L'hameçonnage vocal (ou voice-phishing) est un type d'attaque par phishing qui se déroule par le biais d'appels téléphoniques. Découvrez ce que sont les attaques par hameçonnage vocal, comment les empêcher et comment elles s'inscrivent dans le cadre plus large de l'ingénierie sociale.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
Le vishing est une pratique qui consiste à inciter les gens à partager des informations sensibles par le biais d'appels téléphoniques. Les victimes du vishing sont amenées à croire qu'elles partagent des informations sensibles avec une entité de confiance, comme l'administration fiscale, leur employeur, une compagnie aérienne qu'elles utilisent ou une personne qu'elles connaissent en personne. Le vishing est également connu sous le nom de "voice-phishing".
Phishing est le terme général pour désigner la pratique consistant à tenter de voler des informations sensibles en se faisant passer pour une partie de bonne réputation. Il existe différentes formes d'hameçonnage, notamment l'hameçonnage par courrier électronique (parfois appelé uniquement « hameçonnage »), l'hameçonnage vocal ou vishing, le whaling et le spear phishing.
Si les attaques par hameçonnage vocal sont plus difficiles à détecter ou à surveiller, il est important de comprendre que les attaquants tentent souvent d'accéder à des informations par différents moyens en même temps. Par conséquent, une augmentation significative des attaques de phishing par courriel peut être considérée comme un signe que des tentatives de phishing vocal peuvent également avoir lieu. Les organisations devraient sensibiliser leurs employés à ce type d'incidents, car des employés alertes sont le meilleur bouclier contre ces attaques.
Le vishing est une forme d'ingénierie sociale. Les attaquants persuadent leur victime de faire quelque chose qu'elle ne ferait pas autrement, comme communiquer les détails de sa carte de crédit lors d'un appel téléphonique non sollicité. L'attaquant joue avec les émotions humaines de base, comme la cupidité, la peur ou le désir d'aider. Les attaquants peuvent se faire passer pour un ami en cas d'urgence et inciter la victime à transférer de l'argent. Ils peuvent aussi se faire passer pour un membre du service informatique d'un employeur afin d'obtenir un nom d'utilisateur et un mot de passe pour accéder au réseau de l'entreprise.
Les attaques par hameçonnage peuvent prendre diverses formes, mais elles font souvent appel à certaines des tactiques suivantes:
Les particuliers peuvent suivre un certain nombre de pratiques pour se protéger du phishing. Il s'agit notamment de :
Il existe plusieurs mesures que les entreprises peuvent prendre sur les plans culturel et technologique pour se protéger des attaques par vishing.
Éducation : Il est important d'informer les employés des tendances actuelles en matière d'hameçonnage ainsi que de leurs caractéristiques générales. Ainsi, les employés seront en mesure de repérer les attaques en fonction de leur connaissance d'un scénario spécifique, ou de faire preuve de prudence s'ils sentent que des caractéristiques des attaques par hameçonnage vocal sont présentes. Il est également utile que les dirigeants rappellent à leurs employés les cas dans lesquels ils les contacteront ou non. Par exemple, un PDG (CEO) n'appellera pas ses employés pour leur demander des informations privées ou pour effectuer un virement bancaire. Aussi évident que cela puisse paraître, il est bon que le PDG (CEO) le rappelle régulièrement.
Culture : Les organisations doivent s'efforcer de faire en sorte que leurs employés se sentent à l'aise pour signaler qu'ils ont été victimes d'une attaque par vishing. Idéalement, elles doivent mettre en place une procédure pour de tels cas, s'assurer que le personnel en est informé et créer un climat de confiance dans lequel les employés ne craindront pas de répercussions s'ils signalent rapidement les incidents.
Technologie : Les attaques par hameçonnage qui ont lieu lors d'appels téléphoniques sont plus difficiles à détecter et à empêcher que les attaques par courrier électronique. Toutefois, certaines mesures peuvent être prises pour limiter les dégâts et assurer un suivi.
Prise en main
Fondamentaux de la sécurité des e-mails
Hameçonnage et courrier indésirable
Protocoles de messagerie
Glossaire
Navigation dans le centre d’apprentissage