Hameçonnage par téléphone

L'hameçonnage par téléphone (en anglais, vishing, une combinaison de voice et phishing) est une pratique criminelle d'ingénierie sociale qui consiste à communiquer avec des gens par téléphone dans le but de les frauder. Cette fraude utilise habituellement la voix sur IP à cause des flexibilités de cette technologie et de son coût très bas.

L'hameçonnage par téléphone exploite la confiance du public dans la téléphonie fixe traditionnelle pour laquelle les lignes téléphoniques se terminaient à un lieu physique connu et étaient associées à un abonné. Souvent les victimes ne savent pas que la voix sur IP permet maintenant des choses qui étaient auparavant impossibles avec le système téléphonique traditionnel par exemple l'usurpation du numéro appelant, les serveurs vocaux interactifs complexes, le coût presque nul des communications et l'anonymat de l'appelant. L'hameçonnage par téléphone est habituellement utilisé pour voler des numéros de carte de crédit ou des informations personnelles qui seront par la suite utilisées pour usurper l'identité des victimes[1].

Les forces policières peuvent difficilement repérer et contrer les tentatives d'hameçonnage par téléphone. Les gens qui reçoivent des appels automatisés leur demandant d'appeler à un certain numéro devraient ignorer ces appels ou, s'ils appellent, ils devraient se garder de fournir leur numéro de carte de crédit ou des informations personnelles.

Certains outils permettent de surveiller le réseau téléphonique commuté pour identifier des aspects récurrents des hameçonnages par téléphone, par exemple un grand nombre d'appels dirigés vers des centres d'appels et provenant de numéros de téléphone associés au service Skype.

Déroulement typique d'un hameçonnage par téléphone

Voici le déroulement typique d'un hameçonnage par téléphone :

  1. Le fraudeur programme un composeur qui appellera un grand nombre de personnes dans une région.
  2. Lorsqu'une personne répond à l'appel du composeur, un enregistrement, souvent produit par un système de synthèse vocale, lui mentionne un problème quelconque relié à sa carte de crédit ou son compte de banque et lui demande d'appeler immédiatement à un certain numéro de téléphone. Dans certains cas, pour tromper la personne, le numéro à appeler et le nom d'une institution financière apparaissent sur le téléphone de la personne appelée.
  3. Lorsque la personne appelle au numéro fourni, un système automatisé lui demande son numéro de carte de crédit ou son numéro de compte bancaire, avec possiblement d'autres informations personnelles comme des numéros d'identification personnelle (NIP), des dates d'expiration, des cryptogrammes visuels (codes au dos des cartes de crédit), des dates de naissance, etc.
  4. Le fraudeur peut par la suite utiliser ces informations pour usurper l'identité de la personne et faire des achats ou accéder à son compte bancaire.

Il existe de nombreuses variantes au scénario précédent. Par exemple, un composeur peut être utilisé à l'étape 2 pour identifier les personnes naïves et un humain peut intervenir à l'étape 3 pour convaincre la personne de fournir l'information demandée.

Un message électronique peut aussi être utilisé à l'étape 2 pour informer la personne d'un problème avec sa carte de crédit ou son compte bancaire et lui demander d'appeler à un numéro de téléphone.

Dans d'autres cas, plutôt que de mentionner un problème avec une carte de crédit ou un compte bancaire, on mentionne à la personne que son ordinateur émet des messages indiquant qu'il est sévèrement infecté par un virus et on tente de lui vendre un logiciel pour le nettoyer.

Notes et références
  1. Ministère de l'Intérieur, « Le vishing (hameçonnage vocal), gare aux appels frauduleux ! », sur https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/Le-vishing-hameconnage-vocal-gare-aux-appels-frauduleux (consulté le )
  • Portail de la sécurité informatique
  • Portail d’Internet
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.