Le phishing revient à ses origines

Comment les escrocs utilisent les appels vocaux à des fins d’hameçonnage.

Entre l’assistance technique qui demande à avoir accès à votre ordinateur, les spécialistes des services fiscaux « préoccupés » qui vous demandent de payer, les fournisseurs d’équipements médicaux qui disent « vous rappeler » etc. (aucun d’entre eux n’est légitime), ce n’est pas étonnant que plus personne ne veuille répondre aux appels téléphoniques. Vous aurez du mal à trouver quelqu’un qui n’a pas déjà vécu une sorte d’arnaque téléphonique que l’on appelle vishing, un nom assez inconnu malgré la popularité de ce genre d’arnaque.

Qu’est-ce que le vishing ?

Le mot « vishing » est la combinaison de « voix » et de « phishing » (comme le mot « smishing » est la combinaison entre SMS et phishing). Depuis la généralisation du télétravail, le téléphone est devenu la principale arme utilisée pour arnaquer les gens et à tel point que les forces de l’ordre publient désormais régulièrement des annonces officielles prévenant du danger.

Selon des données relevées par la Federal Trade Commission des États-Unis en 2019, seulement 6 % des arnaques téléphoniques ont occasionné des pertes financières dont les conséquences ne sont pas des moindres : elles engendraient une perte moyenne de 960 dollars.

N’importe qui peut tomber dans le piège des escrocs, même des experts qui pensent avoir déjà tout vu, et beaucoup de fraudeurs arrivent même à gagner la confiance des cibles les plus vigilantes.

D’un côté, le vishing est plus traditionnel que l’hameçonnage ordinaire car le téléphone est un moyen de communication plus ancien. D’un autre côté, les fuites massives de données de l’ère numérique ont donné un nouveau pouvoir aux arnaques téléphoniques : aucun escroc n’a jamais possédé une si grande quantité d’informations sur la casi totalité des habitants de la planète. L’expansion de la voix sur IP (VoIP) joue en faveur des cybercriminels et leur permet de se servir des numéros de téléphone et de couvrir leurs traces.

Les différents types d’arnaques téléphoniques

Les escrocs peuvent dire à peu près tout et n’importe quoi lors d’un appel téléphonique mais certaines catégories d’arnaques sont plus fréquentes.

Le télémarketing

La fraude par télémarketing suppose généralement des offres trop alléchantes pour être vraies et sont accompagnées d’une limite de temps. Il peut par exemple s’agir d’un ticket de loterie gagnant (jackpot si vous n’avez même pas acheté de billet), une carte de crédit avec un taux d’intérêt faible et d’autres offres lucratives qu’il est difficile de refuser. Le point commun pour toutes ces offres c’est qu’il faut prendre une décision sur-le-champ en plus de dépenser une petite somme.

Si vous avez le temps de repenser à l’offre, vous verrez l’arnaque arriver de loin. Si vous faites le paiement demandé, il ira tout droit entre les mains des escrocs : vous les aurez littéralement récompensés pour leur crime et vous les encouragez à utiliser les numéros de téléphones fuités afin d’appeler et d’escroquer des milliers de gens en plus.

Les organismes publics

L’une des techniques les plus utilisées se sert du prétexte d’impôts supposément impayés ou partiellement payés. Un « bureau des impôts » appelle la cible et lui propose soit de payer les arriérés, soit de prendre une amende. Mais l’offre a une date d’expiration très proche et si elle n’est pas respectée, le montant de l’amende augmentera.

Ici encore, le fait de rajouter une pression temporelle fonctionne plutôt bien. S’il a assez de temps pour réfléchir sur comment les services fiscaux communiquent avec les citoyens sans parler des échéances, un citoyen lambda pourrait sans doute se rendre compte qu’il s’agit d’un appel frauduleux. Cependant, comme ce dernier est confronté à une restriction de temps et à un organisme public semble-t-il connu pour sa sévérité, la balance penche en faveur des escrocs.

L’assistance technique

En ce qui concerne les appels téléphoniques non sollicités d’assistance technique, les escrocs choisissent des grandes marques connues afin d’avoir plus de chance de tomber sur un vrai client. L’auteur de l’appel prétend alors avoir trouvé un problème avec l’ordinateur de la victime et lui demande ses identifiants de connexion ou d’autoriser l’accès à distance.

Il existe une autre technique légèrement plus sophistiquée qui nécessite une certaine préparation et qui consiste à infecter l’ordinateur de la victime avec, par exemple, un malware qui ouvre une fenêtre contextuelle contenant la description du prétendu problème ainsi qu’un numéro de téléphone à appeler pour régler l’incident.

Les banques

L’objet ultime de toute arnaque est l’argent, donc ce n’est pas surprenant que certains escrocs se fassent passer pour des banques. En règle générale, ils prétendent appeler suite à une activité suspecte détectée sur le compte de la victime, ce qui leur permet en réalité de demander des détails sans éveiller les soupçons, tels que le code CVC/CVV ou bien le mot de passe à usage unique reçu par SMS. À l’aide de toutes ces informations, le faux employé de banque peut facilement vider le compte pour de vrai.

Comment reconnaître les arnaques téléphoniques

Nous ne pouvons pas ignorer le fait que les escrocs, toujours à la recherche de nouveaux moyens plus convaincants pour escroquer les gens, pourraient apprendre de toutes les escroqueries déjà survenues. Cependant, la plupart des arnaques présentent au moins un ou plusieurs signes avant-coureurs :

  • Si vous recevez un appel de la banque ou d’un organisme gouvernemental et que le numéro est celui d’un téléphone portable, il s’agit très probablement de vishing, et encore plus si le numéro de téléphone provient d’une autre région. Cependant, un numéro de téléphone d’apparence officielle ne signifie pas qu’il s’agit d’un appel légitime. En effet, les nouvelles technologies permettent l’usurpation du numéro de téléphone.
  • Si l’appelant essaie de vous soutirer des informations confidentielles, et surtout d’une manière quelque peu menaçante, il s’agit là d’une preuve de tentative de vishing. En règle générale, lorsqu’on essaie de soutirer des informations confidentielles, c’est qu’il s’agit d’une fraude car une vraie banque ou un bureau des impôts possède généralement toutes les informations dont ils ont besoin à propos de vous. Souvenez-vous, nous parlons de communication : ils ont appelé, et pas
  • Si on vous demande de réaliser une transaction financière dans un délai imparti, il s’agit définitivement d’une arnaque.
  • Si l’appelant tente de vous faire installer un logiciel sur votre ordinateur afin de régler un certain problème qui est la raison de son appel, c’est mauvais signe.

Enfin, si l’appelant est confus, s’exprime mal, est hostile ou utilise un langage familier, ce signe quelque peu implicite mais tout à fait fiable prouve qu’il s’agit de vishing. Nous n’avons bien entendu rien contre le langage courant, mais les vrais opérateurs sont généralement formés pour utiliser un langage professionnel.

Comment vous protéger contre les arnaques téléphoniques

Si vous reconnaissez au moins un de ces signaux d’alarme, il vaut mieux couper court à la conversation. Contactez ensuite la vraie entreprise ou l’organisme qui vient supposément de vous appeler pour signaler l’incident. Plus ils ont d’informations, plus ils auront de chances de retrouver les escrocs ou au moins de leur rendre la tâche plus difficile. Cherchez le numéro de l’assistance technique ou du service après-vente en vous rendant par exemple sur le site Web officiel.

De plus, n’installez surtout pas les programmes d’accès à distance, peu importe à quel point l’appelant est convaincant, et utilisez une solution de sécurité fiable capable de détecter les applications malveillantes à temps et de vous en avertir.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.