Qu'est-ce que le vishing ?

C'est un scénario courant. Une personne se rend sur une plate-forme de réseaux sociaux et clique sur un lien attractif. Seulement, un écran bleu apparaît avec un message d'avertissement indiquant le numéro gratuit à appeler pour réparer un grave problème d'ordinateur.

Un technicien sympathique répond au téléphone, plus que disposé à vous aider, mais pour un certain prix. Après avoir transmis les informations de carte de crédit pour payer le logiciel afin de résoudre le problème de l'ordinateur, l'arnaque est terminée et la victime paie le prix fort.

Le logiciel ne fonctionne pas et le technicien serviable disparaît. Vous ne parviendrez plus à le joindre. L'utilisateur est devenu la nouvelle victime d'une pratique malveillante appelée « vishing » (hameçonnage par téléphone).

Le vishing en résumé

Nous avons presque tous déjà entendu parler de « phishing ». Le phishing consiste à inciter les destinataires de l'email ou du SMS à cliquer sur des liens menant vers des fichiers ou des sites Web qui hébergent des programmes malveillants. Les liens peuvent également apparaître dans les annonces en ligne qui ciblent les consommateurs.

Le vishing se sert d'arnaques vocales pour conduire les gens à faire des choses qu'ils pensent être dans leur intérêt. Il prend souvent le relais du phishing.

Dans l'exemple ci-dessus, la victime a cliqué sur un lien pour une publicité en ligne liée à ses centres d'intérêt. Le programme malveillant intégré dans le lien a déclenché un blocage que seul le « technicien » serviable au bout du fil peut résoudre. La victime devra régler une certaine somme d'argent pour remédier au problème. Bien sûr, c'était une supercherie. La « société » du technicien était la source réelle du problème.

Dans quelle mesure le vishing est-il répandu ?

La fraude par carte de crédit en 2015 a coûté 16 milliards de dollars aux entreprises à l'échelle mondiale. Le vishing a atteint 1 milliard de dollars, selon la BBC. Concrètement, le vishing peut survenir dès que les auteurs de l'arnaque accèdent aux renseignements personnels des victimes.

Les cybercriminels créent délibérément des conditions visant à pousser des victimes peu méfiantes à céder volontairement de précieuses informations personnelles, telles que leur nom, prénom, adresse, numéros de téléphone et numéro de carte de crédit.

Grâce à ces informations, les cybercriminels peuvent initier de nombreuses opérations frauduleuses, en commençant par de faux frais pour la réparation d'un ordinateur ou un logiciel antivirus, selon l'arnaque.

Le vishing prospère lorsque les cybercriminels ont un minimum d'informations concernant les intérêts de l'utilisateur. Ils exploitent ces connaissances pour créer un sentiment d'urgence impliquant un problème chez la victime, puis ils interviennent pour lui sauver la mise en proposant une solution simple et en se montrant apaisants.

Comment reconnaître le vishing

Il est parfois difficile pour les personnes de savoir quand elles sont victimes de vishing. Les victimes se rendent souvent compte que la personne serviable au bout du fil est en train de les arnaquer qu'après avoir partagé leurs informations d'identification. Toutefois, il existe certains signes d'avertissement qui peuvent aider à détecter les fraudes potentielles.

Dans de nombreux cas, les appelants se désignent comme des spécialistes ou autorités dans leur domaine. Ils peuvent se présenter comme des techniciens en informatique, des banquiers, des agents de police, ou même comme des victimes.

Cependant, si ces appelants sont légitimes, authentifier leur affiliation professionnelle grâce à un simple appel téléphonique ne doit pas poser problème. S'ils ne peuvent pas, ou ne veulent pas fournir les informations nécessaires pour vérifier leur identité, ils ne sont pas dignes de confiance. S'ils fournissent des coordonnées, il est quand même important de vérifier leur légitimité de façon indépendante en utilisant un numéro de téléphone public officiel pour appeler l'organisation en question.

Même s'il est tentant de céder sous la pression, un sentiment d'urgence et de panique est un grand signal d'alerte. Les utilisateurs doivent prendre plusieurs grandes respirations, puis noter toute information que la personne fournit lors de l'appel, sans partager eux-mêmes des informations personnelles. Là encore, ils peuvent accéder à des sources tierces afin de trouver un numéro de téléphone public à appeler pour procéder à une vérification.

Les destinataires de ces appels ne doivent pas non plus cliquer sur les liens dans les emails (phishing) ou dans les SMS envoyés sur des téléphones mobiles (phishing par SMS) que la personne au téléphone peut envoyer. Toute correspondance est susceptible de contenir des « pièges » qui conduiront au téléchargement de programmes malveillants qui pourraient prendre le contrôle de systèmes informatiques, voler des informations d'identification de l'utilisateur et même épier les utilisateurs.

Si les consommateurs reçoivent des appels non sollicités d'une personne souhaitant proposer n'importe quel type de service informatique, ils ne doivent pas essayer de rappeler en utilisant le même téléphone que celui sur lequel ils ont reçu l'appel.

Il existe désormais une technologie téléphonique qui bloque la ligne téléphonique de la victime après qu'elle a raccroché et redirige ses prochains appels vers l'appelant frauduleux. Ceux qui pensent qu'il s'agit d'un problème authentique doivent utiliser un autre téléphone pour appeler un numéro reconnu publiquement.

Signaler le délit

Un véritable technicien qui intervient pour sauver un ordinateur après un incident impliquant un programme malveillant recommande vivement aux consommateurs de changer les mots de passe des comptes, de prévenir leur banque et leur société de cartes de crédit et de surveiller de près les transactions financières. Consumers in the U.S. Vous pouvez signaler ces escroqueries sur la plateforme "PHAROS" (pour "plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements"). Elle est accessible sur le site www.internet-signalement.gouv.fr.

Même si le vishing et son cousin en ligne, le phishing, ne sont pas près de disparaître, faire preuve de vigilance et d'une forte dose de scepticisme peut aider à réduire le risque de perte découlant de ce type d'escroqueries.

Articles connexes :

• Qu'est-ce qu'un adware?
• Qu'est-ce qu'un cheval de Troie?
• Faits et FAQ sur les virus informatiques et les programmes malveillants
• Courriers indésirables et phishing

Produits associés :

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android