skip to content

Hameçonnage par téléphone (Vishing) : Prévention, Détection et Réaction face à l'Escroquerie Téléphonique Sophistiquée

Vishing : Derrière la voix douce, le danger guette. Protégez-vous de l'escroquerie téléphonique qui monte. Guide de survie dans l'univers de l'arnaque téléphonique.

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Évitez le vishing, le piège des cybercriminels. Protégez-vous en apprenant à identifier, prévenir et réagir à cette arnaque.

De nos jours, la cybersécurité n’est plus seulement une question de protection de vos données en ligne. Avec l’émergence de nouvelles techniques d’escroquerie comme le vishing ou le « hameçonnage par téléphone », il est plus important que jamais de comprendre comment ces attaques fonctionnent et comment nous pouvons nous protéger.

Qu’est-ce que le Vishing ?

Le vishing, une contraction des termes « voice » et « phishing », est une forme d’escroquerie qui se manifeste à travers des communications téléphoniques. Cette technique vise à tromper une personne en la poussant à divulguer des informations sensibles, telles que des informations bancaires ou son numéro de sécurité sociale, par le biais d’un appel téléphonique trompeur. La clé de cette méthode réside dans la capacité de l’escroc à gagner la confiance de la victime grâce à une conversation téléphonique convaincante.

À l’instar du phishing classique, qui utilise des emails pour tromper les victimes, le vishing s’appuie sur la voix et le téléphone comme outils de tromperie.

Selon le rapport « State of the Phish 2023 » de Proofpoint, les attaques par téléphone et les tentatives de contournement de l’authentification à deux facteurs sont des stratégies de plus en plus couramment utilisées par les cybercriminels. Ces attaques se distinguent par leur personnalisation, offrant aux cybercriminels un avantage indéniable.

En France, plus de 86% des organisations ont été touchées par au moins une tentative d’attaque réussie l’an dernier, avec des pertes financières directes dans 19% des cas. Les acteurs malveillants utilisent une gamme de tactiques, y compris l’usurpation d’identité, la compromission de la messagerie électronique d’entreprise (BEC) et les attaques par rançongiciels. Toutefois, 2022 a vu une augmentation de l’usage de méthodes d’attaque moins conventionnelles nécessitant une préparation plus conséquente. Ces tactiques se caractérisent par une personnalisation accrue et une planification soignée visant à diminuer la méfiance de la cible.

Comment fonctionne le Vishing ?

Le vishing est mené par des cybercriminels qui se font passer pour des personnes ou des organisations de confiance.

Une attaque de vishing typique commence généralement par un message non sollicité, par exemple un SMS ou un email, incitant la victime à appeler un certain numéro. Ce processus est parfois appelé TOAD, pour Telephone Oriented Attack Delivery. Lorsque la victime appelle, elle est accueillie par un attaquant qui se fait passer pour une institution de confiance, telle qu’une banque ou un fournisseur de services, dans le but d’obtenir des informations sensibles.

Les messages laissés sur les répondeurs peuvent sembler très réalistes, y compris les sons de fond qui imitent un centre d’appel.

Les victimes sont ensuite invitées à appeler un faux centre d’appel où des cybercriminels (arnaqueurs) vont chercher à obtenir des informations sensibles. Souvent, ces informations, comme les code à double authentification, sont utilisées pour accéder aux comptes bancaires des victimes ou à confirmer des paiements frauduleux en ligne. Parmi les organisations françaises touchées par des rançongiciels, la grande majorité (94%) avait souscrit une police de cyberassurance dédiée à ce risque.

Comment signaler une escroquerie par vishing ?

Si vous pensez avoir été victime d’une escroquerie par vishing, il est recommandé de changer les mots de passe de vos comptes, d’informer votre banque et votre société de carte de crédit (VISA, MASTERCARD, …), et de surveiller attentivement vos transactions financières. En France, vous pouvez signaler ces escroqueries sur la plateforme « PHAROS », accessible sur le site www.internet-signalement.gouv.fr .

PHAROS joue un rôle essentiel dans la lutte contre la cybercriminalité et contribue à la protection des utilisateurs en facilitant la suppression ou le blocage de contenus illicites signalés.

PHAROS (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements) est une plateforme française mise en place pour faciliter le signalement des contenus illicites sur Internet

Les escroqueries par vishing les plus courantes

Les cybercriminels se font souvent passer pour des personnes en qui vous avez généralement confiance, comme votre banque, un percepteur d’impôts, un conseiller en investissement ou un représentant de votre compagnie d’assurance. Les méthodes les plus courantes comprennent des alertes sur des comptes bancaires compromis, des offres de prêt ou d’investissement attrayantes, des escroqueries fiscales, et des fraudes médicales ou à la sécurité sociale.

Exemples de Vishing

Voici quelques exemples de scénarios de vishing courants :

  • Un appelant prétend être un employé de banque et informe la victime d’une activité suspecte sur son compte. L’attaquant demande ensuite des informations de vérification qui peuvent être utilisées pour accéder au compte.
  • Une personne reçoit un message lui demandant de mettre à jour les informations de son compte de santé. Le message inclut un numéro de téléphone. Lorsqu’elle appelle, l’attaquant tente de recueillir des informations personnelles.

Comment se protéger contre le Vishing

La prévention du vishing est assez simple, une fois que vous savez quels signes surveiller. Par ailleurs, il est essentiel de toujours vérifier les informations indépendamment. Par exemple, si vous recevez un appel prétendant être de votre banque, raccrochez et appelez le numéro officiel de votre banque pour vérifier les informations.

Voici des mesures préventives clés que vous pouvez mettre en œuvre pour réduire les chances de devenir une victime d’attaque de vishing :

  • Protégez vos données personnelles : Ne partagez jamais vos données personnelles par téléphone, même si la personne qui appelle prétend être de votre banque ou d’une autre institution de confiance. Aucun interlocuteur légitime ne vous demanderait de le faire. Si c’est le cas, considérez cela comme un signe d’avertissement que vous pourriez être victime de vishing et raccrochez immédiatement. Assurez-vous de signaler cet appel à votre institution financière.
  • Soyez prudent avec les appels inconnus : Si vous ne reconnaissez pas le numéro, laissez l’appel aller à la messagerie vocale et évaluez-le à partir de là. Si vous pensez que l’appel pourrait être légitime, essayez de rappeler le numéro à partir d’un autre téléphone. Si c’est une arnaque, l’appel ne se connectera probablement pas.
  • Utilisez le service Bloctel : En France, vous pouvez inscrire votre numéro de téléphone sur la liste d’opposition au démarchage téléphonique Bloctel. Cela dissuade les entreprises légitimes de vous appeler à froid, ce qui fait que les appels que vous recevez sont plus susceptibles d’être des escroqueries de type vishing.
  • Faites preuve de prudence en ligne : Ne répondez pas aux courriels, messages textes ou messages sur les réseaux sociaux qui vous demandent votre numéro de téléphone. Ceci est souvent la première étape que les cybercriminels franchissent pour vous cibler avec un appel de vishing à l’avenir.

En adoptant ces pratiques, vous pouvez renforcer votre sécurité personnelle et réduire les risques d’être victime d’un hameçonnage par téléphone.

Que faire si vous êtes victime de Vishing

Si vous pensez être victime d’une escroquerie par vishing, voici quelques étapes que vous pouvez suivre :

  • Ne paniquez pas : Les escrocs réussissent souvent parce qu’ils sont capables d’inciter leurs victimes à prendre des décisions hâtives sous l’effet de la peur ou du stress. Prenez un moment pour respirer et évaluer la situation calmement.
  • Cessez toute communication avec les escrocs : Ne continuez pas à communiquer avec les personnes qui, selon vous, ont essayé de vous escroquer. Ne donnez pas d’informations supplémentaires et ne tentez pas de négocier avec eux.
  • Contactez votre banque : Si vous avez fourni des informations financières ou bancaires lors de l’appel de vishing, contactez immédiatement votre banque ou l’émetteur de votre carte de crédit. Ils peuvent surveiller votre compte pour détecter toute activité suspecte, vous aider à changer vos numéros de compte si nécessaire, et vous donner des conseils sur la manière de vous protéger contre la fraude.
  • Changez vos mots de passe : Si vous pensez que vos informations d’identification ont été compromises, modifiez vos mots de passe le plus rapidement possible. Assurez-vous d’utiliser des mots de passe forts et uniques pour chaque compte.
  • Signalez l’escroquerie : En France, vous pouvez signaler ces escroqueries à la police et sur la plateforme PHAROS, accessible sur le site www.internet-signalement.gouv.fr . Vous pouvez également signaler l’escroquerie à votre fournisseur de services téléphoniques, qui peut être en mesure de bloquer les numéros associés à l’escroquerie.
  • Surveillez vos comptes : Gardez un œil sur vos comptes bancaires et vos rapports de crédit pendant un certain temps pour détecter toute activité inhabituelle. Si vous remarquez quelque chose de suspect, signalez-le immédiatement à votre banque ou à l’agence de crédit concernée.
  • Soyez informé : Utilisez cette expérience comme une opportunité d’apprentissage. Familiarisez-vous avec les tactiques de vishing courantes pour être mieux préparé si vous êtes à nouveau ciblé.

Souvenez-vous, même si vous êtes tombé dans le piège d’une escroquerie, il y a toujours des actions que vous pouvez entreprendre pour minimiser les dommages et vous protéger à l’avenir.