Vishing : définition
Le vishing (voice + phishing) ou phishing par téléphone est une pratique malveillante qui vise à amener sa victime à révéler des informations sensibles ou effectuer des actions compromettantes.
Nous sommes habitués à recevoir des appels téléphoniques de la part d’entreprises pour de la publicité. Parmi ces appels certains sont malveillants et ont pour but d’extorquer des informations personnelles comme vos données, mots de passe ou vos coordonnées bancaires.
Cette attaque peut survenir directement à travers un appel vocal mais aussi avec les messageries instantanées. Il est possible que le hacker laisse un message vocal vous incitant à le rappeler rapidement ou effectuer une action compromettante.
Selon un rapport de Proofpoint, réalisé sur plus de 600 professionnels de l’informatique de 7 pays différents, 83% des entreprises interrogées ont indiqué avoir été confrontées au vishing par le passé.
Comment fonctionne le phishing vocal ?
La première étape du vishing est le renseignement : le hacker doit trouver un prétexte pour contacter la victime. Le hacker passe par une phase appelée OSINT — la collecte d’information de sources ouvertes, disponible publiquement — dans le but d’être cohérent dans son rôle et d’imaginer un prétexte crédible pour son attaque.
La deuxième étape est l’appel téléphonique : l’échange entre victime et malfaiteur intervient à cette étape. L’attaquant va utiliser les informations récoltées pour créer un climat de confiance et obtenir des informations sur sa victime.
Enfin, intervient l’étape du cash-in : le hacker compromet l’activité de l’entreprise. Il extorque des données, installe un ransomware ou encore réalise un transfert d’argent de l’entreprise vers l’extérieur.
Le vishing repose sur les techniques de manipulation, de social engineering. Ainsi, le pirate utilise de nombreux principes psychologiques, de l’autorité à l’urgence, en passant par la confiance pour manipuler la victime.
Une forme connue de vishing est l'arnaque au président. Dans ce cas, l'individu malveillant utilise l’autorité pour que sa cible n’applique pas le protocole de sécurité et décide de suivre les ordres de son “supérieur”.
Le hacker peut exploiter un prétexte urgent dans le même objectif de contourner le processus de sécurité. Ce n'est pas tout : il existe bien d’autres principes de manipulation que peuvent utiliser les hackers. Nous ne présentons ici qu'un échantillon de techniques connues.
Pourquoi ça fonctionne ?
Les victimes baissent généralement leur vigilance lors d’une attaque de vishing car l'attaquant utilise un ou plusieurs leviers émotionnels à leur insu. Si on compare au phishing par email, avoir un interlocuteur et répondre en temps réel augmente la possibilité de manipulation. Le hacker instaure de la confiance dans l’échange et prétexte une urgence pour que la victime agisse émotionnellement au lieu de réfléchir rationnellement aux actions demandées.
Le hacker a généralement récolté plusieurs informations et peut avoir piraté la boîte mail de l’individu dont l'identité est usurpée afin de vous certifier son authenticité.
Certains cas de vishing exploitent des technologies comme les deep fakes ou font appel à des imitateurs de voix permettant d’augmenter la crédibilité de l’attaque et la capacité d’usurpation d’identité.
Il est difficile pour un employé de refuser les ordres d’un supérieur hiérarchique, notamment lorsque l'échange s'effectue lors d'un appel téléphonique.
Habituellement, le pirate évoque l’urgence afin que la victime n’applique pas le protocole de sécurité classique. Face à un “VIP”, la victime n’ose généralement pas contredire et s’assure de répondre aux diverses demandes.
C’est généralement une fois l’appel terminé que la victime vérifie l’identité de l’individu qu’elle vient d’avoir au téléphone. Malheureusement, si elle a effectué les actions, il est trop tard pour revenir en arrière.
Exemples d’attaque par vishing
Gilbert Chikli, un hacker français, a été condamné à 7 ans de prison après avoir détourné 8 millions d’euros à 33 banques et entreprises. M. Chikli utilisait l’arnaque au président afin de demander des transferts d'argent. Il usurpait l’identité du président d’entreprise ou d’un agent de la DGSE luttant contre le terrorisme.
Posant ainsi les bases des arnaques au président par vishing, Chikli réussit à extorquer un total de 60 millions d’euros. Les victimes réussiront tout de même a récupérer 52,8 millions d'euros.
En 2015, un groupe d’arnaqueurs usurpent l’identité de M. Le Drian, ministre des affaires étrangères. Ils demandent à plusieurs ONG et entreprises d’aider la France financièrement pour libérer des otages ou lutter contre le terrorisme.
Le mode opératoire utilisé est toujours le même : usurper une figure d’autorité par téléphone. Le faux Le Drian utilisait un masque en silicone à l'effigie du ministre pour leurrer les victimes lors de visioconférences. Au final, le groupe de hackers a volé plusieurs dizaines de millions d’euros à travers plus de 150 tentatives d’escroqueries.
Lors d’une DEFCON — conférence sur le thème du hacking — à Las Vegas, Kevin Roose de Future Technology a demandé à Chris Hadnagy de lui montrer une cyberattaque. Il souhaitait observer une attaque simple mais efficace d’ingénierie sociale sur ses informations personnelles, une belle démonstration de vishing.
Le vishing de demain
Les techniques de vishing se développent de jour en jour afin de réaliser des attaques inédites, surprenant leurs victimes. Le voice cloning — permettant d’usurper la voix d’une personne — est une technique qui se développe peu à peu. Il est possible de transformer sa propre voix pour imiter celle de l’individu dont on a pu obtenir un enregistrement vocal.
Avec les progrès de l’intelligence artificielle, il est possible de créer une voix synthétique. Elle imite celle d’un individu à partir d’un simple extrait de sa voix de quelques secondes. Une entreprise a d’ailleurs subi une attaque similaire. À cause d’une voix artificielle imitant celle d’un dirigeant de la société, un autre dirigeant a transféré 220 000€ vers un compte étranger.
Le PDG de l’entreprise a reçu un appel d’un dirigeant de la maison mère, désirant réaliser un virement de 220 000€ vers un compte hongrois. La victime assure avoir reconnu la voix de son supérieur, ses intonations ainsi que son accent. Le hacker a ensuite utilisé la véritable boîte mail du dirigeant, piratée en amont de l'attaque, pour envoyer les informations relatives au virement.
Le lendemain, le PDG reçoit un second appel annonçant le remboursement du virement. Après quelques heures, le PDG reçoit un troisième appel alors que le remboursement n’apparaît pas. Le fraudeur demande un deuxième virement, seulement, le PDG remarque que l’appel provient d’Autriche. De plus, le numéro de compte vers lequel le pirate demande un virement est différent du premier. L’homme décide de raccrocher et de contacter autrement son supérieur, il comprend donc qu’il a été victime de vishing.
Se protéger du vishing
Voici 6 pratiques à connaître afin de vous défendre contre le vishing:
- Avoir des process stricts pour les opérations sensibles et l’interdiction d’y déroger, peu importe le motif ou l’urgence qui se présente.
- Vérifier l’identité de son interlocuteur à travers un second canal de contact avant de réaliser des actions critiques. Éviter la boîte mail qui peut être compromise .
- S’il y a un doute sur l’identité de l’individu, mettre un terme à la conversation. Contacter ensuite son service pour authentifier le numéro.
- Noter toutes les informations que l’on vous transmet afin de faire parvenir ce compte-rendu au service sécurité de l’entreprise.
- Redoubler de vigilance si votre interlocuteur vous parle d’urgence, de transfert d’argent ou évoque un motif émotionnel.
- Déployer des solutions de biométrie vocale. Whispeak par exemple, authentifie vos interlocuteurs grâce à une empreinte vocale.
Comme beaucoup d’attaques de manipulation, le vishing n’est possible que si l’élément humain n'est pas suffisamment entraîné. Il est donc important d’éduquer vos collaborateurs sur les possibilités du vishing et leurs conséquences.
La sensibilisation passe aussi par la pratique, vérifier que vos collaborateurs sont prêts à faire face à des attaques. Réalisez des tests, des simulations pratiques afin d’avoir une vision sur le comportement de vos collaborateurs qui peuvent être la cible de ces attaques.
