Phishing par téléphone
Le phishing téléphonique, également appelé vishing ou phishing vocal, est un type de fraude qui utilise des appels téléphoniques pour tenter d'accéder à des informations confidentielles. Son concept et son exécution sont similaires au phishing par courrier électronique, mais au lieu d'utiliser les courriers électroniques comme vecteur d'attaque, les attaquants utilisent les appels téléphoniques. Les auteurs de phishing par téléphone tentent généralement d'amener leurs victimes à révéler des données personnelles telles que des numéros de carte de crédit et des mots de passe en prétendant qu'elles appartiennent à une organisation légitime.
La première étape pour un attaquant lorsqu’il mène un phishing téléphonique est généralement la recherche de cibles potentielles. Cela impliquerait de collecter des informations sur la personne ou l'entreprise ciblée, soit par le biais de sources accessibles au public, soit par des tactiques d'ingénierie sociale, comme appeler des représentants du service client d'autres entreprises et se faire passer pour quelqu'un qui travaille dans l'entreprise cible. Une fois qu’ils auront rassemblé suffisamment d’informations sur leur(s) cible(s), ils commenceront à passer des appels non sollicités afin d’entrer en contact avec elles.
Une fois le contact établi, l'attaquant essaiera différentes méthodes pour convaincre la victime de fournir des données sensibles, par exemple en essayant de lui faire croire que quelque chose de grave pourrait se produire si elle ne les fournit pas (par exemple, « Nous avons besoin de votre numéro de carte de crédit pour commandez-nous de ne pas geler votre compte »). D'autres techniques courantes consistent à offrir des services ou des produits gratuits s'ils fournissent leurs coordonnées et à prétendre qu'il y a eu un problème avec leur compte qui doit être vérifié avant de pouvoir être résolu. En général cependant, toute tentative d’une entité inconnue demandant des informations sensibles doit toujours être considérée comme suspecte, aussi convaincante que puisse paraître l’argument à première vue.
Pour se protéger contre ce type d'attaques, les utilisateurs ne doivent jamais divulguer de détails financiers par téléphone, sauf si cela est absolument nécessaire et seulement après avoir vérifié avec qui vous parlez exactement. Si possible, demandez plus d'informations d'identification que le simple nom (comme le numéro d'employé) afin de savoir que vous parlez avec une personne autorisée au sein de cette organisation. De plus, ne répondez jamais directement par e-mail – cela pourrait facilement inciter des fraudeurs à accéder à votre système. En outre, envisagez de mettre en place une authentification à deux facteurs sur tous les comptes nécessitant des mesures de sécurité supplémentaires, comme les sites Web bancaires ou les échanges de cryptomonnaies où de grosses sommes d'argent pourraient potentiellement être perdues en raison de tentatives de vol telles que celles décrites précédemment.
