Vishing : définition, techniques et comment s’en protéger

^Pourquoi le Vishing est-il aussi dangereux ?

Si le vishing est si redoutable, c’est parce qu’il exploite la psychologie humaine et joue notamment sur les émotions et la pression. Contrairement aux arnaques par email ou SMS, qui laissent le temps de réfléchir, l’instantanéité d’un appel téléphonique vous force à réagir immédiatement.

Et les chiffres parlent d’eux-mêmes. Début 2023, cybermalveillance.gouv.fr signalait qu’en seulement 6 mois, plus de 1 500 victimes avaient déclaré avoir été piégées par l’arnaque au faux conseiller bancaire en France. Et ce n’est que la partie émergée de l’iceberg, car beaucoup n’osent pas porter plainte.

Mais ce n’est pas tout, et avec l’essor des IA vocales qui permettent de copier des voix de façon de plus en plus réaliste, le voice phishing a malheureusement encore de beaux jours devant lui. Entre fin 2022 et fin 2023, les incidents liés à ces arnaques téléphoniques ont ainsi augmenté de près de 260 % dans le monde.

Qui sont les cibles du Vishing ?

Pendant longtemps, les vishers se sont surtout concentrés sur les cibles peu sensibilisées aux dangers du cybercrime, comme les personnes âgées. Mais avec l’évolution de la technologie, et notamment de l’IA et du deep voice, ils peuvent désormais s’en prendre à un panel plus étendu de victimes :

• Aux seniors, moins à l’aise avec la technologie et plus enclins à faire confiance à leur interlocuteur téléphonique s’il prétend appartenir à une entité officielle.
• À certains employés pouvant être en contact direct avec leur patron, notamment dans le cadre d’arnaques au président.
• Aux particuliers, même aux plus avertis, mais que les pirates arrivent à piéger avec l’usurpation vocale.

Qui sont les entités généralement usurpées dans l'hameçonnage vocal ?

L’hameçonnage vocal implique d’usurper l’identité d’un tiers de confiance. Et parmi tous les choix qui s’offrent à eux, les escrocs ont tendance à se concentrer sur certains types d’entités :

• Les banques ou les conseillers financiers
• Les administrations publiques
• Les services clients ou techniques d’entreprises renommées, comme Amazon, PayPal, Google ou votre opérateur téléphonique
• Vos collègues ou supérieurs hiérarchiques, notamment dans le cadre de la fraude au président
• Les forces de l’ordre

Quelles sont les conséquences du Vishing ?

Plus qu’une simple arnaque téléphonique, dans les cas les plus extrêmes, le vishing peut détruire des vies et ruiner des entreprises. Ses conséquences sont ainsi nombreuses :

• Vol de données confidentielles, telles que des informations bancaires, des mots de passe, des copies de documents d’identité…
• Siphonnage de comptes bancaires, les arnaqueurs pouvant convaincre leurs victimes de leur partager leurs identifiants bancaires pour vider leurs comptes.
• Transferts frauduleux, un faux conseiller ou un PDG dont l’identité est usurpée pouvant convaincre son interlocuteur d’effectuer un transfert important vers un compte qu’il contrôle.
• Usurpation d’identité, les données volées pouvant servir pour contracter des prêts et ouvrir de faux comptes bancaires.
• Chantage et extorsions répétées, car le vishing peut également être utilisé par des brouteurs qui utilisent le deep voice pour se faire passer pour vos proches ou des célébrités afin de vous manipuler psychologiquement.

Comment fonctionne l’arnaque par Vishing ?

Pour parvenir à tromper et à manipuler leurs victimes en direct, les hackers ne laissent rien au hasard et suivent un processus bien rôdé :

1. Récolte d’informations : l’escroc commence par récolter un maximum d’informations sur ses cibles, et utilise pour cela les renseignements issus de fuites de données ou disponibles sur les réseaux sociaux.  
2. Élaboration d’un scénario crédible : il choisit ensuite l’entité à usurper et prépare son message, sa stratégie, qui doit paraître crédible et permettre d’instiller le sentiment d’urgence.  
3. Masquage ou usurpation de numéro : grâce au spoofing ou au VoIP, le visher masque son numéro, et peut aller jusqu’à usurper celui d’une entité officielle pour crédibiliser son arnaque.  
4. Appel et manipulation psychologique : l’arnaqueur passe ensuite à l’action, appelle sa victime et déroule son scénario ; il adopte un ton professionnel et rassurant, et utilise des techniques de manipulation psychologique pour la pousser à agir rapidement.  
5. Exploitation de sa victime : lorsque l’escroc a réussi à plonger sa victime dans un état de stress qui l’empêche de réfléchir correctement, il la pousse à divulguer certaines de ses informations confidentielles, à effectuer un paiement frauduleux, ou à cliquer sur un lien reçu par mail pour déclencher l’installation d’un malware.
6. Disparition : une fois que le cybercriminel a obtenu ce qu’il veut, il disparaît dans la nature et devient injoignable au numéro utilisé lors de l’attaque.

Quelles sont les techniques courantes d’arnaque par téléphone ?

Les cybercriminels peuvent s’appuyer sur plusieurs techniques pour crédibiliser leurs arnaques téléphoniques :

• Le spoofing téléphonique, qui consiste à usurper le numéro d’une organisation pour crédibiliser l’arnaque et masquer l’origine de l’appel.  
• Le VoIP (Voice over IP), qui repose sur l’utilisation d’Internet pour passer des appels anonymes depuis partout dans le monde.  
• Le Wardialing, soit l’utilisation d’un logiciel qui compose et appelle automatiquement tous les numéros d’une liste ; il peut par ailleurs être programmé pour raccrocher après un certain nombre de sonneries, ou si la messagerie vocale s’active.  
• La fouille de poubelles (ou Dumpster Diving), qui consiste littéralement à fouiller les poubelles de sa victime pour y trouver des informations confidentielles dans les documents jetés (factures, relevés bancaires…) afin de crédibiliser l’appel.  
• Le deepfake vocal (ou deep voice) via l’IA, qui permet d’imiter la voix d’un de vos proches ou de votre supérieur afin de vous pousser à agir sans que vous vous posiez trop de questions.

Exemple d’une arnaque au conseiller bancaire par Vishing

Encore aujourd’hui, chaque année, des milliers de personnes tombent dans le piège de l’arnaque au faux conseiller bancaire et perdent ainsi d’importantes sommes d’argent. Pour éviter de vous faire avoir à votre tour, vous devez apprendre à reconnaître cette fraude, et pour cela, rien de mieux qu’un exemple concret :

1. Tout commence par une fuite de données. Votre opérateur téléphonique a subi une cyberattaque. Résultat ? Vos nom, numéro de téléphone et IBAN sont en libre circulation sur le dark web.  
2. Un escroc met la main sur ces informations. Il utilise alors le spoofing pour usurper le numéro officiel de votre banque et le wardialing pour automatiser les appels vers les numéros présents sur la base de données volée.  
3. L’appel commence. Lorsque vous décrochez, une voix rassurante vous annonce qu’une tentative de fraude détectée sur votre compte, et vous invite à agir immédiatement pour éviter un prélèvement suspect.  
4. Le partage d’informations précises. Pour gagner votre confiance, l’escroc vous dicte votre propre IBAN et votre adresse et vous demande de les confirmer. Inconsciemment, vous lui accordez votre confiance, car qui hormis votre véritable conseiller bancaire pourrait connaître ces informations ?  
5. Le piège se referme. Votre interlocuteur vous indique que vous devez transférer vos fonds sur un compte sécurisé (en réalité contrôlé par le fraudeur), ou que vous devez lui confirmer vos identifiants bancaires sous prétexte d’une vérification de sécurité.  
6. Sous la pression, vous tombez dans le piège, et suivez les instructions du cybercriminel sans vous poser trop de questions.  
7. Lorsque le stress est retombé, vous finissez par vous poser des questions, puis par réaliser que vous avez été victime d’une arnaque. Mais il est trop tard : votre compte a été vidé, et le pirate s’est depuis longtemps évanoui dans la nature.

Un scénario bien rodé qui fait chaque année des milliers de victimes. Et si heureusement, toutes les personnes appelées ne tombent pas dans le piège, certains escrocs n’hésitent pas à pousser encore plus loin.

Si le premier appel n’a pas l’effet escompté, ils peuvent le doubler en usurpant un nouveau numéro. Grâce à l’IA vocal ou un collègue hacker, ils se font alors généralement passer pour les forces de l’ordre et font croire à leur cible qu’une enquête vient d’être ouverte concernant l’attaque de leur compte. Résultat : alors qu’elles étaient passées entre les mailles du filet la première fois, ce nouvel appel « officiel » encore plus alarmant finit de convaincre certaines victimes…

Comment se protéger du Vishing ?

Comment reconnaître un appel frauduleux de Vishing ?

Ce qui fait la force du vishing, ce sont les techniques d’ingénierie sociale que les vishers maîtrisent sur le bout des doigts. Mais plusieurs éléments vous permettront de repérer un appel téléphonique suspect avant qu’il ne soit trop tard :

• Le numéro est inconnu ou masqué ; dans ce cas, évitez tout simplement de décrocher.  
• Votre interlocuteur utilise un ton alarmiste.  
• On vous demande d’agir immédiatement, sans vous laisser le temps de réfléchir.  
• On vous demande des informations sensibles, qu’aucune institution officielle ne vous demanderait, surtout pas par téléphone.  
• Votre interlocuteur refuse de vous rappeler plus tard et essaie de vous convaincre d’agir de suite, même si vous lui spécifiez explicitement que vous n’avez pas beaucoup de temps devant vous.

La checklist pour vous protéger du Vishing

Savoir reconnaître un appel frauduleux, c’est bien. Adopter certains réflexes pour renforcer votre sécurité face aux arnaques en ligne, c’est encore mieux. Pour vous protéger du vishing, vous pouvez ainsi :

• Utiliser un filtre anti-spam comme ceux proposés par Hiya ou encore Orange pour limiter et identifier les appels suspects.  
• Activer l’authentification multifactorielle pour vos comptes bancaires si elle vous est proposée. Ce faisant, même avec vos identifiants, les escrocs ne pourront accéder à votre compte ou effectuer de virement.  
• Prendre l’habitude de ne jamais donner d’informations sensibles par mail ou par téléphone.  
• En cas d’appel suspect, appeler directement l’entité dont l’identité semble être usurpée depuis son numéro officiel pour lui demander confirmation.  
• Apprendre à garder votre calme au téléphone pour ne pas tomber dans un piège, encore plus lorsque votre interlocuteur essaie de vous alarmer.  
• Raccrocher immédiatement si vous avez le moindre doute quant à l’identité ou aux intentions de votre interlocuteur.

Que faire en cas d’attaque par hameçonnage vocal ?

Vous venez de recevoir un appel suspect et avez divulgué des informations sensibles ? Pas de panique, vous pouvez peut-être encore réduire l’ampleur des dégâts. Mais pour cela, chaque minute compte :

1. Si vous vous rendez compte de l’arnaque pendant l’appel, raccrochez et ne laissez pas l’arnaqueur vous manipuler plus longtemps. De même, si vous avez le moindre doute, raccrochez immédiatement et appelez l’organisme dont vous pensez que l’identité est usurpée depuis son numéro officiel pour demander confirmation.  
2. Si vous avez déjà divulgué des informations sensibles ou effectué un virement, changez immédiatement vos identifiants et contactez votre banque pour faire opposition à la transaction ou à votre carte bancaire. Si vous avez partagé des documents sensibles tels que des documents d’identité, déclarez-le auprès de la police ou de la gendarmerie.  
3. Vérifiez régulièrement vos relevés bancaires pour détecter d’éventuelles transactions frauduleuses, et portez plainte si vous détectez le moindre mouvement suspect.  
4. Signez l’arnaque et le numéro frauduleux au 33 700 pour éviter à d’autres personnes de tomber dans le piège.

Comment se former pour lutter contre la cybercriminalité ?

Le vishing n’est qu’un des nombreux dangers que fait peser la cybercriminalité sur notre société. Vous en avez conscience, et c’est peut-être même pour cela que vous songez à travailler dans la cybersécurité. Si tel est le cas, vous devrez alors vous former, et chez Jedha, nous sommes justement là pour vous y aider.

Si nos formations ont reçu le titre de meilleurs bootcamps en cybersécurité de 2024 par Course Report, ce n’est pas pour rien : c’est parce qu’elles vous préparent au marché du travail et vous permettent de développer les compétences nécessaires pour devenir un véritable acteur de la cyberdéfense. Et le meilleur dans tout ça ? Elles s’adaptent à votre niveau de départ, et sont en plus éligibles aux financements publics, dont votre CPF.

• Notre formation en cybersécurité pour débutant vous permettra d’acquérir des bases solides, essentielles à votre future carrière.  
• Notre formation en sécurité informatique vous apprendra à sécuriser une infrastructure informatique pour la protéger des cybermenaces, et à réagir efficacement face aux incidents.  
• Notre formation pour devenir expert en cybersécurité vous permettra de développer des compétences avancées, faisant de vous un pilier essentiel de votre équipe cyber.

Marre d’être un spectateur et envie d’aider à endiguer le cybercrime ? Alors découvrez nos cursus en détail dans notre syllabus, et venez nous poser toutes vos questions lors de notre prochaine Soirée Portes Ouvertes en ligne !

Questions fréquentes à propos du Vishing

Comment s'appelle usurpation d'identité par téléphone ?

L’usurpation d’identité par téléphone, également appelé hameçonnage téléphonique ou vishing (pour voice phishing) est une technique d’ingénierie sociale ou un escroc se fait passer pour une entité légitime pour dérober vos informations personnelles, vous extorquer des fonds, ou vous pousser à installer un logiciel malveillant.

Peut-on obtenir un remboursement de la banque après une attaque par Vishing ?

Oui, vous pourrez obtenir un remboursement après une attaque par vishing, mais seulement dans certaines conditions.

Si la transaction frauduleuse a été effectuée sans votre consentement (dans le cas d’un virement non autorisé par exemple), votre banque est tenue de vous rembourser.

En revanche, si vous avez validé volontairement le virement, même sous l’influence de l’escroc, la banque peut estimer que vous avez fait preuve de négligence et refuser de vous indemniser.

Bon à savoir : si vous possédez une assurance cyber-risques, elle peut couvrir ce type de fraude et couvrir certaines de vos pertes. Pensez à vérifier votre contrat !

Y a-t-il des applications pour filtrer les appels frauduleux ?

Oui, des applications comme TrueCaller, Hiya ou Call Blocker vous permettent d’identifier et de bloquer les numéros considérés comme frauduleux.