Le vishing (contraction de voice et phishing) ou hameçonnage par téléphone est une forme d'escroquerie par laquelle le pirate utilise le nom de collègues ou de partenaires professionnels afin de soutirer des informations sensibles ou financières. Ils volent ou bloquent des données bancaires, l'accès au système de facturation, les mots de passe d'applications ou des données qu'ils échangent contre rançon. C'est ce qu'on appelle le ransomware ou rançongiciel dans le jargon. Ils peuvent aussi extorquer des justificatifs d'identité pour les revendre à des tiers.
...

Le vishing (contraction de voice et phishing) ou hameçonnage par téléphone est une forme d'escroquerie par laquelle le pirate utilise le nom de collègues ou de partenaires professionnels afin de soutirer des informations sensibles ou financières. Ils volent ou bloquent des données bancaires, l'accès au système de facturation, les mots de passe d'applications ou des données qu'ils échangent contre rançon. C'est ce qu'on appelle le ransomware ou rançongiciel dans le jargon. Ils peuvent aussi extorquer des justificatifs d'identité pour les revendre à des tiers. Les escrocs se font généralement passer pour un employé de la société, un collaborateur du service financier, RH ou juridique, voire le CEO. "Comme ils parlent néerlandais, français ou anglais sans accent et disposent de nombreuses informations sur un collaborateur ou l'entreprise, ils paraissent souvent parfaitement crédibles", constate Christof Jacques, expert en sécurité chez Check Point, fournisseur mondial de solutions de cybersécurité pour sociétés publiques et privées. Les appelants suivent un scénario minutieusement élaboré. Les informations utilisées dans le cadre de l'escroquerie téléphonique proviennent généralement de sources internet accessibles au grand public. "Nombreux sont ceux qui étalent leur vie privée sur les réseaux sociaux, réagissent aux événements et aux annonces sur LinkedIn, racontent leur vie personnelle et professionnelle sur des blogs", ajoute Christof Jacques. Les contacts professionnels et les noms des collègues sont facilement récupérables sur ces sites. La moindre inattention est du pain bénit pour les cybercriminels en quête d'informations qui n'hésitent pas à s'en prendre même aux entreprises les mieux cyberprotégées. L'homme est le maillon le plus faible. L'été dernier, un hameçonneur téléphonique a réussi à convaincre plusieurs employés du réseau social Twitter de lui donner accès au logiciel interne. Le pirate a ainsi eu la mainmise sur des dizaines de comptes célèbres, dont celui de Barack Obama, Joe Biden, Jeff Bezos et Elon Musk. Des tweets piratés incitaient leurs followers à transférer des bitcoins vers une adresse précise en leur faisant miroiter de plus gros bénéfices. Les criminels ont ensuite redirigé l'argent sur leur propre compte. Ils ont ainsi réussi à engranger plusieurs centaines de milliers de dollars en quelques heures. Les petites entreprises sont, elles aussi, victimes de cyberattaques parfaitement coordonnées. Privés de contacts réguliers avec leurs collègues, les télétravailleurs se font plus facilement escroquer par hameçonnage téléphonique. Check Point enregistre une recrudescence du nombre de cyberincidents signalés par les télétravailleurs. "Certains criminels utilisent plusieurs techniques conjointement ou coordonnent leurs attaques à des stades différents, explique Christof Jacques. Ils commencent, par exemple, par envoyer un courrier comme une facture. Ils l'envoient aussi par mail puis téléphonent pour régler le paiement ou le traitement ultérieur du document. Ou ils envoient un mail, puis un SMS avant d'appeler. Et cela afin de rendre le scénario plus crédible." L'hameçonnage téléphonique cache différents profils de criminels, de l'étudiant expérimenté au réseau international hyper- organisé qui recrute ses appelants locaux sur les forums internet illégaux ou font appel à des call-centers véreux spécialisés. Les travailleurs - et a fortiori les télétravailleurs - doivent apprendre à ne pas partager trop d'informations et à vérifier systématiquement l'identité des personnes qui les appellent, insiste Christof Jacques. "Ce genre d'escroquerie persistera tant qu'il sera possible de se faire de l'argent", dit-il. Les nouveaux collaborateurs sont une proie facile pour les hameçonneurs téléphoniques. Ils ne connaissent pas tous leurs collègues et sont contactés par de nombreuses personnes qui disent faire partie du personnel de l'entreprise mais qu'ils n'ont pas encore rencontrées, du service technique par exemple. Une fois le vol de données ou d'argent perpétré, le dommage est irréparable. La seule façon pour l'entreprise de limiter les dégâts consiste à modifier le plus possible de mots de passe et de signaler le délit. Pour réduire au maximum les risques d'hameçonnage par téléphone, la société doit sensibiliser ses collaborateurs à la cybersécurité. Le simple fait de communiquer sur les pratiques de vishing permet de conscientiser le personnel. Encore faut-il lui rappeler régulièrement les risques. "Les entreprises doivent constamment rafraîchir la mémoire de leurs employés. C'est la meilleure façon de prévenir le vishing", conclut Christof Jacques. Certaines entreprises vont même jusqu'à simuler une attaque de hameçonnage téléphonique pour tester la vigilance de leurs collaborateurs. Un article de Dimitri Dewever.