Les cybercriminels s’orientent de plus en plus vers des formes hybrides d’attaques de phishing, qui combinent des techniques d’ingénierie sociale par e-mail et par appels téléphoniques comme moyen de pénétrer les réseaux d’entreprise pour des attaques de ransomware et l’extorsion de données.
Selon le rapport de cyberintelligence Phishlab pour le deuxième trimestre 2022, les volumes de phishing n’ont augmenté que de 6 % par rapport au premier trimestre 2021. Cependant, l’utilisation du « vishing hybride » connaît une croissance massive de 625 %.
Qu’est-ce que le vishing ?
Le vishing, ou hameçonnage vocal, implique une certaine forme d’appel téléphonique pour faire de l’ingénierie sociale auprès de la victime. Sa forme hybride, appelée « callback phishing », comprend également un e-mail de pré-appel, qui présente généralement à la victime un faux avis d’abonnement ou de facturation.
L’e-mail conseille au destinataire d’appeler le numéro de téléphone fourni pour résoudre tout problème lié au prélèvement, mais au lieu d’un véritable agent du service clientèle, l’appel est pris en charge par les criminels qui ont monté l’arnaque.
Les escrocs proposent ensuite de résoudre le problème présenté en incitant la victime à révéler des informations confidentielles ou à installer des outils de bureau à distance sur son système. Les acteurs de la menace se connectent ensuite à l’appareil de la victime à distance pour installer d’autres portes dérobées ou propager le logiciel malveillant à d’autres machines.
Ces attaques de phishing par rappel ont été introduites pour la première fois avec les campagnes BazarCall, qui sont apparues en mars 2021 pour obtenir un accès initial aux réseaux d’entreprise pour des attaques de ransomware.
Ces attaques fonctionnent si bien que plusieurs groupes de ransomware et d’extorsion, tels que Quantum, Zeon et Silent Ransom Group, ont adopté la même technique pour obtenir un accès initial au réseau par l’intermédiaire d’un employé peu méfiant.
Le botnet Emotet a connu une augmentation significative au deuxième trimestre, remplaçant QBot dans les campagnes de phishing. Les deux ont représenté collectivement 90,2 % de tous les logiciels malveillants présents dans les boîtes de réception des utilisateurs.
Comment identifier une attaque de phishing ou vishing ?
Toutes les attaques de phishing sont basées sur l’usurpation d’identité, que ce soit par le biais d’un e-mail, d’un faux site Web ou, comme nous l’avons vu, d’appels téléphoniques. La façon de les identifier est donc de prêter attention aux détails. Il est vrai que certains hameçonneurs falsifient les e-mails ou les sites Web dans les moindres détails, mais il y a toujours quelque chose qu’ils ne peuvent pas complètement falsifier : l’adresse d’où provient l’e-mail ou l’URL du site Web. C’est là que vous devez bien regarder.
Il est plus difficile d’identifier une attaque par vishing qu’une attaque par phishing. Ces attaques par hameçonnage téléphonique commencent par un message texte et contiennent généralement un numéro de téléphone. Les escrocs utilisent des tactiques d’intimidation pour convaincre les utilisateurs de passer un appel téléphonique.
Que faire contre le phishing et le vishing ?
- Ne divulguez jamais vos informations privées dans un SMS ou par appel. Une institution reconnue vous donnera un numéro à appeler.
- Ne répondez pas aux appels dont vous ne reconnaissez pas le numéro. Redirigez plutôt l’appel vers votre messagerie vocale.
- Soyez sceptique face à tout interlocuteur qui insiste pour obtenir des informations personnelles. Dans tous les cas, ne transmettez jamais vos informations par téléphone, quel que soit votre interlocuteur.
- Utilisez un VPN pour téléphone. Il existe des VPN dotés de fonctionnalités anti-malware qui seront très utiles si vous finissez par cliquer sur un lien malveillant. Un message vous avertira que vous courez un risque et bloquera votre accès au site en question. Vous pouvez également utiliser un VPN pour votre ordinateur ou votre tablette, afin de sécuriser un maximum d’appareils.
- Si vous recevez un email vous demandant des informations personnelles ou financières, ne répondez pas. Si le message vous invite à accéder à un site Web par un lien inclus dans son contenu, ne le faites pas.
- N’envoyez pas d’informations personnelles en utilisant des messages électroniques.
- Dans la mesure du possible, évitez d’accéder au site Web d’une institution financière ou d’un commerce électronique depuis un cyber-café, ou tout autre lieu public.
