Journal du Net > Solutions > Sécurité >  Sécurité > Décryptages > Vishing : le phishing aidé par la VoIP
Questions & Réponses
 
06/02/2008

Vishing : le phishing aidé par la téléphonie sur IP

Escroquerie menée sur la VoIP, le vishing vise à obtenir frauduleusement des données bancaires grâce à un serveur vocal leurre. Une attaque à ne pas prendre à la légère.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Qu'est-ce que le vishing ?

Le vishing est un terme issu de la contraction de VoIP (voix sur IP) et de phishing. Il s'agit d'une méthode d'escroquerie consistant à utiliser un ou des serveurs afin de composer aléatoirement des numéros de téléphone.

La personne ainsi contactée est classiquement encouragée, le plus souvent par le biais d'un message alarmant, à régulariser sa situation bancaire.

Le destinataire est donc dirigé vers un serveur vocale, puis invité à composer les chiffres de sa carte bancaire, son numéro de compte ou à communiquer d'autres données susceptibles d'être exploitées par des individus malveillants. Le mode opératoire du vishing doit son apparition à la banalisation des technologies de voix sur IP, au développement de services gratuits et au faible coût des communications.

Existe-t-il d'autres méthodes pour initier une attaque en vishing ?

Le vishing peut en effet aussi être initié depuis un courrier adressé par messagerie électronique, et non plus un appel téléphonique réalisé par un serveur vocal. L'e-mail spécifiera alors un numéro de téléphonie sur IP routant l'appel vers un serveur vocal leurre. Le schéma est donc pour la première étape identique à celui utilisé par le phishing.

Quels sont les cas recensés ?

Plusieurs organismes bancaires, dont la banque Chase, ont été les cibles d'attaques en vishing, même s'il reste encore nettement plus rentable pour les pirates de recourir à des méthodes éprouvées comme le phishing.

Récemment, l'Internet Crime Complaint Center (IC3), chargé de recueillir aux Etats-Unis les plaintes consécutives à des crimes sur Internet, a averti d'une montée en puissance du vishing. Des messages texte sont ainsi adressés sur des téléphones, informant le destinataire de l'expiration de son compte de banque en ligne. Le 15 janvier, c'était notamment la Bank of Stanly qui avertissait ses clients contre ce type d'arnaque.

Une technique exploitant la vulnérabilité psychologique

Comment se prémunir contre le vishing ?

Le ministère de l'Intérieur français a notamment consacré une page Web pour présenter le vishing et sensibiliser la population à ce risque. Il rappelle ainsi qu'aucune banque ne vous demandera par courrier électronique, télécopie ou téléphone des renseignements sensibles tels qu'un numéro de carte bancaire ou des identifiants de connexion.

Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant chez lui un stress et un faux sentiment d'urgence lié à la possibilité d'avoir été fraudé, précise la page d'information du ministère.

Quelle est la tendance sur ces attaques ?

 
En savoir plus
 
 
 

Le vishing est plus vraisemblablement amené à s'orienter vers des attaques hybrides combinant le monde du PC conventionnel et un autre support comme le téléphone. Les escroqueries par SMS ou SMiShing s'exécutent ainsi d'abord par l'envoi d'un SMS, ce dernier comportant un lien hypertexte à visiter depuis son PC.

Des utilisateurs islandais et australiens ont par exemple reçu un SMS les avertissant qu'ils devraient s'acquitter de deux dollars par jour pour leur inscription à un site de rencontre. Pour se désinscrire, les victimes visitaient un site Web depuis leur ordinateur, écopant ainsi d'une contamination par un programme malveillant.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages