Qu'est-ce que l'hameçonnage ? Définition, méthodes et meilleures pratiques de prévention

Qu'est-ce que l'hameçonnage ?

L'hameçonnage est défini comme une attaque de cybersécurité dans laquelle une entité malveillante contacte la victime par téléphone et tente de gagner sa confiance par des pratiques d'ingénierie sociale afin d'obtenir des données confidentielles, de soutirer des fonds ou de nuire d'une autre manière à la personne.

Il s'agit essentiellement d'un type d'attaque par hameçonnage réalisée par le biais des médias vocaux, d'où le nom d'attaque par hameçonnage (vishing).

Mécanisme d'attaque par hameçonnage

Le vishing prend généralement la forme d'un appel téléphonique urgent ou inquiétant. Par exemple, l'appelant peut prétendre que le compte de la victime a été piraté et qu'il a besoin d'un code PIN pour valider son identité ou rouvrir le compte.

Ils peuvent également prétendre appeler au nom d'une agence gouvernementale, comme l'Internal Revenue Service (IRS) ou l'Administration de la sécurité sociale. Ils peuvent même insister sur le fait que la victime doit de l'argent ou qu'elle a gagné un concours.

Il s'agit dans tous les cas de "vishing" (expression qui mélange "voix" et "phishing" pour désigner une escroquerie par téléphone). L'hameçonnage est un terme utilisé pour décrire toute tentative des cybercriminels pour inciter les gens à leur remettre de l'argent, des données personnelles ou des informations secrètes. De même, le courrier électronique et les systèmes de messages courts ou textuels ("smishing") peuvent également être utilisés pour commettre des fraudes.

L'hameçonnage est une forme de cybercriminalité dans laquelle les criminels utilisent les téléphones de leurs victimes pour leur soutirer des informations qui pourraient nuire à la personne ou profiter à l'auteur du délit d'une manière ou d'une autre.

Les cyber-escrocs utilisent des techniques sophistiquées d'ingénierie sociale pour convaincre les victimes de fournir des données personnelles, voire l'accès à des comptes bancaires ou à des secrets commerciaux. Comme le smishing et le phishing, le vishing vise à persuader les victimes qu'accéder aux demandes de l'appelant est la bonne réponse. Les appelants se font souvent passer pour des autorités gouvernementales, l'administration fiscale, l'institution financière de la victime ou la police.

Le succès de cette tactique dépend d'une ingénierie sociale efficace, c'est-à-dire de l'exploitation de la psychologie d'une personne pour créer un effet convaincant. Les auteurs d'hameçonnage utilisent des menaces ou une persuasion positive pour faire croire aux victimes qu'elles doivent fournir les informations demandées. Les victimes peuvent également recevoir des messages vocaux menaçants leur indiquant qu'elles risquent d'être poursuivies ou de voir leurs comptes bancaires gelés si elles ne rappellent pas correctement.

Comment fonctionne le vishing ?

Les auteurs de phishing utilisent souvent l'usurpation de l'identité de l'appelant pour faire croire aux victimes qu'un appel téléphonique provient d'une entreprise de confiance ou d'un code de quartier local.

Ils agissent souvent comme des entités de confiance pour inciter les victimes à partager leurs données. Par exemple, ils peuvent se faire passer pour un cadre d'une banque ou d'une agence de cartes de crédit, un créancier ou un agent du fisc. Ces fraudeurs créent un sentiment d'urgence lorsque la victime répond au téléphone afin d'exploiter ses sentiments et de la forcer à répondre aux demandes.

L'hameçonnage peut prendre de nombreuses formes, mais l'objectif est toujours le même : inciter la victime à révéler des informations personnelles, soit pour obtenir un gain monétaire, soit pour commettre d'autres délits, tels que le vol d'identité.

L'une des raisons pour lesquelles ces attaques peuvent être convaincantes est que les fraudeurs peuvent utiliser des informations personnelles obtenues à partir d'autres sources pour faire passer les tentatives de vishing pour légitimes.

Les types de vishing les plus courants

1. la numérotation de guerre

2. Attaques basées sur la VoIP

3. usurpation de l'identité de l'appelant

4. Récupération des déchets dans les conteneurs

1. la numérotation de guerre

Le Wardialing utilise différents types de technologies pour composer automatiquement un grand nombre de numéros de téléphone en succession rapide, généralement pour découvrir des failles dans la sécurité et l'infrastructure informatique.

Les pirates utilisent souvent des outils de recherche de modems non sécurisés, parfois appelés "wardialers" ou "demon dialers". Cela prend très peu de temps

de le faire si l'escroc trouve la liste des numéros connectés aux modems.

2. Attaques basées sur la VoIP

Le transfert de la voix et du contenu multimédia par le biais d'une connexion Internet est connu sous le nom de Voix sur IP (VoIP). Les utilisateurs peuvent passer des appels vocaux à l'aide de la VoIP via leurs ordinateurs, leurs smartphones, d'autres plateformes numériques telles que les téléphones VoIP et les sites compatibles avec la communication en temps réel sur le web (WebRTC).

La VoIP est une technologie bénéfique tant pour les particuliers que pour les entreprises, car elle offre souvent des possibilités supplémentaires que les systèmes téléphoniques traditionnels n'offrent pas. Elle est également utile pour les entreprises en tant que moyen d'unifier les communications.

Malheureusement, la VoIP peut être exploitée par des individus frauduleux pour lancer des attaques par hameçonnage. L'attaquant enregistre un domaine et crée des pages de phishing qui ressemblent à la page de connexion au réseau de l'organisation. Ainsi, les appels VoIP initiés par l'acteur de la menace semblent provenir du même réseau. En outre, étant donné que la VoIP nécessite souvent une authentification à plusieurs facteurs, l'appelant peut demander à la victime de visiter la page frauduleuse et de communiquer ses coordonnées.

3. usurpation de l'identité de l'appelant

Il y a usurpation d'identité lorsqu'un appelant falsifie délibérément les informations envoyées à l'écran d'appel entrant afin de dissimuler son identité. Les fraudeurs utilisent souvent la technique du "spoofing neighbour" pour faire croire que l'appelant provient d'un numéro local ou pour usurper l'identité d'une entreprise ou d'une institution gouvernementale en laquelle la victime a déjà confiance.

Si l'appel est pris, l'attaquant tente de voler des fonds ou des données critiques, qui peuvent être utilisés dans le cadre d'activités frauduleuses. Les scripts d'escroquerie sont un élément important des attaques par usurpation de l'identité de l'appelant, car ils renforcent la croyance que l'appelant est légitime.

4. Récupération des déchets dans les conteneurs

Fouiller dans les poubelles - physiques et numériques - des banques, des entreprises et d'autres institutions est un moyen facile et populaire de collecter les coordonnées des victimes de vishing.

Les criminels peuvent rassembler suffisamment d'informations à partir de documents déchiquetés, de périphériques de stockage jetés, de vieux calendriers, de photocopies, etc. pour mener une attaque de spear-phishing ciblée sur un sujet donné.

Prévenir les attaques de phishing : huit bonnes pratiques pour 2022

Une fois qu'une personne est victime d'une attaque de vishing, il est difficile d'en annuler les effets et de recouvrer les dommages. Même si les forces de l'ordre identifient le coupable, il est difficile d'obtenir réparation. C'est pourquoi il est essentiel de prendre des mesures proactives pour prévenir les attaques par hameçonnage en suivant ces bonnes pratiques :

Bonnes pratiques pour éviter le vishing

1. disposer d'une connexion VPN

Un réseau privé virtuel (VPN) protège les informations échangées sur l'internet et empêche les fraudeurs de s'emparer de vos coordonnées.

Le VPN crypte le trafic réseau et l'envoie à travers un tunnel sécurisé avant d'atteindre un serveur VPN qui masque son adresse IP. Par conséquent, les acteurs de la menace ne connaîtront pas votre emplacement, ce qui rendra difficile l'exécution d'attaques d'ingénierie sociale. La victime visée peut simplement demander à l'appelant où il se trouve pour vérifier si l'appel est légitime.

2. Soyez à l'affût des appels "urgents". 

Lorsqu'un appelant crée un sentiment d'urgence, vous devez le considérer comme un signal d'alarme. Par exemple, les vishers peuvent essayer de convaincre la victime qu'il pourrait y avoir des conséquences négatives si elle ne communique pas immédiatement ses coordonnées bancaires ou ne paie pas une facture impayée.

Vous pouvez raccrocher ou demander les coordonnées de l'appelant et lui dire que vous le rappellerez plus tard. S'il s'agit d'une escroquerie, l'appelant exercera généralement plus de pression ou raccrochera.

3. Utiliser des outils de blocage de robocalls 

Les outils de blocage des robocalls, communément appelés filtres d'appel, sont des programmes informatiques qui détectent les appels automatisés. Si une entité tierce a utilisé des techniques de wardialing, le bloqueur de robocall l'identifiera et le bloquera immédiatement.

4. Mettre en œuvre des processus internes

Qui décroche le téléphone lorsque le numéro général de l'organisation sonne ? Ce téléphone pourrait-il facilement se retrouver entre les mains du mauvais employé ?

Le fait de passer le téléphone d'un utilisateur à l'autre peut créer une certaine confusion et amener les employés de l'organisation à ne plus savoir qui est à l'autre bout du fil.

L'embauche d'un réceptionniste spécialisé pour filtrer le mauvais du bon peut s'avérer utile en cas de besoin et garantir que tous les employés vérifient qui appelle lorsqu'ils passent un appel à quelqu'un d'autre.

Une autre option consiste à créer une procédure dans laquelle le destinataire confirme avec le "demandeur" directement par un autre canal officiel avant de lui passer le téléphone.

5. S'assurer que tous les appareils disposent d'une authentification multifactorielle.

L'utilisation de mots de passe hautement sécurisés est une bonne chose, mais l'authentification multifactorielle fournit des couches de sécurité supplémentaires qui garantissent que votre compte ne peut pas être compromis par un seul mot de passe.

Google a annoncé que l'authentification multifactorielle sera obligatoire pour 150 millions d'utilisateurs d'ici 2021 afin de fournir une couche de sécurité renforcée contre les menaces et de réduire ainsi le nombre de comptes compromis de 50%.

Conclusion

L'hameçonnage n'est peut-être pas une préoccupation majeure pour votre organisation, mais il devrait l'être. Quelle que soit l'intelligence ou la compétence de votre entreprise et de vos collègues, les tactiques d'ingénierie sociale sont suffisamment puissantes pour prendre n'importe qui au dépourvu.

Maintenant que vous savez ce qu'est le vishing, il est important que vous partagiez ces informations avec vos employés.

Faites-leur savoir que le fait d'interroger l'appelant et de vérifier les informations auprès d'une personne par les voies officielles peut faire la différence entre des données sécurisées et le risque d'un cyberincident ou d'une violation de données.