le vishing, un type d’attaque dangereusement efficace qui repose sur des techniques d’ingénierie sociale et dans lequel l’attaquant communique par téléphone ou par message vocal se faisant passer pour une entreprise ou une entité de confiance avec l’intention de tromper la victime et de la convaincre de mener une action contraire leurs intérêts.
Mot vishing né de l’union de voix Oui Hameçonnage, c’est-à-dire qu’elle englobe les attaques de Hameçonnage impliquant une voix, robotique ou humaine. Dans ceux-ci, les attaquants peuvent atteindre la victime par le biais d’appels téléphoniques massifs, comme un centre d’appels d’entreprise, ou en laissant des messages vocaux. De plus, parmi les sujets de prédilection choisis par les escrocs pour ces communications, on trouve des références à des problèmes financiers ou de sécurité, ou encore au vol d’identité d’un supposé membre de la famille ou d’une connaissance, etc.
«Bien que cette technique puisse représenter un coût plus élevé et travailler du côté des cybercriminels, elle est plus efficace que d’autres formes d’attaque similaires telles que le phishing: une communication plus personnelle se fait par un appel téléphonique plutôt que par un e-mail, donc la manipulation émotionnelle est plus facile à réaliser. Dans les cas extrêmes, l’attaquant simule de la tristesse ou des pleurs devant un problème supposé qui se présente et que seule la victime peut résoudre. », souligne Martina Lopez, chercheuse en sécurité informatique au laboratoire ESET Amérique latine.
Étant un type d’attaque similaire au phishing, l’utilisation du vishing en tant que recours des criminels, il peut être observé dans différents stratagèmes de fraude. Certains des plus courants peuvent être:
Remboursement des services informatiques: Les criminels établissent une première communication téléphonique pour signaler un prétendu remboursement d’argent pour un service que l’utilisateur a embauché il y a des années et que la société présumée a cessé d’offrir. Ainsi, l’escroc persuade la victime d’installer d’abord un logiciel d’accès à distance sur son ordinateur qui permettra à l’escroc d’accéder à l’ordinateur de la victime, puis de lui demander d’accéder à son compte bancaire depuis son ordinateur.
En parallèle, ils simulent la réalisation d’un virement et modifient le montant de sorte qu’il semble y avoir eu une erreur et qu’une valeur différente a été saisie, provoquant le transfert de plus d’argent que ce qui était dû. De cette manière, l’utilisateur se sent obligé d’agir de bonne foi et de restituer l’excédent d’argent prétendument transféré, et c’est là que l’arnaque se produit.
Support technique / Infection par un malware: Dans ce modèle de fraude, quiconque communique avec la victime prétend appartenir à une entreprise au nom générique, prétendument spécialisée dans la sécurité informatique, qui assure à la victime qu’elle fournit des services de protection sur son ordinateur. Grâce à l’ingénierie sociale, l’attaquant convainc l’individu de lui permettre d’accéder à son ordinateur via des outils d’accès à distance, qui permettent même de contrôler l’appareil auquel il accède à tout moment, même en l’absence du propriétaire.
Ensuite, en exécutant des applications généralement installées en usine sur l’ordinateur de la victime ou en affichant des fichiers prétendument corrompus, ils découvrent – faux – des signes d’infection pour inquiéter la victime et lui faire croire que son appareil a été compromis. Une fois que les attaquants considèrent que l’utilisateur est suffisamment concerné, ils intimident l’utilisateur pour qu’il achète une supposée solution de sécurité pour une grosse somme d’argent pour résoudre les problèmes.
Problèmes financiers / Problèmes juridiques / Vol d’identité des agences d’État: Les agresseurs se font passer pour la voix d’une entité telle que la police, une banque ou un cabinet d’avocats pour signaler un problème ou un mouvement frauduleux associé à la victime. Avec cette excuse, les attaquants demandent la livraison d’informations personnelles et, dans certains cas, même l’accès à l’ordinateur de l’utilisateur, pouvant accéder à des informations d’identification sensibles dans ce dernier scénario.
Connu en difficulté: Cette attaque fait appel au besoin d’urgence ou aux liens que la victime possède. Prétendant être une connaissance, les attaquants demandent de toute urgence au destinataire de l’appel la nécessité de livrer de l’argent, soit physiquement, soit via un compte bancaire qui sera fourni via le même canal de communication. À plusieurs reprises, des méthodes de manipulation émotionnelle agressive sont utilisées, comme un faux cri ou l’appel à un incident subi par la victime présumée connue, pour ajouter de la crédibilité à la tromperie.
En plus des pertes monétaires, les attaques de vishing peuvent avoir des conséquences qui ne sont pas si évidentes pour la victime, telles que l’utilisation de son identité pour la tromperie future d’autres utilisateurs. «Les principales recommandations pour éviter d’être victime de ce type de fraude sont: dès réception d’un appel suspect, en vérifier la source. S’il s’agit d’une connaissance, contactez-le, et s’il s’agit d’une banque supposée, vérifiez la raison de l’appel ou si nous avons un service associé. Il est également important de se méfier de l’origine et en cas de doute, terminer la communication le plus tôt possible. Si la personne qui nous a contacté prétend appartenir à une entreprise à laquelle nous sommes associés, il est conseillé de communiquer avec l’entreprise via les canaux de communication officiels. », Conclut López, d’ESET Amérique latine.
Pour en savoir plus sur la sécurité informatique, accédez au portail d’actualités ESET: https://www.welivesecurity.com/la-es/2021/05/03/que-es-vishing/
ESET, une entreprise leader dans la détection proactive des menaces, avertit ESET d’une nouvelle escroquerie qui vole des informations sensibles via des appels téléphoniques ou des messages vocaux.
