Le vishing est une forme particulière de phishing. Ici aussi, l’objectif est d’inciter les personnes à révéler des informations sensibles ou confidentielles. Contrairement à l’hameçonnage « traditionnel », où les victimes sont contactées par e-mail, la prise de contact se fait par téléphone. D’où le nom de « vishing ». Ici, le terme anglais pour la voix (voice) et le phishing sont combinés.
Comme d’autres méthodes d’hameçonnage, le vishing est une forme d’ingénierie sociale. Ainsi, il fait également appel aux émotions de la cible, tant dans le sens positif que négatif. Les émotions telles que la peur, le doute, la curiosité et la honte sont ciblées afin d’inciter les personnes à agir dans le sens des attaquants.
Le contact direct qui résulte de l’entretien téléphonique peut exacerber les sentiments que nous venons d’évoquer chez les personnes concernées. Dans la confrontation directe, les personnes osent encore moins contredire l’autre personne ou ne pas répondre aux demandes. Elles peuvent également moins se fier à leur propre instinct, ce qui les pousse à agir sans réfléchir.
Une autre raison pour laquelle le vishing peut être très lucratif pour les cybercriminels est que l’on croit plus facilement une voix humaine qu’un e-mail numérique d’un expéditeur inconnu. La prise de conscience du fait que les collaborateurs peuvent également être trompés par téléphone n’est parfois pas encore très répandue.
Les attaques de vishing peuvent toucher n’importe quelle entreprise. Même si, contrairement aux attaques de phishing traditionnelles, elles ne se propagent pas à la volée et ne sont donc pas menées à grande échelle, les acteurs de la menace utilisent de plus en plus le téléphone pour contacter directement leurs victimes potentielles. Les motivations suivantes sont au premier plan.
Vous, ou l’un de vos employés, êtes appelé par des cybercriminels, souvent sous un prétexte très banal. L’attaquant peut par exemple se faire passer pour un employé d’une organisation connue (par exemple une banque), appeler au nom d’un fournisseur ou vouloir vendre quelque chose à votre entreprise. Les questions sont habilement placées au cours de la conversation de manière à ce que l’interlocuteur ou l’interlocutrice réponde sans hésiter et sans éveiller les soupçons. Les réponses peuvent ensuite être utilisées par l’attaquant pour mener des attaques de spear phishing ou de fraude au PDG.
On parle également de vishing lorsque des collaborateurs appellent un numéro de téléphone falsifié et contactent ainsi des cybercriminels sans se douter de rien. Imaginez que vous ayez un problème informatique et que vous soyez à la recherche d’un prestataire de services qui puisse vous aider à résoudre ce problème. Vous atterrissez sur une page d’accueil et composez le numéro qui y est indiqué. Malheureusement, ce n’est pas le support espéré qui vous répond à l’autre bout du service, mais un délinquant. Ici, on vous propose des solutions contre paiement. Il se peut que vous deviez les régler directement. Mais vous n’obtiendrez pas le service espéré.
L’exemple suivant est très direct. L’attaquant vous contacte ou contacte l’un de vos employés par téléphone et lui demande d’agir concrètement. Par exemple, il peut demander de transmettre certaines informations, comme les données de connexion à un service en ligne. Ou une activité spécifique peut être demandée, par exemple le transfert d’une somme d’argent et le règlement d’une facture prétendument impayée. Si la personne hésite, des pressions sont exercées sur elle ou elle est attirée par des offres positives (prix spéciaux, meilleures conditions).
De nos jours, il est difficile de détecter les attaques de phishing. Les cybercriminels évoluent également et deviennent de plus en plus professionnels dans leurs attaques. Il en va de même pour les attaques de vishing. Pour détecter les attaques de vishing, les collaborateurs doivent être vigilants. Pour les nouveaux contacts avec lesquels on n’a pas eu de contact auparavant, il est conseillé de faire une petite recherche sur Internet pour confirmer les détails. L’entreprise mentionnée existe-t-elle ? L’adresse indiquée existe-t-elle ? Pouvez-vous trouver la personne qui vous a contacté ? Si votre interlocuteur fait référence à des collègues à vous, demandez éventuellement brièvement à la personne concernée si la situation ou l’échange a réellement eu lieu. Un certain scepticisme de base doit également prévaloir pendant l’entretien. Ne répondez pas à des questions qui vous semblent trop confidentielles ou trop détaillées. Aucune entreprise sérieuse ne vous demandera de lui fournir des mots de passe, des numéros de tan, des numéros de personnel, etc.
Pour lutter contre les attaques de vishing et les éviter à long terme, il est conseillé de sensibiliser les collaborateurs. Une formation intensive vous permettra d’attirer l’attention de vos collaborateurs sur les dangers et de les sensibiliser aux méthodes d’attaque. Cela peut se faire soit par des vidéos de formation, soit par un atelier dans lequel les appels de vishing sont illustrés et où les collaborateurs peuvent s’entraîner à gérer ce type d’attaque.
