En ce moment

Vishing : une escroquerie au bout du fil

Posté le 16 juin 2022
par Philippe RICHARD
dans Informatique et Numérique

Pas la peine d’être un crack en piratage informatique pour escroquer des personnes. Des emails usurpant une entreprise ou une administration sont très efficaces. C’est le principe du phishing. Dernière variante, la version vocale.

L’imagination des escrocs ne semble pas avoir de limites ! Ils profitent de chaque nouveauté pour augmenter leurs chances d’attraper plus de victimes. Dernière technique utilisée : le vishing ou l’hameçonnage vocal.

Les attaques par hameçonnage vocal (vishing ou Voice phishing) ont augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel d’Agari et de PhishLabs, du groupe HelpSystems.

C’est une variante du phishing, ces emails usurpant l’identité d’une entreprise, d’une administration ou d’un organisme officiel. Début avril, l’Assurance Maladie a mis en garde les assurés sociaux contre des appels téléphoniques frauduleux et contre l’envoi de courriels et de SMS frauduleux.

Les appels téléphoniques frauduleux peuvent prendre plusieurs formes. La plus connue consiste à vous démarcher pour vous proposer des rénovations à 1 euro ou vous vendre des formations bidons sous prétexte de l’expiration de votre solde DIF (Droit individuel à la formation).

WhatsApp : des pièges dans des notifications

Le mot « vishing » vient de « voice » (voix) et de « phishing » (hameçonnage), ce qui suggère qu’un fraudeur tend un hameçon ou un appât pour amener des victimes peu méfiantes à révéler des noms d’utilisateur, des mots de passe ou des données de carte de crédit, ou à télécharger des logiciels malveillants sur leurs appareils.

Cette arnaque téléphonique utilise tous les canaux possibles. Récemment, des escrocs ont commencé à utiliser WhatsApp. En 2013, ce service a introduit la fonction de messagerie vocale permettant aux utilisateurs d’envoyer et de recevoir des notes vocales de leurs contacts.

Récemment, cette fonction a été mise à jour pour permettre aux utilisateurs d’envoyer et de recevoir des messages privés dans les discussions de groupe. Lorsque quelqu’un vous envoie un message privé, vous recevez une notification par email concernant le message de la note vocale et la note vocale intégrée.

Les cybercriminels ont utilisé cette fonctionnalité en se déguisant en notification officielle de WhatsApp. Ils envoyaient ensuite un email à partir d’un compte officiel piraté et dans lequel un lien « autoriser la notification du navigateur » vous permet d’écouter directement la note vocale.

Il n’y a jamais d’urgence à communiquer des données personnelles

À partir de ce moment-là, vous recevrez des notifications pour des sites et des publicités pour adultes. En cliquant sur ce lien, vous pouvez aussi déclencher l’infection d’un ordinateur. Un logiciel malveillant va pouvoir récupérer vos données personnelles stockées sur le disque dur.

D’autres escrocs se servent d’un numéro de rappel inséré dans le corps de l’email pour inciter la victime à appeler et à interagir avec un faux représentant d’une entreprise ou d‘une administration.

Le point commun n’est pas toujours une situation négative. Parfois, l’urgence vient de l’excitation de gagner potentiellement de l’argent, des cadeaux ou des voyages. Malheureusement, tout est faux. L’escroc ne cherche qu’à obtenir des informations personnelles, des détails sur vos comptes financiers, des informations médicales ou d’autres données sensibles.

Face à la multiplication de ce type d’attaque, il est recommandé d’être très vigilant. Au lieu de cliquer sur les liens intégrés dans les emails, il est toujours préférable de vérifier directement les messages sur l’application. Si vous n’avez pas reçu le message sur WhatsApp, il y a de fortes chances que l’email contenant la notification soit douteux.

Enfin, ne donnez pas les détails de votre compte bancaire. Même si vous recevez une notification ou un email qui semble provenir de votre banque, ne révélez pas vos coordonnées bancaires, n’appelez pas le numéro indiqué et ne cliquez pas sur le lien. Aucun organisme financier ne demande vos coordonnées bancaires ou votre code de carte bancaire. En cas de doute, il faut toujours appeler votre interlocuteur en trouvant ses coordonnées dans votre contrat ou sur internet.


Pour aller plus loin