L'hameçonnage par téléphone (en anglais, vishing, un mot-valise de voice et phishing) est une pratique criminelle d'ingénierie sociale qui consiste à communiquer avec des gens par téléphone dans le but de les frauder. Cette fraude utilise habituellement la voix sur IP à cause des flexibilités de cette technologie et de son coût très bas. Le fraudeur peut utiliser des techniques variées d'ingénierie sociale pour inciter sa potentielle victime à dévoiler ses informations personnelles : par exemple, il peut créer un faux sentiment d'urgence ou de panique chez l'appelé en prétextant un accident chez un proche de la victime.
L'hameçonnage par téléphone exploite la confiance du public dans la téléphonie fixe traditionnelle pour laquelle les lignes téléphoniques se terminaient à un lieu physique connu et étaient associées à un abonné. Souvent les victimes ne savent pas que la voix sur IP permet maintenant des choses qui étaient auparavant impossibles avec le système téléphonique traditionnel par exemple l'usurpation du numéro appelant, les serveurs vocaux interactifs complexes, le coût presque nul des communications et l'anonymat de l'appelant. L'hameçonnage par téléphone est habituellement utilisé pour voler des numéros de carte de crédit ou des informations personnelles qui seront par la suite utilisées pour usurper l'identité des victimes[1]. La confiance est la clé de la réussite de cette méthode. Pour arriver à leurs fins, les arnaqueurs n'hésitent pas à appeler leurs victimes plusieurs fois par jour afin d'établir un véritable lien de confiance et de faciliter la transmission de données personnelles par leurs victimes.
Les forces policières peuvent difficilement repérer et contrer les tentatives d'hameçonnage par téléphone. Les gens qui reçoivent des appels automatisés leur demandant d'appeler à un certain numéro devraient ignorer ces appels ou, s'ils appellent, ils devraient se garder de fournir leur numéro de carte de crédit ou des informations personnelles.
Certains outils permettent de surveiller le réseau téléphonique commuté pour identifier des aspects récurrents des hameçonnages par téléphone, par exemple un grand nombre d'appels dirigés vers des centres d'appels et provenant de numéros de téléphone associés au service Skype.
Voici le déroulement typique d'un hameçonnage par téléphone :
Il existe de nombreuses variantes au scénario précédent. Par exemple, un composeur peut être utilisé à l'étape 2 pour identifier les personnes naïves et un humain peut intervenir à l'étape 3 pour convaincre la personne de fournir l'information demandée.
Un message électronique peut aussi être utilisé à l'étape 2 pour informer la personne d'un problème avec sa carte de crédit ou son compte bancaire et lui demander d'appeler à un numéro de téléphone.
Dans d'autres cas, plutôt que de mentionner un problème avec une carte de crédit ou un compte bancaire, on mentionne à la personne que son ordinateur émet des messages indiquant qu'il est sévèrement infecté par un virus et on tente de lui vendre un logiciel pour le nettoyer.