Le smishing et le vishing sont des types d’attaques de phishing qui tentent d’attirer les victimes par le biais de messages SMS et d’appels vocaux. Les deux s’appuient sur les mêmes appels émotionnels employés dans les escroqueries de phishing traditionnelles et sont conçus pour vous pousser à une action urgente. La différence réside dans le mode de livraison.
« Les cybercriminels peuvent appliquer des techniques de manipulation à de nombreuses formes de communication car les principes sous-jacents restent constants », explique le leader de la sensibilisation à la sécurité Stu Sjouwerman, PDG de KnowBe4. « Attirer les victimes avec des appâts, puis les attraper avec des hameçons. »
Qu’est-ce que le smishing ?
Définition du smishing : Le smishing (hameçonnage par SMS) est un type d’attaque par hameçonnage mené à l’aide de SMS (Short Message Services) sur les téléphones cellulaires.
Comme les escroqueries par hameçonnage par courriel, les messages de smishing comprennent généralement une menace ou une incitation à cliquer sur un lien ou à appeler un numéro et à remettre des informations sensibles. Parfois, ils peuvent vous suggérer d’installer un logiciel de sécurité, qui s’avère être un logiciel malveillant.
Exemple de smishing : Un SMS de smishing typique pourrait dire quelque chose du genre : » Votre compte de la banque ABC a été suspendu. Pour débloquer votre compte, tapez ici : https://bit.ly/2LPLdaU » et le lien fourni téléchargera un logiciel malveillant sur votre téléphone. Les escrocs savent également s’adapter au support qu’ils utilisent. Ainsi, vous pourriez recevoir un SMS disant : « Est-ce vraiment une photo de vous ? https://bit.ly/2LPLdaU » et si vous tapez sur ce lien pour le découvrir, là encore vous téléchargez un logiciel malveillant.
Qu’est-ce que le vishing ?
Définition du vishing : Le vishing (hameçonnage vocal) est un type d’attaque par hameçonnage qui se fait par téléphone et qui cible souvent les utilisateurs de services de voix sur IP (VoIP) comme Skype.
Il est facile pour les escrocs de truquer l’identification de l’appelant, de sorte qu’ils peuvent sembler appeler d’un code régional local ou même d’une organisation que vous connaissez. Si vous ne décrochez pas, ils laissent un message vocal vous demandant de rappeler. Parfois, ces types d’escroqueries font appel à un service de réponse ou même à un centre d’appels qui n’est pas au courant du crime perpétré.
Encore une fois, le but est d’obtenir des détails de carte de crédit, des dates de naissance, des ouvertures de compte, ou parfois simplement de récolter des numéros de téléphone dans vos contacts. Si vous répondez et rappelez, il peut y avoir un message automatisé vous invitant à transmettre des données et de nombreuses personnes ne se poseront pas de questions, car elles acceptent les systèmes téléphoniques automatisés comme faisant partie de la vie quotidienne maintenant.
Comment prévenir le smishing et le vishing
Nous sommes un peu plus sur nos gardes avec les emails de nos jours car nous sommes habitués à recevoir des spams et les arnaques sont courantes, mais les messages textuels et les appels peuvent encore sembler plus légitimes pour de nombreuses personnes. Comme nous faisons de plus en plus d’achats, de transactions bancaires et d’autres activités en ligne par le biais de nos téléphones, les possibilités pour les escrocs prolifèrent. Pour éviter de devenir une victime, vous devez vous arrêter et réfléchir.
« Le bon sens est une meilleure pratique générale et devrait être la première ligne de défense d’un individu contre la fraude en ligne ou par téléphone », dit Sjouwerman.
Bien que les conseils sur la façon d’éviter de se faire accrocher par les escroqueries par hameçonnage aient été écrits en pensant aux escroqueries par courriel, ils s’appliquent tout aussi bien à ces nouvelles formes d’hameçonnage. À la base, il faut commencer par ne faire confiance à personne. Ne tapez jamais sur un lien dans un message et ne cliquez pas dessus, cherchez les numéros et les adresses de sites Web et saisissez-les vous-même. Ne donnez aucune information à un appelant à moins d’être certain qu’il est légitime – vous pouvez toujours le rappeler.
Il vaut mieux prévenir que guérir, alors privilégiez toujours la prudence. Aucune organisation ne vous reprochera de raccrocher puis de les appeler directement (après avoir vérifié le numéro vous-même) pour vous assurer qu’ils sont vraiment qui ils prétendent être.
Mettez à jour votre formation de sensibilisation
Si rester sur vos gardes est un conseil solide pour les individus dans la vie de tous les jours, la réalité est que les personnes sur le lieu de travail sont souvent négligentes. Ils peuvent être distraits, sous pression et désireux de poursuivre leur travail et les escroqueries peuvent être diablement intelligentes. Que faire si le SMS semble provenir du PDG ou si l’appel semble provenir d’un membre des RH ? Vous pouvez endurcir vos employés et renforcer vos défenses avec la bonne formation et des politiques claires.
Chaque entreprise devrait avoir une sorte de programme de formation obligatoire et régulier de sensibilisation à la sécurité. Il peut inclure les meilleures pratiques pour la sécurité générale, mais aussi définir des politiques, telles que la personne à contacter en cas de quelque chose de suspect, ou des règles sur la façon dont certaines communications sensibles seront traitées, qui rendent les tentatives de tromperie beaucoup plus faciles à repérer.
Si vous subissez une forme d’attaque de phishing, apportez des changements pour vous assurer que cela ne se reproduira plus – cela devrait également informer votre formation à la sécurité.
La majorité des attaques de smishing et de vishing ne sont pas signalées et cela fait le jeu des cybercriminels. Même si vous êtes assez intelligent pour ignorer le dernier SMS ou appel suspect, peut-être que Marge à la comptabilité ou Dave aux RH en seront victimes. Si vous avez un système en place pour que les gens signalent ces tentatives d’attaques, et peut-être même une petite récompense pour le faire, alors cela vous présente une opportunité de prévenir les autres.
Comme le phishing continue d’évoluer et de trouver de nouveaux vecteurs d’attaque, nous devons être vigilants et mettre continuellement à jour nos stratégies pour le combattre.