Dans le paysage des cybermenaces, le phishing est bien connu, mais connaissez-vous le vishing ? Cette technique d'attaque, de plus en plus sophistiquée, utilise la voix pour tromper ses victimes et les inciter à livrer des informations confidentielles ou à effectuer des actions préjudiciables. Pour les entreprises, il est essentiel de connaître le vishing pour renforcer la sécurité de leurs données et de leurs opérations. Tout ce qu'il faut savoir sur cette arnaque.

Qu'est-ce que le vishing ?

Le vishing - contraction de " voice " (voix) et " phishing " (hameçonnage) - désigne une forme d'hameçonnage par téléphone. Les cybercriminels utilisent des appels vocaux, parfois automatisés, pour se faire passer pour des entités de confiance (banques, administrations, services techniques...) et soutirer des informations confidentielles ou inciter à des actions frauduleuses.

Il existe plusieurs types d'attaques de vishing, souvent adaptées au contexte professionnel :

  • L'usurpation d'identité : les fraudeurs se font passer pour des employés de votre banque, de votre fournisseur de services IT, d'une administration fiscale, d'un service de support technique ou même d'un collègue/supérieur hiérarchique.
  • Les fausses alertes : un appel téléphonique vous informe d'un problème urgent sur votre compte bancaire, d'une activité suspecte sur vos systèmes informatiques, ou d'une prétendue livraison.
  • Les offres frauduleuses : il peut s'agir de propositions commerciales trop alléchantes (faux investissements) ou de demandes de paiement urgentes.

Comment fonctionne le vishing ?

Une attaque de vishing suit généralement un schéma précis, conçu en plusieurs étapes pour tromper la vigilance de la victime :

  1. La prise de contact : l'escroc contacte sa cible par téléphone. Parfois, cet appel téléphonique fait suite à un e-mail ou un SMS de phishing préalable pour rendre l'appel plus crédible. Les numéros peuvent être usurpés (spoofing) pour afficher un numéro officiel (celui de votre banque, de votre service informatique, etc.).
  2. La manipulation pour instaurer confiance et urgence : le fraudeur utilise un langage professionnel, un ton autoritaire ou alarmiste pour simuler une situation critique - par exemple un blocage de compte, une infection virale ou encore une demande urgente de la hiérarchie. L'objectif est de créer un sentiment de peur, poussant la victime à agir sans réfléchir.
  3. Le soutirage d'informations ou d'argent : une fois la confiance établie et la pression exercée, le vishing consiste à soutirer des informations confidentielles (codes d'accès, mots de passe, numéros de carte bancaire, identifiants d'entreprise, etc.) ou à inciter à des actions immédiates et préjudiciables, comme un virement bancaire sur un compte frauduleux ou l'installation d'un logiciel d'accès à distance.
  4. L'exploitation des données : elles servent à commettre des fraudes, des usurpations d'identité ou des vols financiers, par exemple.

À noter, le cybercriminel s'appuie souvent sur des informations préalablement collectées (sur les réseaux sociaux, des bases de données piratées, etc.) pour rendre son discours plus crédible et ciblé.

Quels risques d'une menace de vishing ?

Pour les professionnels, une attaque de vishing peut avoir de lourdes conséquences :

  • Des pertes financières directes : les informations bancaires ou instructions de virement obtenues par les fraudeurs peuvent entraîner des pertes d'argent parfois considérables pour l'entreprise.
  • La compromission de données sensibles : les cybercriminels peuvent accéder à des données confidentielles (clients, salariés, contrats), mettant en péril la sécurité de l'organisation.
  • L'atteinte à la réputation de l'entreprise : une attaque réussie peut nuire à la confiance des clients, partenaires et collaborateurs, impactant durablement l'image de l'entreprise.
  • Le blocage de l'activité : certaines attaques de vishing visent à installer des logiciels malveillants ou à obtenir des accès informatiques, pouvant entraîner des interruptions d'activité.
  • La responsabilité légale : en cas de fuite de données, l'entreprise peut être tenue responsable et exposée à des sanctions réglementaires.

Comment identifier et se protéger d'une attaque de vishing ?

La meilleure défense contre le vishing est la vigilance et la mise en place de bonnes pratiques de sécurité.

Les indices d'un hameçonnage par téléphone

Plusieurs signes peuvent vous aider à repérer une attaque de vishing, parmi lesquelles : 

  • Le caractère urgent ou menaçant de l'appel : le fraudeur insiste sur une action immédiate pour éviter des conséquences graves (blocage de compte, poursuites judiciaires, etc.). Toute demande urgente et non vérifiée doit alerter.
  • Une demande d'informations sensibles : aucune banque, aucune administration ni aucun service technique légitime ne vous demandera votre mot de passe, votre code PIN, ou vos identifiants complets par téléphone.
  • L'exercice d'une certaine pression pour télécharger un logiciel : toute incitation à installer un logiciel (surtout d'accès à distance) doit être refusée si elle émane d'un appel non sollicité.
  • La qualité de l'appel suspecte : un son médiocre, des coupures ou un accent inhabituel peuvent parfois être des indices, bien que les fraudeurs s'améliorent.
  • Un numéro affiché douteux (masqué, inconnu, parfois international) : même si le numéro semble officiel (grâce au spoofing), méfiez-vous. Le fraudeur peut vous inciter à raccrocher et à le rappeler sur ce même numéro.

Les bonnes pratiques pour se protéger

Pour protéger votre entreprise de ce type d'attaque par téléphone, adoptez quelques bons réflexes : 

  • Vérifiez toujours l'identité de l'appelant : en cas de doute, raccrochez et rappelez l'organisme ou la personne concernée sur un numéro officiel que vous connaissez (celui figurant sur un document officiel, un site web officiel, ou l'intranet de votre entreprise, par exemple), mais jamais celui donné par l'appelant.
  • Ne communiquez jamais d'informations confidentielles par téléphone à un interlocuteur non sollicité.
  • Méfiez-vous des demandes urgentes et inattendues : prenez toujours le temps de la vérification, même si l'appelant insiste sur l'urgence.
  • Sensibilisez et formez vos collaborateurs : la " cybervigilance " de vos équipes est votre première ligne de défense. Des formations régulières sur les cybermenaces sont essentielles.
  • Optez pour des solutions de sécurité telles que le filtrage des appels, les logiciels antivirus, la protection des données et la surveillance des accès. 
  • Utilisez des mots de passe robustes et un double facteur d'authentification (MFA) sur tous vos comptes professionnels.
  • Mettez à jour vos systèmes et logiciels régulièrement, etc.

Que faire en cas d'attaque de vishing ?

Si vous pensez avoir été victime d'un appel téléphonique arnaque ou que vous avez fourni des informations sensibles, agissez rapidement : restez calme, ne donnez plus aucune information et raccrochez immédiatement. Contactez sans délai l'organisme concerné (banque, service informatique, administration) via ses canaux officiels pour signaler l'incident. Il est également impératif de changer immédiatement tous les mots de passe compromis (e-mail, comptes bancaires, applications professionnelles, etc). Enfin, signalez l'incident en interne à votre service de sécurité ainsi qu'aux autorités compétentes - comme la police ou la gendarmerie - et sur la plateforme gouvernementale dédiée.

 
Découvrez les offres de sécurité d'Orange Pro
Protégez votre entreprise contre les cyberattaques.
En savoir plus >