vishing
Produits et Services PRODUITS & SERVICES

Vishing : des cybercriminels ont utilisé une double arnaque téléphonique !

Les arnaques téléphoniques où une personne ou un ordinateur vous appelle et essaie de vous inciter à dire, acheter ou faire quelque chose que vous regretterez plus tard, restent un type de cybercriminalité très répandu.

Nous avons été confrontés à ce type d’arnaques très récemment, enregistrant parfois même plusieurs faux appels par jour.

NB : Nous ne pouvons pas vous dire si cette tendance est due au fait que nous ayons récemment changé de numéro de téléphone, ou à l’augmentation du nombre d’appels frauduleux émis par les cybercriminels pendant la période de confinement lié au coronavirus, ou bien s’il s’agit d’une combinaison des deux.

Ce que nous avons remarqué, c’est que la plupart des appels frauduleux que nous avons reçus ces jours-ci étaient automatisés et qu’il s’agissait, tout comme d’ailleurs les emails de phishing qui tentent de vous inciter à passer à l’action, simplement d’appels de type call-to-action, et non d’appels vous déroulant un pitch de vente à proprement parler.

Bien sûr, nous voyons encore beaucoup d’escrocs qui téléphonent en personne via une technique de type Cold Calling, à savoir une approche téléphonique à froid, entrant directement en contact avec vous et essayant de vous duper. Les thèmes les plus couramment utilisés en ce moment sont :

  • Un faux support technique pour un “virus informatique” inexistant sur notre réseau domestique. Ici, les cybercriminels passent directement à l’action en essayant de nous inciter à leur donner un accès distant à notre ordinateur et leur transmettre les détails de notre carte de crédit afin de payer une fausse “prestation” qui s’avère être totalement inutile.
  • Des “offres spéciales” douteuses concernant un forfait de maintenance gratuit pour notre système de chauffage. Ce type d’arnaques semble être une ruse pour obtenir des données personnelles relatives à des comptes de services publics existants, des informations qui sont sans aucun doute utiles aux cybercriminels intéressés par le vol d’identité.
  • Un avertissement concernant l’isolation défaillante de votre maison, laquelle “pourrait s’avérer dangereuse”. Avec cette arnaque, les escrocs espèrent clairement être invités à envoyer une personne pour examiner votre bien, se faisant passer pour un “expert” officiel ou du moins habilité.

Cependant, la grande majorité des arnaques téléphoniques que nous recevons ces jours-ci sont de type “vishing“, abréviation de phishing vocal ou phishing par messagerie vocale.

Dans ce type d’arnaques, les cybercriminels utilisent des techniques automatisées qui récitent directement un message s’ils pensent qu’un humain a répondu au téléphone, ou attendent le bon moment pour laisser un message s’ils souhaitent plutôt utiliser la messagerie vocale.

Notez que dans la grande majorité des appels frauduleux récents qui ont été reçus au Royaume-Uni, le numéro de l’appelant était une ligne fixe au Royaume-Uni, généralement avec un indicatif de l’une des principales régions métropolitaines britanniques.

Ces appels qui ne provenaient pas de lignes fixes se sont tous affichés comme étant des téléphones mobiles britanniques, aucun d’entre eux n’était “inconnu” ou à priori d’origine étrangère.

Pourquoi la messagerie vocale ?

La raison pour laquelle la technique de vhishing basée sur l’utilisation de la messagerie vocale semble être de plus en plus utilisée actuellement est évidente : de nombreuses personnes refusent naturellement de répondre aux appels provenant de numéros qu’ils ne connaissent pas et les bloquent pour les faire basculer automatiquement vers la messagerie vocale.

En laissant des messages automatisés, de la même manière d’ailleurs que de nombreuses entreprises officielles telles que les centrales de réservation de taxis, les cybercriminels évitent d’avoir à trop s’impliquer personnellement au début.

Cette technique de vishing fait non seulement gagner du temps aux cybercriminels, mais elle permet également, en vous demandant notamment de faire un choix comme appuyer sur 1 ou bien rester en ligne, de présélectionner les personnes qui n’ont pas compris tout de suite qu’il s’agissait d’une arnaque téléphonique.

En d’autres termes, les escrocs ont converti ce qui était autrefois un processus de sollicitation à froid (Cold Calling) de milliers de personnes en un système largement automatisé où seuls ceux qui sont déjà apparemment réceptifs à ce type d’arnaques restent en ligne.

Cette technique de vishing permet également aux cybercriminels d’utiliser le même type de technologie vocale synthétique que celle utilisée par des entreprises légitimes pour élaborer leurs messages officiels “enregistrés”, s’exprimant très souvent clairement avec un accent local.

Bien sûr, les cybercriminels utilisent toujours des scripts prêts-à-réciter alimentant ainsi leurs systèmes de voix automatisée, de sorte que les messages semblent être parfois, mais pas toujours, de manière évidente des appels malveillants en raison de l’incohérence de l’ “interlocuteur local”, à l’accent parfait, mais faisant des erreurs grammaticales improbables.

Double arnaque téléphonique

Dans une récente arnaque de type vishing que nous avons observée, les cybercriminels ont heureusement commis une triple erreur : leur système de messagerie a démarré trop tôt, ne parvenant pas à identifier la fin de notre propre message vocal : une erreur qu’aucun humain ne commettrait à priori; leur message contenait des erreurs grammaticales des plus étranges; et enfin ils ont accidentellement utilisé deux arnaques via un seul et unique message.

Fait amusant, si l’on peut s’exprimer ainsi, nous avons reçu la moitié d’un message d’avertissement concernant une fraude provenant d’une voix féminine parlant un anglais britannique avec un accent anglais standard.

Puis, après une courte pause, la voix est passée à celle d’un homme joyeux et optimiste parlant avec un accent de type anglais américain standard, nous informant avec enthousiasme que notre prêt avait été accordé :

[Voix féminine britannique, calme et neutre]… d’une valeur de 350 £ pour laquelle votre carte Visa liée à votre compte Amazon a été débitée. Si vous souhaitez annuler cette commande, veuillez appuyer sur 1 pour entrer en contact avec l’équipe de détection des fraudes d’Amazon, sinon appuyez sur 2 pour rappeler ce même numéro.

[Voix masculine américaine, optimiste et joyeuse] Félicitations ! Ce message concerne votre demande de prêt, qui a été accordée par notre société pour un montant maximum de 10 000 $. Donc, si vous êtes toujours intéressé par ce prêt, appuyez sur 1 dès maintenant.

La combinaison ridicule de ces deux arnaques différentes était en réalité un formidable cadeau, mais il s’agit également d’un rappel pour nous indiquer que les escrocs à la manœuvre mènent clairement une campagne au niveau mondial, ciblant simultanément des personnes aux quatre coins de la planète, dans différentes devises, avec différents messages thématiques proposés avec des accents locaux.

Quoi faire ?

Comme nous l’avons déjà dit, vous ne pouvez pas faire grand-chose pour empêcher ces appels malveillants.

Selon nous, ces appels sont généralement passés depuis l’extérieur de votre pays, mais apparaissent avec un numéro local utilisé par le fournisseur VoIP des cybercriminels, signifiant ainsi que les numéros changent régulièrement.

Nous vous conseillons de signaler le numéro de l’appelant aux autorités compétentes de votre pays, mais nous sommes conscients qu’une telle démarche peut représenter trop d’efforts ou vous obliger à divulguer trop de données personnelles, dans certains pays du moins, nous nous limiterons donc ici à une simple recommandation.

Nous savons également que dans de nombreux pays, les régulateurs ne peuvent pas faire grand-chose pour poursuivre les cybercriminels qui opèrent depuis l’étranger en utilisant cette technique de vishing (notons toutefois que si personne ne dit quoi que ce soit, alors le régulateur ne pourra véritablement rien entreprendre car le problème persistera de manière invisible).

Nos conseils, au niveau de votre vie quotidienne, pour repérer et stopper les cybercriminels, notamment ceux qui utilisent la messagerie vocale et les SMS pour vous attirer, sont les suivants :

  • N’essayez pas. N’achetez pas. Ne répondez pas. Gardez en mémoire ce slogan simple à assimiler, créé par le secteur australien de la cybersécurité il y a de nombreuses années maintenant. C’est une bonne façon de vous rappeler comment gérer les spammeurs et autres charlatans en ligne.
  • Ne vous laissez pas avoir ou séduire en parlant avec les cybercriminels. Nous vous déconseillons ce que l’on appelle le croque-escroc (“scambaiting“), à savoir un type de passe-temps qui consiste à échanger délibérément avec les cybercriminels, en particulier au téléphone, dans l’espoir qu’il pourrait être amusant de voir qui est à l’autre bout du fil. N’oubliez pas que vous parlez à un escroc, donc il est clair que cette discussion ne vous mènera nulle part.
  • Contactez les entreprises que vous connaissez en utilisant les informations en votre possession. Si vous craignez une transaction frauduleuse, connectez-vous à votre compte directement ou appelez vous-même la ligne d’assistance de l’entreprise.
  • Ne vous fiez jamais aux informations fournies dans un email ou transmises lors d’un appel. N’appelez jamais un numéro donné par un interlocuteur à priori malveillant. S’il s’agit d’un escroc, non seulement vous allez de nouveau tomber sur eux, mais vous confirmerez également les hypothèses (par exemple, “vous avez demandé un prêt” ou “il s’agit de votre compte Amazon”) que l’escroc a faites lors du contact initial.

Ne répondez pas aux appels vocaux indésirables; ni aux appels automatisés de type messagerie vocale; ne cliquez pas sur les liens de connexion dans les emails; et si vous devez signaler ou investiguer une escroquerie ou une fraude, recherchez les informations nécessaires par vos propres moyens pour contacter l’entreprise concernée.

Billet inspiré de Vishing criminals let rip with two scams at once, sur Sophos nakedsecurity.

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published.