Hameçonnage par téléphone

L'hameçonnage par téléphone (en anglais, vishing, un mot-valise de voice et phishing) est une pratique criminelle d'ingénierie sociale qui consiste à communiquer avec des gens par téléphone dans le but de les frauder. Cette fraude utilise habituellement la voix sur IP à cause des flexibilités de cette technologie et de son coût très bas. Le fraudeur peut utiliser des techniques variées d'ingénierie sociale pour inciter sa potentielle victime à dévoiler ses informations personnelles : par exemple, il peut créer un faux sentiment d'urgence ou de panique chez l'appelé en prétextant un accident chez un proche de la victime.

L'hameçonnage par téléphone exploite la confiance du public dans la téléphonie fixe traditionnelle pour laquelle les lignes téléphoniques se terminaient à un lieu physique connu et étaient associées à un abonné. Souvent les victimes ne savent pas que la voix sur IP permet maintenant des choses qui étaient auparavant impossibles avec le système téléphonique traditionnel par exemple l'usurpation du numéro appelant, les serveurs vocaux interactifs complexes, le coût presque nul des communications et l'anonymat de l'appelant. L'hameçonnage par téléphone est habituellement utilisé pour voler des numéros de carte de crédit ou des informations personnelles qui seront par la suite utilisées pour usurper l'identité des victimes[1]. La confiance est la clé de la réussite de cette méthode. Pour arriver à leurs fins, les arnaqueurs n'hésitent pas à appeler leurs victimes plusieurs fois par jour afin d'établir un véritable lien de confiance et de faciliter la transmission de données personnelles par leurs victimes.

Les forces policières peuvent difficilement repérer et contrer les tentatives d'hameçonnage par téléphone. Les gens qui reçoivent des appels automatisés leur demandant d'appeler à un certain numéro devraient ignorer ces appels ou, s'ils appellent, ils devraient se garder de fournir leur numéro de carte de crédit ou des informations personnelles.

Certains outils permettent de surveiller le réseau téléphonique commuté pour identifier des aspects récurrents des hameçonnages par téléphone, par exemple un grand nombre d'appels dirigés vers des centres d'appels et provenant de numéros de téléphone associés au service Skype.

Déroulement typique d'un hameçonnage par téléphone

[modifier | modifier le code]

Voici le déroulement typique d'un hameçonnage par téléphone :

  1. Le fraudeur programme un composeur qui appellera un grand nombre de personnes dans une région.
  2. Lorsqu'une personne répond à l'appel du composeur, un enregistrement, souvent produit par un système de synthèse vocale, lui mentionne un problème quelconque relié à sa carte de crédit ou son compte de banque et lui demande d'appeler immédiatement à un certain numéro de téléphone. Dans certains cas, pour tromper la personne, le numéro à appeler et le nom d'une institution financière apparaissent sur le téléphone de la personne appelée.
  3. Lorsque la personne appelle au numéro fourni, un système automatisé lui demande son numéro de carte de crédit ou son numéro de compte bancaire, avec possiblement d'autres informations personnelles comme des numéros d'identification personnelle (NIP), des dates d'expiration, des cryptogrammes visuels (codes au dos des cartes de crédit), des dates de naissance, etc.
  4. Le fraudeur peut par la suite utiliser ces informations pour usurper l'identité de la personne et faire des achats ou accéder à son compte bancaire.

Il existe de nombreuses variantes au scénario précédent. Par exemple, un composeur peut être utilisé à l'étape 2 pour identifier les personnes naïves et un humain peut intervenir à l'étape 3 pour convaincre la personne de fournir l'information demandée.

Un message électronique peut aussi être utilisé à l'étape 2 pour informer la personne d'un problème avec sa carte de crédit ou son compte bancaire et lui demander d'appeler à un numéro de téléphone.

Dans d'autres cas, plutôt que de mentionner un problème avec une carte de crédit ou un compte bancaire, on mentionne à la personne que son ordinateur émet des messages indiquant qu'il est sévèrement infecté par un virus et on tente de lui vendre un logiciel pour le nettoyer.

Personnalités liées

[modifier | modifier le code]

Notes et références

[modifier | modifier le code]
  1. Ministère de l'Intérieur, « Le vishing (hameçonnage vocal), gare aux appels frauduleux ! »(Archive.orgWikiwixArchive.isGoogleQue faire ?), sur police-nationale.interieur.gouv.fr (consulté le ).