Sélectionner une page

Vishing, smishing, phishing, ce sont les noms de rois viking ?

26 avril 2022 | Pilotage

vishing

Après phishing, smishing, le dernier né de la famille des arnaques à la personne est le vishing. Le point commun de ces trois termes ? la méthodologie.

Que ce soit par mail, par sms ou par appel téléphonique, la fraude de ces usurpations est la même : la personne se fait passer pour un organisme afin de vous soutirer des informations.

Phishing et boîte mail : on commence à connaître

Le mail frauduleux est maintenant monnaie courante. Il ne se passe pas un jour sans que l’on reçoive un mail nous demandant de cliquer sur un lien pour :

  • réactiver notre compte bancaire car il a été bloqué
  • gagner un bon d’achat conséquent
  • suivre son colis
  • etc (les exemples sont nombreux)

L’avantage, quand l’attaque virale est cachée dans un phishing (non valable pour un smishing ou un vishing) c’est que les boîtes mail sont maintenant bien protégées. Ce qui n’est pas le cas de nos téléphones. Sur votre boîte, le mail peut être intercepté, vous pouvez rapidement aller vérifier sur le site officiel.

Smishing : on commence à se méfier

Le smishing est un SMS frauduleux. Le concept est sensiblement le même que pour le mail. Un lien vers un site qui paraît officiel pour vous faire redonner vos coordonnées personnelles. Vous pouvez par exemple recevoir un message pour le suivi d’une commande, pour débloquer un remboursement de soins etc… Cela paraît vrai, par inadvertance, on clique et là… c’est le drame ! Le problème du smishing : il n’y a pas de moyen de le bloquer par le biais de son smartphone. Il faut donc se méfier à chaque fois qu’on vous demande de redonner vos coordonnées.

Vishing : on est encore novice

Les pirates qui utilisent le vishing, donc appel téléphonique frauduleux, tablent sur le fait que peu de personnes pensent à vérifier l’identité des appelants par téléphone. Si on reçoit un appel « officiel », on est tenté de faire ce qu’on nous demande. La fraude est surtout efficace dans les grands groupes, où vous ne connaissez pas forcément le responsable comptable (il est peut-être au siège, dans une autre entité, à un autre étage…). Trouver le nom d’une personne dans une entreprise est aisé, surtout avec les réseaux sociaux (Linked In par exemple, où vous pouvez connaître rapidement l’organisation d’une entreprise).

Quels sont les moyens de se prémunir de ce genre d’attaques à la personne ? Première règle à appliquer : quand on vous demande de faire quelque chose d’impactant, comme un virement ou divulguer des données confidentielles, demandez un mail de confirmation. D’ailleurs même s’il s’avère que la personne est vraiment celle qu’elle dit être, vous aurez tout de même besoin d’une trace écrite. Ensuite, n’hésitez pas à appeler la personne pour confirmer. Ainsi vous verrez rapidement si c’était bien elle que vous avez eu précédemment. Et si c’est une voix enregistrée qui vous demande d’appeler, ne rappelez pas !

Rappelez-vous : les fraudeurs au vishing ciblent toute information utile, sans restriction. C’est vrai qu’on a plutôt tendance à faire confiance à des appels téléphoniques : si la personne semble connaître son sujet on ne remet pas en cause sa parole ou son identité, d’où une méfiance accrue lorsqu’il s’agit de demandes impactantes.

Pour vous donner un ordre d’idée, voici les types de vishing les plus courants :

  • message enregistré demandant de rappeler
  • prétexte convaincant : créer la confiance (support informatique ou officier de police)
  • Manipulation émotionnelle : créer un sentiment d’urgence pour vous faire agir de manière imprudente (compte bancaire bloqué car activité suspecte…)
  • L’escroquerie de faux collègue : soutirer des informations sur l’entreprise (sur les contrats, liste de clients, détails de paiement, transfert d’argent…)

 

Vishing : ne soyez pas trop confiants !

Mes derniers conseils :

Attention à qui vous donnez votre numéro. Vous êtes obligé de le donner dans de plus en plus de cas, dès que vous faites une action sur internet. Une commande, une inscription, un réseau social, on vous demande votre numéro de portable. Un partage excessif, un « j’accepte les conditions d’utilisation », un vol de vos données chez un service tiers (un organisme qui s’est fait pirater ses données), et votre numéro est à la portée de personnes malveillantes.

Ces méthodes de piratage pour soutirer des informations par malversation portent un nom : Ingénierie sociale. C’est le fait d’emprunter l’identité d’une personne ou d’un service légitime pour soutirer des informations. Rappelez-vous que le premier facteur de fuite d’information est… l’humain. Il ne suffit donc pas de protéger son matériel et de le sécuriser, il faut aussi se sensibiliser.

Rétroliens/Pings

  1. Faille de sécurité : n'en faisons pas tout un fromage... - - […] se retrouvent confrontés à des attaques constantes et de plus en pernicieuses, continues… Phishing, vishing, malwares, cryptolockeurs, déni de…

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.