Les attaques par vishing se sont multipliées au cours des derniers mois, mettant nos informations et nos appareils en danger. Mais de quoi s'agit-il exactement ?

Les cybercriminels ne manquent pas d'imagination et de moyens pour s'emparer de vos données personnelles et informations bancaires. Une méthode de plus en plus répandue est le vishing, qu'on appelle aussi phishing vocal. Il fait partie de la famille du mishing, qui regroupe toutes les techniques d'hameçonnage qui ciblent spécifiquement les appareils mobiles, comme c'est aussi le cas du smishing.

Se faire passer pour un agent d'assistance technique ou de service client est l'un des procédés les plus communs. Le pirate va prétexter une menace urgente, comme la perte d'accès à un service ou un danger d'infection de votre appareil, pour persuader la victime qu'elle doit agir vite et ne pas lui donner le temps de réfléchir.

L'explosion des attaques par vishing

Les particuliers ne sont pas les seuls visés. Pour les pirates, les entreprises sont des cibles de choix. Dans ce cas, les attaquants appellent les employés et se font passer pour des informaticiens pour gagner leur confiance. Ils mènent parfois des enquêtes sur l'organisation afin d'ajouter du contexte à la conversation et rendre le piège encore plus crédible.

Dans un rapport de la société de cybersécurité CrowdStrike, on apprend que les attaques de vishing ont augmenté de 442 % au cours du second semestre 2024 par rapport au premier semestre de la même année. Souvent, les cybercriminels expliquent à leur interlocuteur qu'ils doivent intervenir à distance grâce à l'aide de l'outil Microsoft Quick Assist intégré à Windows. La plateforme Microsoft Teams a été utilisée dans plusieurs campagnes de ce type pour passer les appels téléphoniques.

Une alternative au vishing est le callback phishing. Si la cible ne peut être jointe au téléphone, elle va alors recevoir un email, là aussi décrivant un problème urgent à régler. Un numéro de téléphone y est renseigné et il est demandé à la victime de l'appeler pour recevoir une soi-disant aide immédiate. Sachez qu'aucun organisme légitime (administration, fournisseur de service, banque) n'a recours à ce genre de message pour entrer en contact avec nous.

Source : ZDnet