Qu’est-ce que le vishing ?

Comment fonctionne le vishing : techniques et tactiques 

Les attaques de vishing se font de plus en plus sophistiquées, et s’appuient à la fois sur la technologie et l’ingénierie sociale pour exploiter les vulnérabilités humaines. Voici quelques-unes des techniques et tactiques les plus courantes qu’utilisent les cybercriminels pour mener leurs attaques de vishing :

Usurpation de l’identité de l’appelant

Les hackers manipulent les systèmes de télécommunication pour falsifier les informations d’identification de l’appelant, en faisant croire que l’appel provient d’une source fiable, comme une banque, une agence gouvernementale ou même un collègue. Cette tactique abaisse les défenses de la cible en conférant un sentiment de crédibilité à l’interaction. En conséquence, les méthodes d’authentification traditionnelles liées à l’identification de l’appelant perdent de leur fiabilité, ce qui souligne la nécessité de déployer des mesures de vérification de l’identité plus avancées.

Pretexting 

Dans le cas du pretexting, le hacker élabore un scénario crédible, ou «prétexte», pour convaincre la cible de révéler des informations sensibles. Il peut s’agir d’une fausse alerte à la fraude bancaire ou d’un prétendu appel au service clientèle qui requiert une vérification du compte. Le succès du pretexting repose en grande partie sur la capacité du hacker à créer un sentiment d’urgence ou d’autorité, incitant la victime à agir sans trop se poser de questions sur la situation. L’analyse comportementale pilotée par l’IA peut aider à identifier ces indices d’ingénierie sociale avant qu’ils ne dégénèrent en véritables violations.

Exploitation du VoIP

Les systèmes de voix sur IP (VoIP) ont permis aux hackers de passer plus facilement et à moindre coût de gros volumes d’appels depuis n’importe où dans le monde. Les services VoIP sont souvent moins sécurisés que les lignes téléphoniques traditionnelles, ce qui en fait une cible de choix pour les cybercriminels qui souhaitent masquer leur identité et leur emplacement. Les hackers peuvent utiliser l’intelligence artificielle pour automatiser et faire évoluer ces opérations, augmentant ainsi la vitesse et la portée de leurs campagnes. La sécurisation des communications VoIP est essentielle pour réduire la surface d’attaque lors d’incidents de vishing.

Attaques par serveur vocal interactif (SVI)

Les systèmes de serveurs vocaux interactifs (SVI) (systèmes automatisés qui interagissent avec les utilisateurs via des entrées vocales ou au clavier) sont couramment que ce soit pour le service clientèle ou pour l’accès sécurisé à un compte. Les attaques de vishing peuvent cibler ces systèmes en incitant les utilisateurs à saisir des informations sensibles, telles que des codes PIN ou des mots de passe, via une interface SVI compromise ou frauduleuse. Les mécanismes de détection des menaces avancées peuvent surveiller les modèles inhabituels dans les interactions SVI pour aider à identifier et à atténuer ces menaces en temps réel.

Attaques de phishing optimisées par l’IA

L’intelligence artificielle (IA) est de plus en plus utilisée comme arme dans le monde des cyberattaques, permettant des techniques plus sophistiquées qui peuvent tromper même les utilisateurs les plus vigilants. Dans le cadre du phishing, l’IA amplifie la capacité des hackers à adapter, personnaliser et manipuler leurs cibles, rendant le vishing plus dangereux que jamais.

Clonage vocal

Le clonage de la voix optimisée par l’IA a changé la donne pour les attaques de vishing. Les cybercriminels peuvent désormais reproduire la voix d’une personne de confiance, comme un dirigeant d’entreprise ou un membre de la famille, en s’appuyant sur seulement quelques minutes d’audio enregistré. Grâce à cette technologie, les hackers peuvent rendre leurs tentatives de vishing beaucoup plus convaincantes, incitant les victimes à divulguer des informations sensibles ou à autoriser des transactions frauduleuses.

Appels vidéo deepfake

Au-delà de la simple manipulation de la voix, l’IA peut également créer des appels vidéo deepfake où les hackers se font passer pour quelqu’un en temps réel. Ces attaques de vishing basées sur la vidéo sont particulièrement efficaces dans les environnements de télétravail, où les indices visuels lors des réunions virtuelles sont souvent le gage de la confiance. En imitant l’apparence et la voix d’une personne connue, les hackers peuvent orchestrer des plans d’ingénierie sociale particulièrement convaincants.

Appels automatisés

Les appels automatisés pilotés par l’IA sont passés de simples messages automatisés à des interactions dynamiques qui imitent une conversation humaine. Grâce au traitement automatique des langues (TAL), ces appels peuvent réagir de manière intelligente aux informations fournies par les victimes, ce qui donne une impression d’authenticité à l’interaction. Cela permet aux hackers d’intensifier leurs tentatives de vishing et d’atteindre des centaines ou des milliers de victimes potentielles en peu de temps.

Exploration de données optimisée par l’IA pour le vishing ciblé

L’IA peut passer au crible de vastes quantités de données accessibles au public, telles que des profils de médias sociaux, des sites Web de sociétés et des bases de données ayant fait l’objet de fuites, pour créer des attaques de vishing particulièrement ciblées. En établissant des profils détaillés de victimes potentielles, les cybercriminels peuvent concevoir des tentatives de vishing personnalisées qui semblent crédibles et pertinentes, augmentant ainsi leurs chances de succès. Cela permet de mener une attaque plus ciblée qui tire parti des circonstances ou des relations spécifiques de la victime.

L’IA ne cesse d’évoluer, tout comme les menaces que représentent ces techniques de vishing avancées. Les entreprises doivent conserver une longueur d’avance en adoptant des solutions de sécurité optimisées par l’IA capables de détecter et de contrer ces risques émergents.

En comprenant ces techniques, les entreprises peuvent mieux anticiper et atténuer les risques liés au vishing, sachant notamment que les criminels continuent de faire évoluer leurs méthodes.

Pourquoi le vishing est-il une menace croissante ?

Le vishing est de plus en plus utilisé en raison de la sophistication croissante des cybercriminels et de la généralisation des communications mobiles. Les hackers utilisent des tactiques d’ingénierie sociale avancées pour exploiter la vulnérabilité humaine, en contournant souvent les mesures de sécurité traditionnelles. Les utilisateurs étant plus connectés que jamais, notamment avec l’essor du télétravail, les fraudeurs trouvent de nouvelles opportunités d’inciter les individus à révéler des informations sensibles par téléphone.

Par ailleurs, l’accessibilité des données personnelles sur le web a permis aux hackers de concevoir des tentatives de vishing ciblées extrêmement convaincantes. Les cybercriminels peuvent désormais aisément rassembler suffisamment de données personnelles pour simuler la légitimité, ce qui complexifie la détection d’une escroquerie, même pour les personnes les plus vigilantes. À mesure que progresse la technologie de l’IA, les hackers eux-mêmes utilisent l’apprentissage automatique et les outils de synthèse vocale pour concevoir des imitations encore plus réalistes d’entités de confiance, ce qui amplifie encore le défi tant pour les entreprises que pour les particuliers. Rien qu’au cours de l’année écoulée, les attaques de phishing pilotées par l’IA (y compris le vishing) ont augmenté de 60 %.

Exemples concrets

Les campagnes de vishing sophistiquées deviennent populaires dans le monde entier, les cybercriminels recourant à la psychologie et à la technologie pour escroquer des victimes, même les plus avisées, de plusieurs millions de dollars. Par exemple, la Corée du Sud a connu une recrudescence des attaques de vishing, avec notamment ce cas en août 2022 où un médecin a perdu 3 millions de dollars en espèces, en assurances, en actions et en crypto-monnaies au profit de criminels. Les escrocs se sont fait passer pour des agents régionaux des forces de l’ordre en Corée du Sud ; cependant, ThreatLabz a observé (et déjoué) une attaque de vishing très proche de chez lui en 2023.

Autre exemple : un employé du secteur financier à Hong Kong a payé 25 millions de dollars suite à une vidéoconférence avec un faux « directeur financier ». L’acteur a invité l’employé à participer à un appel vidéo avec ce qu’il pensait être plusieurs autres membres du personnel, et qui n’étaient en fait que de simples recréations deepfake.

En été 2023, des hackers se sont fait passer pour le propre directeur général de Zscaler, Jay Chaudhry, dans le cadre d’une attaque de vishing utilisant la technologie de l’IA. Voici comment cela s’est déroulé :

1. Le hacker a appelé un collaborateur de Zscaler sur WhatsApp.
2. En utilisant un clonage vocal généré par IA pour simuler la voix de Jay Chaudhry, le hacker a établi la communication, puis a rapidement raccroché pour éviter une interaction prolongée et de potentiels soupçons.
3. Le hacker a immédiatement envoyé un message texte, se faisant passer pour Jay Chaudhry, affirmant avoir « une mauvaise couverture réseau ».
4. Dans un message texte WhatsApp, le hacker a demandé au collaborateur de Zscaler d’acheter des cartes cadeaux pour un certain montant.
5. Cette demande suspecte a immédiatement été signalée à l’équipe de sécurité.
6. Les chercheurs de ThreatLabz ont enquêté et ont découvert qu’il s’agissait d’une vaste campagne ciblant plusieurs entreprises technologiques.

Pour lutter efficacement contre cette menace croissante, la cybersécurité doit évoluer au-delà des défenses traditionnelles. Les systèmes optimisés par l’IA, capables de détecter des modèles suspects en temps réel et d’évaluer les risques à un niveau granulaire, deviennent essentiels. En intégrant des capacités avancées de gestion des risques, les entreprises peuvent mieux se protéger et protéger leurs employés contre les tentatives vishing de plus en plus sophistiquées.

Scénarios courants de vishing

Les attaques de vishing se présentent sous de nombreuses formes, chacune conçue pour exploiter la confiance et convaincre les victimes de partager des informations sensibles. Voici quelques-unes des tactiques les plus courantes qu’utilisent les cybercriminels : 

• Escroqueries bancaires : les appelants se font passer pour des représentants de la banque, affirmant que votre compte a été compromis. Ils vous poussent à fournir des informations personnelles ou même à transférer des fonds sur un compte « sécurisé ».
• Escroqueries au support technique : les fraudeurs se font passer pour le support technique d’entreprises réputées, vous mettent en garde concernant la présence de malwares sur votre appareil et vous demandent un accès à distance pour soi-disant résoudre le problème, ce qui est en fait un stratagème pour voler des données ou installer un malware.
• Escroqueries fiscales/IRS  : les hackers prétendent représenter l’IRS ou l’administration fiscale et vous menacent d’arrestation ou de poursuites judiciaires si vous ne payez pas une facture fiscale impayée, souvent au moyen de méthodes intraçables telles que les cartes-cadeaux ou les virements électroniques.
• Arnaque au président (compromission de messagerie d’entreprise) : les cybercriminels ciblent les employés en se faisant passer pour des cadres supérieurs et en leur demandant d’effectuer des virements électroniques urgents ou de divulguer des informations confidentielles de l’entreprise, souvent sous prétexte d’une situation d’urgence.

Vishing vs. Phishing vs. Smishing

Bien que ces trois types d’attaques (vishing, phishing et smishing) sont des formes d’ingénierie sociale visant à manipuler les victimes pour les amener à divulguer des informations sensibles, elles se distinguent principalement par leurs méthodes de diffusion et les tactiques spécifiques qu’elles utilisent pour exploiter la confiance humaine. Comprendre ces distinctions est essentiel pour développer une stratégie de sécurité robuste et proactive, d’autant plus que les cybercriminels continuent de faire évoluer leurs techniques.

Phishing

Sans doute le plus connu des trois, le phishing implique généralement des courriers électroniques frauduleux qui usurpent l’identité d’entités légitimes, telles que des entreprises, des agences gouvernementales ou des personnes de confiance. L’objectif des attaques de phishing est généralement de voler des identifiants de connexion, des informations financières ou d’autres données sensibles.

Le phishing exploite souvent un sentiment d’urgence ou de peur, incitant la victime à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées. Le courrier électronique étant le principal outil de communication tant dans des contextes personnels que professionnels, les attaques de phishing ont une large portée et peuvent être dévastatrices si elles ne sont pas décelées à temps.

Smishing

Le smishing est une évolution plus récente du phishing qui cible les individus par le biais de SMS ou de messages texte. Tout comme les e-mails de phishing, les messages de smishing semblent souvent provenir de sources fiables (comme des banques, des services de livraison ou même des collègues) et contiennent généralement un lien malveillant ou une invitation à partager des informations sensibles.

Cette méthode est particulièrement dangereuse car elle capitalise sur l’immédiateté et la nature décontractée des messages texte, auxquels les utilisateurs sont plus enclins à répondre rapidement et sans se méfier. Compte tenu de l’omniprésence des smartphones et le recours croissant aux communications par SMS, les attaques de smishing augmentent rapidement.

Vishing

Comme nous l’avons défini plus haut dans cet article, le vishing utilise la communication vocale, généralement par le biais d’appels téléphoniques, pour manipuler les victimes. Les hackers peuvent se faire passer, que ce soit par le biais d’un texte ou d’une technologie de clonage de voix assistée par l’IA, pour des figures d’autorité telles que des agents du fisc, des représentants du support technique, ou même des membres de la famille en détresse.

Leur objectif est souvent le même que pour le phishing et le smishing : soutirer des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit, ou convaincre la victime d’effectuer des actions spécifiques, comme transférer des fonds. Le vishing a la particularité supplémentaire d’exploiter directement la psychologie humaine par le biais d’une conversation en temps réel, ce qui empêche les victimes de faire une pause et d’évaluer objectivement la situation.

Principales différences des vecteurs et tactiques d’attaque

Le phishing opère principalement par courrier électronique, il s’agit donc d’une forme écrite de tromperie. Les hackers utilisent souvent des modèles d’e-mails et des logos bien conçus pour imiter des entreprises légitimes. Ces e-mails contiennent généralement des liens ou des pièces jointes malveillants qui exploitent les vulnérabilités du système du destinataire une fois qu’il a cliqué sur le lien ou téléchargé la pièce jointe.

Le smishing tire parti des SMS, un moyen de communication connu pour sa brièveté et son caractère urgent. Les messages contiennent souvent des URL raccourcies pour masquer des liens malveillants, et les utilisateurs peuvent être plus enclins à faire confiance aux textes en raison de la nature personnelle des appareils mobiles.

Le vishing repose sur l’interaction vocale, qui peut ajouter un niveau de pression ou de manipulation émotionnelle qu’il est plus difficile de transmettre par le biais d’un texte. Les attaquants peuvent utiliser des tactiques telles que l’usurpation de numéros de téléphone pour faire croire que l’appel provient d’une source légitime, comme une agence gouvernementale ou une institution connue.

Comment vous protéger et protéger votre entreprise contre le vishing

Les attaques de vishing sont de plus en plus sophistiquées, mais votre entreprise peut adopter des mesures claires pour atténuer les risques. La mise en œuvre de stratégies appropriées peut aider à protéger les informations personnelles et professionnelles contre les menaces de phishing basées sur la voix.

Formation de sensibilisation à la sécurité

Il est essentiel de sensibiliser régulièrement les employés aux tactiques de vishing. Des programmes de formation complets peuvent apprendre à vos collaborateurs à reconnaître les signaux d’alarme tels que les appels non sollicités, les tactiques de pression ou les demandes d’informations sensibles. La sensibilisation est la première ligne de défense pour prévenir la réussite des attaques.

Procédures d’authentification de l’appelant 

La mise en œuvre de procédures strictes d’authentification des appelants peut réduire le risque d’être victime de vishing. Assurez-vous que les employés suivent les protocoles de vérification, tels que le rappel des numéros officiels et l’utilisation de l’authentification multifacteur (MFA) pour confirmer l’identité de l’appelant avant de partager des informations sensibles.

Utilisation de la technologie anti-spam

Exploitez les technologies anti-spam et de filtrage des appels basées sur l’IA pour bloquer les appels suspects ou non sollicités avant qu’ils ne parviennent à votre équipe. Ces outils peuvent analyser les modèles et détecter de potentielles tentatives de phishing, ce qui constitue une couche de protection supplémentaire contre les attaques de vishing.

Plans de réponse aux incidents 

Il est essentiel de disposer d’un solide plan de réponse aux incidents pour minimiser les dommages en cas d’attaque de vishing. Veillez à ce que votre entreprise dispose de protocoles clairs pour signaler les appels suspects et enquêter sur les violations potentielles, afin de pouvoir réagir rapidement pour contenir toute menace.

Sécurité de l’IA et renseignements sur les menaces

L’intégration de solutions de sécurité optimisées par l’IA peut améliorer la capacité de votre entreprise à détecter et à répondre aux campagnes de vishing en temps réel. En exploitant les renseignements sur les menaces, ces systèmes peuvent identifier les méthodes de vishing émergentes, ce qui permet de mettre en place des défenses proactives qui évoluent à mesure que le paysage des menaces se transforme.

Voir plus loin : l’importance d’une approche Zero Trust à plusieurs niveaux 

Le phishing, le smishing et le vishing exploitent tous le maillon le plus faible de la cybersécurité : le comportement humain. Pour lutter efficacement contre ces menaces, les entreprises doivent adopter une approche Zero Trust, en partant du principe qu’aucune communication, plateforme ou utilisateur n’est intrinsèquement fiable.

Ce changement de paradigme exige une stratégie de défense multicouche qui intègre la surveillance optimisée par l’IA, l’authentification continue et la protection des terminaux. En combinant l’éducation des utilisateurs avec une technologie de pointe, les entreprises peuvent garder une longueur d’avance sur les hackers et réduire considérablement le risque d’être victime d’ingénierie sociale.

L’évolution de ces tactiques malveillantes exige une évolution des défenses, de sorte que chaque courrier électronique, texte et appel téléphonique soit examiné avec le même degré de diligence et de scepticisme. Bien que le phishing, le smishing et le vishing opposent des défis distincts, une stratégie de sécurité unifiée et renforcée par l’IA peut aider à atténuer les risques que posent ces trois types de menaces, favorisant un environnement numérique plus résilient et mieux sécurisé.

Comment Zscaler peut vous aider

Pour se protéger efficacement contre l’évolution du paysage des menaces, les entreprises doivent intégrer des contrôles avancés de prévention du phishing dans leurs stratégies Zero Trust. À l’avant-garde de cette stratégie de défense se trouve la plateforme Zscaler Zero Trust Exchange™, bâtie à une architecture Zero Trust robuste.

En adoptant une approche globale de la cybersécurité, Zero Trust Exchange contrecarre efficacement les attaques de phishing conventionnelles et pilotées par IA, à différentes étapes de la chaîne d’attaque avec :

Prévention optimisée par IA du phishing et des communications C2

Les modèles IA de Zscaler détectent les sites de phishing connus et préviennent ainsi le détournement d’informations d’identification et l’exploitation du navigateur. Ils analysent les schémas de trafic, les comportements et les malwares afin de détecter en temps réel toute infrastructure command-and-control (C2) inconnue.

Un sandboxing optimisé par IA pour les menaces basées sur des fichiers 

Zscaler Sandbox inline optimisé par l’IA détecte instantanément les fichiers malveillants tout en maintenant la productivité des employés. Notre technologie AI Instant Verdict identifie, met en quarantaine et empêche instantanément les fichiers réputés malveillants, y compris les menaces zero-day, sans pour autant devoir attendre la fin de l’analyse de ces fichiers.

L’IA pour neutraliser les menaces Web 

Zscaler Browser Isolation, optimisé par IA, neutralise les menaces zero-day tout en garantissant que les collaborateurs peuvent accéder aux sites web nécessaires à leur travail. Notre solution AI Smart Isolation identifie les sites à risque et les affiche de manière cloisonnée pour l’utilisateur, en diffusant le site consulté sous forme de pixels au sein d’un environnement sécurisé et conteneurisé.

Vous souhaitez voir la puissante défense anti-phishing de Zscaler à l’œuvre ? Planifiez une démonstration personnalisée avec un de nos experts et demandez-lui de vous montrer comment Zscaler protège contre les menaces basées sur l’IA les plus avancées.