comptes en cas d’attaque réussie. Enfin, il est important de rester méfiant envers toute personne qui vous demande des informations personnelles sensibles, car les entreprises légitimes ne te demanderont jamais de divulguer ce type d’informations.
Comment contrer le vishing ?
S’il est difficile d’éradiquer totalement cette menace, plusieurs astuces peuvent s’avérer utiles dans la lutte contre ce fléau. Tout d’abord, il faut être attentif aux numéros qui sollicitent ton attention et malgré la création d’un logiciel de blocage automatique contre les numéros malveillants crée par le gouvernement, certains arrivent à passer à travers les mailles du filet.
Si tu décroches malencontreusement un appel sans te méfier, il ne faut jamais communiquer tes informatiques personnelles, et notamment bancaires, par téléphone. Les institutions officielles ne demandent jamais de communiquer ce type de données par ce biais.
Pour t’assurer de la crédibilité de ton interlocuteur, demande-lui de confirmer son identité avec des informations que seuls toi et l’organisme officiel sont en mesure de connaître. Si celui-ci montre un peu trop de motivation à te convaincre, en se montrant parfois très persuasifs, méfiance ! C’est d’ailleurs grâce à ce talent de persuasion que cette technique fonctionne auprès de certaines personnes. Enfin, la meilleure solution pour contrer le vishing reste l’ignorance en filtrant les appels, en supprimant les SMS douteux et en bloquant les numéros suspects.
Quels sont les différents types d’attaques de phishing ?
Comme tu as pu le lire plus haut, le vishing et le phishing sont étroitement liés. Toutefois, ce ne sont pas les seules attaques informatique répandues sur internet. En effet, parmi les attaques d’hameçonnage, il y en existe différents types : le spear phishing, le whaling ou encore le smishing.
Spear phishing
Le phishing dans sa forme la plus classique ne vise pas une personne en particulier. En général, un mail frauduleux est envoyé à plusieurs centaines, voire milliers de personnes ; l’arnaqueur espère alors qu’une partie de celles-ci tombent dans le piège. Le spear phishing, lui, est bien plus ciblé et attaque une seule et même personne.
Les attaques de spear phishing peuvent être particulièrement efficaces car elles proviennent d’une source de confiance, généralement de son univers professionnel. Il est donc important d’être vigilant lors de la réception d’e-mails ou de messages qui demandent des informations sensibles ou contiennent des liens ou des pièces jointes suspects, aussi bien dans sa vie privée qu’au travail.
Whaling
Le whaling attaque les personnes haut placées d’une organisation, comme des cadres supérieurs ou des dirigeants d’entreprise. Le terme whaling provient du mot « whale », signifiant « baleine », soit un individu puissant.
Ce type d’attaque s’inspire du spear phishing, personnalisées et adaptées à la victime en utilisant des informations obtenues à partir de sources accessibles publiquement, comme les réseaux sociaux ou les profils en ligne des dirigeants de l’entreprise. Les attaques de whaling peuvent être utilisées pour voler des informations d’identification, pour accéder à des données sensibles ou pour installer des logiciels malveillants sur le réseau de l’entreprise. Si celles-ci réussissent, elles peuvent avoir des conséquences dramatiques sur le bon fonctionnement d’une grande entreprise. Il est alors important de sensibiliser toutes les parties prenantes de l’organisation à ce genre de risques.
Lire aussi : Les 10 plus grands hackers de l’histoire
Smishing
Le smishing est un type de phising exclusivement effectué par le biais d’un SMS. L’assaillant se fait passer pour une organisation de confiance en envoyant un texte, le plus souvent à caractère commercial, dans le but de duper la cible et lui voler ses informations bancaires. Pour y parvenir, le message envoyé contient le plus souvent un lien sur lequel il ne faut absolument pas cliquer. Avec le récent développement des transactions bancaires via téléphone mobile, cette cyberattaque est de plus en plus utilisée : vigilance est de mise !
Lire aussi : Quel salaire espérer dans la cybersécurité en 2023 ?
