Qu’est-ce que le vishing ? Vishing. Oui, vous avez bien lu. Pas de faute d’orthographe ici, mais une cyberattaque de plus en plus répandue dans le monde entier. De grandes entreprises comme Cisco et Twilio ont ainsi récemment fait les gros titres après s’être faits piéger, mais le vishing peut en réalité toucher n’importe quelle entreprise. Par chance, les organisations ont musclé leurs mesures de cybersécurité et adapté leurs formations pour se prémunir de cette menace émergente.
Dans cet article, vous allez découvrir les bases du vishing, la différence entre vishing et phishing, mais surtout, les mesures que peut prendre votre organisation pour repérer ces attaques et les neutraliser.
Qu’est-ce qu’une attaque de vishing ?
Le vishing est une forme de phishing dont le vecteur d’attaque n’est pas l’email, mais l’appel téléphonique. Lors d’une attaque de vishing, des hackers appellent leur victime et se font passer pour les représentants d’une organisation, généralement une entreprise de services financiers ou une administration. Ils utilisent ensuite des techniques d’ingénierie sociale pour la pousser à exécuter diverses opérations, par exemple leur communiquer des identifiants ou des informations financières.
Les attaques de vishing se multiplient depuis peu
En mai 2022, Cisco a été victime d’une attaque de vishing complexe qui a abouti à la publication de données internes sur le dark web. Un scammer se faisant passer pour le représentant de diverses organisations est parvenu à tromper un employé de l’entreprise par le biais d’une attaque de phishing téléphonique et à le pousser à autoriser des demandes de MFA sur son appareil. Il a ainsi pu accéder à des informations sensibles et les diffuser sur le dark web.
Cette attaque récente n’est qu’un exemple parmi celles qui ont touché plusieurs grandes entreprises. La pandémie entraîne une généralisation du télétravail qui vient brouiller la frontière entre vie personnelle et vie professionnelle. La neutralisation des distractions et l’interception des liens et messages malveillants sont ainsi devenues plus complexes pour l’employé moyen. Bref, toutes les conditions sont réunies pour déployer des stratégies d’ingénierie sociale. Aucune mesure de cybersécurité ne permettant de protéger les réseaux de chaque utilisateur final, les membres des services informatiques n’ont qu’une capacité limitée à faire face aux attaques de vishing.
Les entreprises doivent par conséquent se montrer proactives en formant leurs employés aux bonnes pratiques de cyberhygiène et à la détection des indices pouvant trahir une tentative de vishing.
Quels sont les points communs entre phishing et vishing ?
Le vishing est en réalité une forme de phishing, à savoir une menace qui essaie de duper un utilisateur en se faisant passer pour une marque bien connue. Le phishing et le vishing partagent de nombreuses techniques communes, comme l’instillation d’un sentiment d’urgence afin de pousser leurs victimes à réaliser une action risquée. Au final, ces deux menaces ont le même objectif : mettre la main sur des informations ou des comptes à des fins malveillantes. Comme le phishing, le vishing coûte cher à de nombreuses organisations.
Si ces deux cyberattaques reposent sur des tactiques d’ingénierie sociale pour pousser leurs victimes à se sentir faussement en sécurité, elles présentent une différence fondamentale : leur vecteur. En effet, les attaques de phishing s’appuient sur l’email pour tromper les utilisateurs, quand les attaques de vishing utilisent le téléphone. Néanmoins, les hackers peuvent aussi avoir recours à ces deux types d’attaques en parallèle pour arriver à leurs fins.
C’est exactement ainsi que fonctionne BazaCall, une cyberattaque qui commence par un email de phishing encourageant l’utilisateur à appeler un numéro administré par le hacker. Si la victime appelle ce numéro, l’attaque de vishing est lancée, avec pour objectif le téléchargement par la victime d’un malware. Les statistiques suggèrent que ces attaques hybrides sont les plus dangereuses pour les organisations. Les tentatives de phishing seraient en effet 3 fois plus efficaces une fois associées avec un appel téléphonique.
Ainsi, le phishing et le vishing peuvent être considérés comme relevant de l’ingénierie sociale. Toutes deux comptent parmi les techniques les plus courantes et efficaces de ce type.
Modalités habituelles des attaques de vishing
Si vous connaissez peut-être déjà les types d’attaques les plus fréquents, certaines formes de vishing vous sont peut-être inconnues. Voyons les principaux types de déploiement de ces attaques pour que vous sachiez comment les repérer.
Attaque contre le protocole VoIP (Voice over Internet Protocol)
Avec la pandémie, l’utilisation du protocole VoIP a explosé, car il permet de passer des appels téléphoniques via Internet. Bien entendu, la multiplication de ces appels basés sur Internet est du pain béni pour les hackers qui souhaitent lancer des attaques de vishing. Ils peuvent en effet créer des numéros de téléphone très proches de numéros légitimes et considérés comme fiables par les utilisateurs des systèmes de VoIP.
Une fois qu’un utilisateur lui répond, le hacker fait appel à des techniques d’ingénierie sociale pour le convaincre de lui communiquer ses identifiants, de vérifier son identité sur un site malveillant ou de révéler des informations sensibles concernant son entreprise. Les auteurs d’attaques VoIP se font souvent passer pour des représentants d’administrations publiques ou des autorités judiciaires, deux entités qui ne peuvent généralement pas être ignorées, inspirent confiance, et poussent à agir rapidement.
Arnaque à la banque
Dans ce type d’attaque de vishing, un acteur malveillant se fait passer pour le représentant d’une banque et explique à sa victime que son compte présente un problème. Le hacker peut par exemple affirmer que les fonds doivent être transférés vers un autre compte ou que les identifiants du client sont nécessaires pour résoudre la situation. Au final, son objectif est de convaincre la victime de virer des fonds vers un compte frauduleux ou de récupérer un accès direct au compte.
L’offre « trop belle pour être vraie »
Nous sommes nombreux à nous être vus proposés une offre « trop belle pour être vraie ». Qu’il s’agisse d’un hacker vous proposant de rembourser votre crédit étudiant ou de recevoir un beau chèque du gouvernement, ces offres non sollicitées ont pour but de pousser leurs destinataires à réagir sans réfléchir. Elles sont souvent conditionnées au paiement de frais ou à la communication d’informations sensibles. Une fois qu’elles se sont exécutées, les victimes comprennent bien vite les véritables intentions de leur interlocuteur.
4 mesures pour se protéger contre les attaques de vishing
Les attaques de vishing sont toujours plus nombreuses et élaborées. Près de 70 % des organisations dans le monde affirment avoir été concernées par une attaque de vishing en 2021, soit 54 % de plus qu’en 2020. Pour autant, votre organisation a les moyens de s’en défendre. Voici les actions à mettre en place :
Formez vos employés
La mesure la plus efficace contre le vishing reste une formation complète expliquant notamment comment repérer les indices trahissant fréquemment une attaque de vishing et le comportement à adopter dans une telle situation. Avec une formation de sensibilisation des utilisateurs appropriée, vous pouvez transformer le maillon faible de votre cybersécurité en point fort et limiter le risque qu’une attaque arrive à ses fins.
Faites preuve de bon sens
En vérité, le succès d’une attaque de vishing dépend de la naïveté de ses victimes. En plus de la sensibilisation, encouragez vos employés à faire preuve de bon sens et de prudence lors de leurs interactions téléphoniques. Ils ne doivent en particulier jamais divulguer d’informations confidentielles, car les banques et autres entités légitimes ne vous appelleront jamais pour vous les demander. Cela veut aussi dire qu’ils ne doivent jamais accorder le contrôle de leur ordinateur à un tiers, car un tel contrôle permet aux hackers d’installer un malware à distance ou d’accéder à des comptes sécurisés. Enfin, vous devez toujours vérifier en interne la légitimité d’une demande avant de l’honorer.
Signalez les numéros suspects
Autre mesure préventive : encouragez vos employés à signaler les appels suspects, ce qui vous permettra de les ajouter à la liste des numéros bloqués. Le blocage des appels indésirables peut empêcher les attaques de vishing d’arriver jusqu’aux employés qui, rappelons-le, sont le maillon faible de votre cybersécurité.
Adoptez des solutions de détection des menaces et de réponse basée sur l’IA
Si de nombreuses solutions offrent une protection contre les attaques de vishing à proprement parler, votre organisation doit aussi mettre en place des garde-fous pour se protéger si une attaque parvenait malgré tout à compromettre le compte d’un employé. Les acteurs malveillants peuvent utiliser des comptes compromis pour lancer des cyberattaques en plusieurs phases, notamment lancer des campagnes de phishing, envoyer des emails de spear phishing, distribuer des malwares et bien plus encore. Pour éviter d’aggraver les conséquences d’une compromission de votre organisation, vous devez adopter une technologie de détection et réponse aux menaces basée sur l’IA qui vous protégera des attaques internes et venues de l’intérieur qui suivent souvent l’usurpation d’un compte.
