Connaissez-vous le vishing ? Contraction de voice (voix) et phishing (hameçonnage), il s’agit d’une arnaque téléphonique dans laquelle des fraudeurs se font passer pour un tiers de confiance. Leur but : vider le compte bancaire de leurs victimes. Si elle est en augmentation depuis plusieurs années, cette technique n’est heureusement pas infaillible. Il existe en effet des moyens de s’en prémunir.
Continuez votre lecture pour en savoir plus !
Vous voulez en savoir plus sur la fraudes en entreprise ? Découvrez notre étude exclusive la fraude et les dispositifs à mettre en place pour s’en protéger efficacement.
Comment fonctionne le vishing ?
Vous avez très probablement déjà entendu parler du phishing en entreprise. Il s’agit d’une arnaque dans laquelle un escroc cherche à se faire passer pour un organisme sérieux (banque, mutuelle, administration fiscale…) pour soutirer des données bancaires confidentielles. Le phishing utilise l’email frauduleux ou les textos pour attirer les victimes, en les incitant à cliquer sur des liens qui mènent à des sites Web malveillants.
Contrairement à son homologue, qui se base sur l’écrit, le vishing est une technique d’hameçonnage par téléphone.
Comment fonctionne-t-elle ? Par exemple, le salarié d’une entreprise va cliquer sur un lien provenant d’un email inconnu, sans penser à se méfier. Un message inquiétant va alors apparaître à l’écran, puis celui-ci va devenir entièrement noir. Un numéro de téléphone supposément gratuit apparaît ensuite, soi-disant pour pour réparer le problème.
Confiant, le salarié compose le numéro et échange avec une personne qui lui propose son aide. On le prévient toutefois qu’il doit fournir des informations personnelles (typiquement : ses coordonnées bancaires) et régler une certaine somme d’argent. Une fois que l’utilisateur s’est exécuté, son interlocuteur disparaît et commence à ponctionner son compte bancaire. Résultat : le salarié est piégé et les répercussions sur l’entreprise sont immédiates.
Autre technique : un faux conseiller bancaire contacte sa victime (par exemple : un salarié d’une direction financière) par téléphone. La victime, se sentant en confiance et croyant échanger avec un interlocuteur sérieux, va divulguer des informations confidentielles sur l’entreprise.
Les montants volés peuvent parfois atteindre plusieurs milliers d’euros, et les victimes ne sont pas toujours remboursées par leur banque, comme l’a montré l’association UFC Que Choisir.
Les attaques par vishing ont progressé de 554 % sur le dernier trimestre 2021 par rapport au début de l’année. Elles ont également atteint 1 milliard de dollars selon une enquête de la BBC. Il est donc important de prendre connaissance de ces techniques pour s’en protéger au mieux.
Les techniques les plus courantes
Le vishing peut prendre plusieurs formes. Voici une liste des techniques les plus fréquemment utilisées par les pirates informatiques.
1. Le robocall
Grâce à un logiciel, des appels préenregistrés sont envoyés à tous les numéros de téléphone d’un indicatif régional déterminé. Lorsque la victime décroche, une voix automatisée va lui demander de communiquer des informations personnelles. Les réponses ainsi obtenues sont ensuite utilisées pour voler de l’argent ou réaliser des usurpations d’identité, dans le but d’ouvrir des comptes bancaires.
2. L’appel du support technique
Cette attaque est fréquente dans les grandes entreprises. Elle consiste pour les arnaqueurs à se faire passer pour le support technique de l’entreprise, et à demander à leurs victimes d’effectuer une opération sur leur ordinateur, telle qu’une mise à jour. Pour cela, ils demandent le mot de passe de la victime, ce qui leur permet ensuite de s’introduire ensuite sur son ordinateur.
3. L’appel du (faux) fournisseur
Dans ce type d’attaque par vishing, les escrocs se font passer pour le fournisseur d’une entreprise et demandent en urgence le paiement d’une facture. Il s’agit en quelque sorte de la version “vocale” de la fraude au président.
En l’absence de processus de validation, il est facile de tomber dans le piège. D’où l’importance, pour toute entreprise, de faire approuver par deux personnes au moins le paiement de toute facture.
4. L’usurpation d’identité
De la même façon, l’identité d’un tiers va être falsifiée pour piéger l’interlocuteur. Concrètement, les fraudeurs vont se faire passer pour une institution sérieuse et/ou une administration légitime pour inciter la victime à communiquer des informations confidentielles, sous un prétexte fallacieux.
5. Le dumpster diving
Ce type d’attaque téléphonique est réalisée à partir d’informations recueillies dans les poubelles (dumpster en anglais) d’une entreprise. En effet, les documents officiels (courriers, factures, etc.) contiennent bien souvent des informations personnelles, que les fraudeurs peuvent utiliser pour réaliser une attaque par vishing.
Pour se protéger, chaque entreprise doit donc penser à détruire ses documents confidentiels avant de les jeter.
Comment reconnaître le vishing ?
Comment discerner le vrai du faux ? Comment reconnaître le vishing ? En premier lieu, il convient de se rappeler que les escrocs opèrent souvent le vendredi soir ou le week-end, pour éviter que les victimes ne procèdent à des vérifications auprès de leur banque.
Ils vont aussi chercher à engendrer chez les victimes un sentiment d’urgence et de panique, qui va les pousser à agir de manière non rationnelle.
Enfin, un autre signal d’alarme réside dans le refus des escrocs de fournir des informations pour vérifier leur identité (nom, coordonnées de leur entreprise, etc). Au moindre doute, faites confiance à votre intuition et reportez-vous toujours à la direction informatique de votre entreprise avant d’agir.
Des conseils de prévention pour l’éviter
Il n’est pas toujours facile de savoir quand une personne est victime de vishing au sein d’une entreprise. De plus en plus ingénieux, les fraudeurs utilisent en effet des techniques affûtées et utilisent des informations confidentielles pour mettre en confiance leurs interlocuteurs.
Il existe cependant des signes qui doivent vous alerter :
- La personne qui vous appelle se montre inutilement pressante, et cherche à engendrer chez vous un sentiment de panique. C’est une technique pour vous pousser à agir immédiatement, sans procéder à des vérifications préalables.
- L’appelant cherche à obtenir des informations personnelles et potentiellement sensibles, comme votre mot de passe, vos coordonnées bancaires, etc.
- L’appelant refuse de justifier son identité, ou se montre étrangement évasif.
Pour se protéger, il est également conseillé de mettre en place les mesures suivantes :
- Ne pas communiquer son numéro de téléphone professionnel lorsque cela n’est pas strictement nécessaire. Les données personnelles des entreprises (et des particuliers) peuvent ensuite se retrouver sur le Dark Net, un vivier de choix pour les escrocs en tout genre.
- Ne pas communiquer ses données personnelles par téléphone, sauf si l’on est absolument sûr de l’identité de son interlocuteur.
- Vérifier systématiquement le numéro de l’appelant.
- Ne pas cliquer sur des liens inconnus et/ou douteux.
- Procéder à des vérifications systématiques avant de payer une facture ou de réaliser un virement.
- En cas de problème informatique (blocage, écran qui devient noir…), toujours se référer à la DSI de son entreprise, et ne jamais appeler de numéro de téléphone que l’on ne connaît pas.
Que faire en cas de vishing, et quelles sont les étapes à suivre ?
Si vous avez été victime de vishing, vous devez agir rapidement. Contactez votre établissement bancaire et modifiez tous les mots de passe qui permettent d’accéder à vos comptes.
Pensez également à conserver toutes les preuves (appels, messages, emails, ordres de virement, relevés de comptes…), ce qui vous permettra d’étayer votre plainte si vous choisissez de déposer plainte en gendarmerie. A noter : il est également possible d’écrire au procureur de la République du tribunal judiciaire pour porter plainte.
Enfin, pensez à signaler la fraude dont vous avez été victime sur la plateforme gouvernementale PHAROS (pour « plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements »). Votre signalement aidera les autorités à identifier les auteurs de la fraude.
Le vishing peut avoir comme but de faire réaliser des paiements vers des comptes frauduleux. Pour protéger les entreprises de ces fraudes, la plateforme Trustpair bloque les paiements frauduleux grâce à un contrôle automatisé avant l’exécution de toute opération de paiement. Elle vous permet d’éviter les effets néfastes du vishing en bloquant les paiements frauduleux. Demandez une demo pour en savoir plus !
Pour conclure…
Le vishing est une escroquerie qui peut être difficile à déceler, comme la plupart des tentatives de fraude au virement bancaire (en savoir plus ici). Or, ses conséquences (financières, opérationnelles, réputationnelles…) peuvent être néfastes pour une entreprise. Il est donc important d’apprendre à la détecter, et de former ses salariés pour qu’ils acquièrent les bons réflexes et ne tombent pas dans le piège au cas où ils en seraient victimes.
