Qu'est-ce que le vishing ?| Prévenir les attaques par vishing

Qu'est-ce qu'une attaque par vishing ?

Le vishing est une pratique qui consiste à inciter les gens à partager des informations sensibles par le biais d'appels téléphoniques. Les victimes du vishing sont amenées à croire qu'elles partagent des informations sensibles avec une entité de confiance, comme l'administration fiscale, leur employeur, une compagnie aérienne qu'elles utilisent ou une personne qu'elles connaissent en personne. Le vishing est également connu sous le nom de "voice-phishing".

Phishing est le terme général pour désigner la pratique consistant à tenter de voler des informations sensibles en se faisant passer pour une partie de bonne réputation. Il existe différentes formes d'hameçonnage, notamment l'hameçonnage par courrier électronique (parfois appelé uniquement « hameçonnage »), l'hameçonnage vocal ou vishing, le whaling et le spear phishing.

Si les attaques par hameçonnage vocal sont plus difficiles à détecter ou à surveiller, il est important de comprendre que les attaquants tentent souvent d'accéder à des informations par différents moyens en même temps. Par conséquent, une augmentation significative des attaques de phishing par courriel peut être considérée comme un signe que des tentatives de phishing vocal peuvent également avoir lieu. Les organisations devraient sensibiliser leurs employés à ce type d'incidents, car des employés alertes sont le meilleur bouclier contre ces attaques.

Quel est le lien entre le vishing et l'ingénierie sociale ?

Le vishing est une forme d'ingénierie sociale. Les attaquants persuadent leur victime de faire quelque chose qu'elle ne ferait pas autrement, comme communiquer les détails de sa carte de crédit lors d'un appel téléphonique non sollicité. L'attaquant joue avec les émotions humaines de base, comme la cupidité, la peur ou le désir d'aider. Les attaquants peuvent se faire passer pour un ami en cas d'urgence et inciter la victime à transférer de l'argent. Ils peuvent aussi se faire passer pour un membre du service informatique d'un employeur afin d'obtenir un nom d'utilisateur et un mot de passe pour accéder au réseau de l'entreprise.

Comment fonctionnent les attaques par hameçonnage ?

Les attaques par hameçonnage peuvent prendre diverses formes, mais elles font souvent appel à certaines des tactiques suivantes:

• Un élément de surprise : L'appelant peut prétendre faire partie d'une organisation qui n'appelle pas habituellement, comme les autorités fiscales, une entreprise ou la loterie nationale. Il peut également prétendre être une personne connue de la victime, qui appelle dans des circonstances inhabituelles.
• Un sentiment d'urgence et de peur : L'appelant peut laisser entendre ou menacer de conséquences négatives si une certaine action n'est pas entreprise rapidement. Il peut s'agir d'une sanction - comme la crainte d'une arrestation si une dette fiscale n'est pas réglée immédiatement - ou de la perte d'une opportunité - comme l'impossibilité de gagner à la loterie si les informations personnelles ne sont pas communiquées immédiatement.
• Une demande d'informations : L'appelant demande des informations personnelles ou sensibles, telles que le nom complet, l'adresse, la date de naissance, le numéro de passeport ou les détails de la carte de crédit. L'attaquant peut déjà posséder certaines de ces informations et chercher à les compléter ou à les vérifier.
• Un élément d'actualité : Les attaques par hameçonnage sont souvent liées à des événements d'actualité. Par exemple, au début de la pandémie de Covid-19, des attaquants ont appelé des employés qui venaient de commencer à travailler à domicile et ont prétendu être des membres de leur département informatique. Ils leur demandaient des noms d'utilisateur et des mots de passe afin de pouvoir leur donner accès aux applications et aux données de l'entreprise. Ces attaques ont eu lieu au niveau international et ont impliqué diverses organisations. Des agences gouvernementales et des ONG ont été ciblées, ainsi que des entreprises de fabrication, des développeurs de logiciels et des compagnies aériennes.

Comment ne pas être victime de vishing

Les particuliers peuvent suivre un certain nombre de pratiques pour se protéger du phishing. Il s'agit notamment de :

• Méfiez-vous des personnes qui vous demandent de l'argent ou des informations sensibles par téléphone : (qu'il s'agisse d'informations personnelles ou d'informations sur une organisation dont le destinataire fait partie). La plupart des autorités ne demanderaient pas de telles informations par téléphone.
• Être conscient des possibilités techniques d'établir une fausse identité dans les appels téléphoniques : Il n'est pas difficile de falsifier des numéros de téléphone ou d'utiliser un numéro régional spécifique en utilisant la technologie VoIP . C'est pourquoi il ne faut pas se fier aux appels entrants basés sur l'identification de l'appelant ou les numéros régionaux.
• Se méfier de l'urgence : Il est sage de ne pas faire confiance à toute personne qui semble créer un sentiment d'urgence ou qui encourage une action immédiate. Au contraire, restez calme et réfléchissez aux conséquences possibles.
• Ne pas faire implicitement confiance à l'identité de l'appelant : Il est important de vérifier l'identité de l'appelant en recherchant un numéro de téléphone public de l'entreprise et en l'appelant. Si l'appelant fournit un numéro de rappel, il ne faut pas l'utiliser car il pourrait faire partie de l'escroquerie. Si l'appelant prétend être un ami ou un membre de la famille, contactez cette personne par d'autres moyens de communication ou contactez des relations mutuelles pour vérifier cette affirmation.

Comment protéger une organisation contre les attaques par vishing

Il existe plusieurs mesures que les entreprises peuvent prendre sur les plans culturel et technologique pour se protéger des attaques par vishing.

Éducation : Il est important d'informer les employés des tendances actuelles en matière d'hameçonnage ainsi que de leurs caractéristiques générales. Ainsi, les employés seront en mesure de repérer les attaques en fonction de leur connaissance d'un scénario spécifique, ou de faire preuve de prudence s'ils sentent que des caractéristiques des attaques par hameçonnage vocal sont présentes. Il est également utile que les dirigeants rappellent à leurs employés les cas dans lesquels ils les contacteront ou non. Par exemple, un PDG (CEO) n'appellera pas ses employés pour leur demander des informations privées ou pour effectuer un virement bancaire. Aussi évident que cela puisse paraître, il est bon que le PDG (CEO) le rappelle régulièrement.

Culture : Les organisations doivent s'efforcer de faire en sorte que leurs employés se sentent à l'aise pour signaler qu'ils ont été victimes d'une attaque par vishing. Idéalement, elles doivent mettre en place une procédure pour de tels cas, s'assurer que le personnel en est informé et créer un climat de confiance dans lequel les employés ne craindront pas de répercussions s'ils signalent rapidement les incidents.

Technologie : Les attaques par hameçonnage qui ont lieu lors d'appels téléphoniques sont plus difficiles à détecter et à empêcher que les attaques par courrier électronique. Toutefois, certaines mesures peuvent être prises pour limiter les dégâts et assurer un suivi.

• Authentification multifactorielle : Si deux facteurs de vérification ou plus sont nécessaires pour accéder aux systèmes et informations internes, il sera difficile pour les attaquants d'y accéder simplement en volant les identifiants de connexion par téléphone.
• Principe du moindre privilège : si un collaborateur est victime d'une attaque de vishing (phishing vocal) et que son appareil est compromis, assurez-vous que les dégâts soient aussi minimes que possible. Veillez à ce que vos collaborateurs n'aient accès qu'aux systèmes et aux informations dont ils ont besoin dans le cadre de leur rôle. Une technologie d'accès réseau Zero Trust, comme celle proposée par les services Zero Trust de Cloudflare, peut vous aider à gérer les accès.
• Journaux d'accès : Il est important de mettre en place des systèmes qui détectent et surveillent les activités inhabituelles. La technologie Zero Trust aide les organisations à faire cela également.
• Utiliser la sécurité du courrier électronique comme un capteur : Les attaquants utilisent généralement plusieurs formes d'ingénierie sociale en même temps. En utilisant la technologie de sécurité de la messagerie de Cloudflare , les tentatives d'email-phishing seront stoppées et l'organisation sera alertée en cas d'augmentation des tentatives. Une augmentation de l'email-phishing implique souvent une augmentation du voice-phishing.