Qu’est-ce que le vishing ?

Le vishing, également appelé phishing vocal, se produit lorsque des escrocs vous appellent pour vous inciter à partager des informations personnelles ou à envoyer de l’argent. En se faisant passer pour des entreprises légitimes et en utilisant des tactiques d’ingénierie sociale, les escrocs espèrent gagner votre confiance et vous persuader de partager des informations sensibles, qu’ils peuvent utiliser pour commettre des fraudes ou des usurpations d’identité. Selon le rapport de Keepnet sur le phishing vocal de 2024, environ 70 % des entreprises ont été victimes de vishing, ce qui a entraîné une perte financière moyenne de 14 millions de dollars par an. Le vishing peut affecter autant les particuliers que les entreprises. Il est donc important de comprendre comment il fonctionne et comment vous pouvez vous protéger.

Poursuivrez votre lecture pour savoir en quoi le vishing diffère du phishing et du smishing, voir des exemples courants de vishing et découvrir comment éviter d’être victime de ces attaques.

Vishing vs phishing vs smishing : quelle est la différence ?

Considérez le phishing comme un terme générique pour les cyberattaques que les escrocs utilisent pour vous inciter à partager vos informations personnelles. Le phishing se produit généralement par le biais d’e-mails, dans lesquels les escrocs vous envoient des liens ou des pièces jointes non sollicités dans le cadre de leur tentative. Le vishing et le smishing relèvent du phishing car ils partagent les mêmes objectifs, mais le vishing se produit strictement par le biais d’appels téléphoniques, tandis que le smishing se produit strictement par le biais de messages texte (SMS).

Comment fonctionne le vishing ?

Dans la plupart des cas, le vishing commence par un escroc qui vous recherche pour déterminer la meilleure façon de vous inciter à partager des informations. Ils peuvent utiliser votre adresse e-mail pour découvrir d’autres informations personnellement identifiables (PII), telles que votre numéro de téléphone. Avec ces informations, un escroc peut déguiser son indicatif régional en le changeant pour qu’il corresponde au vôtre, vous faisant croire qu’il appelle à partir d’un numéro de téléphone local.

Lorsque vous répondez à l’appel d’un escroc, il peut vous convaincre de partager des informations personnelles, telles que des numéros de compte bancaire, des détails de carte de crédit ou votre adresse personnelle. Les escrocs espèrent que vous croirez qu’ils sont des personnes ou des entreprises légitimes en établissant un rapport par le biais d’une écoute active, d’une conversation cordiale et de questions qui suscitent la réflexion. Plus récemment, les escrocs ont commencé à utiliser l’intelligence artificielle (IA) pour mener des attaques de vishing en se faisant passer pour la voix d’une personne que vous connaissez. L’IA aide les escrocs à vous convaincre qu’un ami, un membre de la famille ou un collègue de travail appelle en analysant la voix d’une personne à partir de vidéos, souvent publiées sur les réseaux sociaux. Avec les escrocs qui utilisent l’IA dans les attaques de vishing, ces escroqueries sont beaucoup plus difficiles à détecter, car les voix peuvent sembler authentiques mais ne sont pas celles qu’elles prétendent être.

Si vous pensez que l’escroc est légitime et que vous partagez vos informations personnelles avec lui pendant l’appel téléphonique, il utilisera ces informations pour commettre des cybercrimes. Certaines activités malveillantes que les escrocs peuvent faire avec les informations que vous fournissez dans les attaques de vishing incluent le vol d’argent sur votre compte bancaire, l’exécution d’achats non autorisés avec votre carte de crédit ou le piratage de votre compte de messagerie pour arnaquer des personnes en qui vous avez confiance.

Exemples de vishing

Voici quelques-uns des exemples les plus courants d’attaques de vishing que vous pouvez rencontrer.

Faux appels IRS exigeant un paiement immédiat

Un escroc peut se faire passer pour un agent de l’IRS, vous appelant pour vous informer que vous devez des impôts et que vous devez fournir des informations sensibles pour éviter des poursuites judiciaires. La plupart des faux appels IRS sont effectués par le biais de messages préenregistrés, de sorte que vous ne parlerez probablement pas à une personne en temps réel. Le message peut rassembler à : « Afin d’éviter des conséquences juridiques, vous devez fournir des informations de paiement valides pour les impôts que vous devez à l’IRS dans les 24 heures. » Cette attaque de vishing vise à vous effrayer et à décourager la remise en cause de la légitimité de l’appel en prétendant qu’il provient d’une agence gouvernementale. Cependant, l’IRS ne vous contactera jamais par téléphone pour exiger le paiement sans vous contacter d’abord par courrier ou par e-mail avec votre permission. Vous ne devez jamais fournir d’informations de paiement par téléphone à quelqu’un qui prétend être l’IRS, à moins que vous n’ayez initié l’appel et que vous soyez certain que vous parlez à un agent de l’IRS légitime.

Appels de votre banque demandant des détails de compte

Vous pouvez recevoir un appel téléphonique de quelqu’un qui prétend être de votre banque, vous demandant de vérifier les détails de votre compte. Étant donné que votre banque ne vous demandera jamais de partager les détails de votre compte, y compris les codes de sécurité ou les mots de passe, vous devez reconnaître cela comme une attaque de vishing. Un escroc se faisant passer pour votre banque peut dire quelque chose comme : « Nous avons juste besoin d’informations de votre compte bancaire pour vérifier une charge suspecte. Pouvez-vous nous dire le code de sécurité de votre compte afin que nous puissions le vérifier pour vous ? » Il est plus sûr de raccrocher et de contacter directement votre banque pour vérifier si elle a besoin d’informations de votre compte. Fournir des informations personnelles ou sensibles par téléphone à un escroc pourrait entraîner le piratage de votre compte bancaire.

Escroqueries au support technique demandant l’accès à votre ordinateur

Dans une attaque de vishing de support technique, un escroc se fait passer pour un représentant d’une entreprise de technologie, telle que Apple ou Microsoft. Lors de l’appel, l’escroc prétend avoir trouvé un problème technologique avec votre ordinateur et dit qu’il a besoin d’un accès à distance pour le résoudre. Pendant l’appel, l’escroc peut dire quelque chose comme : « Nous avons trouvé un bug sur votre appareil et nous devons y accéder pour résoudre le problème. Pouvez-vous nous donner votre adresse e-mail et les détails du logiciel actuel ? » Ils peuvent demander votre adresse e-mail pour vous envoyer des codes ou du contenu téléchargeable, leur permettant d’accéder à votre appareil. Cependant, fournir ces codes ou télécharger le contenu peut installer des logiciels malveillants sur votre ordinateur, entraînant le vol de données et une invasion de votre vie privée. Si vous recevez un appel téléphonique d’une entreprise de technologie que vous n’avez pas contactée en premier, il est préférable de raccrocher et de contacter directement l’entreprise pour confirmer si elle a détecté un problème avec votre appareil.

Escroqueries Medicare exigeant votre numéro d’identité

Une autre attaque de vishing courante se produit lorsqu’un escroc se fait passer pour un représentant de Medicare concernant votre éligibilité. Ils peuvent vous prévenir que votre éligibilité à Medicare sera annulée à moins que vous ne vérifiez votre identité en fournissant votre numéro de Medicare actuel. Un escroc se faisant passer pour Medicare peut dire quelque chose comme : « Nous sommes incapables de vérifier votre identité sans informations supplémentaires. Pour recevoir vos prestations de Medicare, veuillez partager votre numéro d’identification de Medicare. » Ce type d’attaque de vishing vise à vous inciter à partager votre numéro Medicare et d’autres informations personnelles afin que l’escroc puisse voler vos avantages et votre identité. Ne fournissez pas vos informations personnelles à quelqu’un qui prétend être de Medicare, à moins que vous ne soyez certain que la personne est légitime ou que vous l’ayez contactée en premier.

Des proches qui prétendent avoir besoin d’argent d’urgence

Vous pensez peut-être qu’il est facile de détecter si quelqu’un se fait passer pour les membres de votre famille, mais le pirate utilise de plus en plus d’IA pour imiter des voix familières et vous inciter à partager des informations ou de l’argent. Si vous recevez un appel téléphonique d’un proche qui prétend avoir eu un accident et avoir besoin d’argent immédiatement, essayez de ne pas paniquer et d’agir impusilvement. Le plus souvent, ces attaques de vishing se présentent sous forme d’escroqueries aux grands-parents, qui ciblent généralement les personnes âgées en se faisant passer pour des petits-enfants ou des parents proches lors d’un événement catastrophique. Par exemple, un escroc peut trouver la voix de votre petit-enfant à l’aide d’une vidéo sur les réseaux sociaux. Ils peuvent télécharger cette vidéo sur un logiciel d’IA qui clone la voix de votre petit-enfant, permettant à l’escroc de se faire passer pour eux de manière convaincante. Si vous recevez un appel téléphonique de ce genre, contactez directement le parent en utilisant une autre méthode, telle que l’envoi de SMS avec le numéro de téléphone enregistré dans votre liste de contacts.

Comment vous protéger du vishing ?

Vous pouvez vous protéger contre les attaques de vishing en évitant les appels de numéros inconnus, en créant un mot de sécurité avec vos proches, en vous abstenant de partager vos informations personnelles par téléphone et en vous assurant que vos comptes soient sécurisés avec des mots de passe forts.

Évitez de répondre à des appels provenant de numéros inconnus

Si vous recevez des appels téléphoniques de numéros inconnus, il est préférable de ne pas y répondre. Les numéros inconnus sont souvent des spams ou des escrocs, donc éviter les appels non sollicités peut vous aider à vous protéger contre les attaques de vishing. Les escrocs peuvent utiliser un logiciel pour modifier la façon dont leur numéro de téléphone apparaît sur votre écran, qui donne souvent un indicatif régional pour renforcer la confiance. Si un numéro n’est pas enregistré dans les contacts, il est plus sûr de laisser l’appel aller à la messagerie vocale au lieu d’y répondre.

Choisissez un mot de sécurité avec vos amis et votre famille

Étant donné que les escrocs utilisent l’IA pour se faire passer pour des voix familières dans leurs attaques de vishing, vous devez choisir un mot de sécurité avec vos amis et votre famille. Les attaques de vishing modernes visent à vous faire croire que la personne à l’autre bout du téléphone est quelqu’un de proche grâce à l’IA. Cependant, en utilisant un mot de sécurité que seuls vos amis et votre famille connaissent, vous pouvez vérifier l’identité de l’appelant. Si l’appelant ne connaît pas le mot de sécurité ou donne la mauvaise réponse, vous le reconnaîtrez comme un escroc.

Ne donnez jamais vos informations personnelles à n’importe qui

Même si quelqu’un qui prétend être de l’IRS ou d’une autre entreprise appelle pour exiger un paiement immédiat ou des informations personnelles, ne révélez jamais d’informations sensibles par téléphone. Ces appels peuvent menacer de graves conséquences pour non-respect, telles que des peines d’emprisonnement ou des amendes importantes. Cependant, si vous n’avez pas contacté directement l’IRS ou une entreprise légitime, il n’y a aucune raison pour que vous receviez un appel de leur part, alors reconnaissez-les comme des attaques de vishing.

Assurez-vous que vos comptes sont sécurisés avec des mots de passe forts et l’authentification multifacteur.

Un moyen important de vous protéger contre les attaques de vishing et d’autres formes de phishing est de sécuriser vos comptes en ligne avec des mots de passe forts. Assurez-vous que chacun de vos comptes a un mot de passe fort et unique composé d’au moins 16 caractères et d’une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. En sécurisant vos comptes avec des mots de passe forts et uniques, vous réduisez le risque qu’un escroc devine un mot de passe faible ou réutilisé et pirate vos comptes pour voler des informations privées.

En plus de sécuriser vos comptes avec des mots de passe forts, vous devez également activer l’authentification multifacteur (MFA) si elle est disponible. L’authentification multifacteur ajoute une couche de sécurité supplémentaire à vos comptes en exigeant une autre forme d’authentification pour vérifier votre identité avant d’y accéder. Si vous révélez vos identifiants de connexion dans une attaque de vishing mais que vous avez activé l’authentification multifacteur, l’escroc ne pourra pas accéder à votre compte avec uniquement votre nom d’utilisateur et votre mot de passe, car il aura besoin d’un autre moyen d’authentifier votre identité. Certains types d’authentification multifacteur incluent un code d’une application d’authentification, une réponse à une question de sécurité, un code PIN ou vos informations biométriques.

Écoutez la voix dans votre tête

Nous comprenons que, peu importe à quel point vous vous préparez à une cyberattaque, il peut être difficile de se préparer émotionnellement aux conséquences potentielles. Il est facile de paniquer et de jeter la logique par la fenêtre lorsque vous vous rendez compte que vous pouvez être pris dans une attaque de vishing, c’est pourquoi vous devez écouter votre instinct. Si vous parlez à quelqu’un au téléphone et que vous avez le sentiment suspect qu’il n’est pas qui il prétend être, faites confiance à votre instinct et raccrochez. Il est beaucoup plus sûr d’appeler directement une entreprise en utilisant un numéro de téléphone répertorié sur son site Web officiel que de donner vos informations personnelles à quelqu’un qui vous met mal à l’aise.

L’essentiel à retenir

L’IA continuant d’être utilisée dans les cyberattaques, il est important de savoir comment vous protéger contre les attaques de vishing, de phishing et de smishing. Quelle que soit la façon dont une attaque de vishing se produit, vous pouvez vous protéger en créant un mot de sécurité avec vos proches, en vous abstenant de partager des informations personnelles par téléphone et en sécurisant vos comptes avec des mots de passe forts. Un moyen facile de sécuriser vos comptes avec des mots de passe forts est d’utiliser un gestionnaire de mots de passe comme Keeper^®. Keeper Password Manager vous permet de créer, de mettre à jour et de stocker vos mots de passe uniques ainsi que des méthodes d’authentification multifacteur dans un coffre-fort sécurisé et chiffré.

Commencez votre essai gratuit de 30 jours de Keeper Password Manager pour protéger vos comptes et rester à l’abri des attaques de vishing.