Maintenant que la majorité des utilisateurs Internet sont de plus en plus éduqués et prudents face au phishing (une activité criminelle qui consiste à acquérir, par communication électronique, de l’information confidentielle comme des mots de passe ou des détails de cartes de crédit, en se faisant passer pour une personne ou une entreprise de confiance), les cyberfraudeurs s’attaquent maintenant à des victimes moins méfiantes par l’entremise du vishing, aussi appelé hameçonnage vocal.
Qu’est-ce que le vishing
Le vishing est l’utilisation de la technologie VoIP (Voix sur IP ou en anglais Voice over Internet Protocol) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et financière privée qui sera ensuite utilisée frauduleusement. Le terme vient de la combinaison des mots « voix » et « phishing« .
Le vishing exploite la confiance du public dans les lignes téléphoniques conventionnelles, qui se terminent traditionnellement à un emplacement physique connu du fournisseur des services de télécommunication, et associées à un client-payeur. Toutefois, avec la venue de la téléphonie IP, les services téléphoniques peuvent maintenant se terminer dans des ordinateurs, qui sont beaucoup plus susceptibles d’attaques frauduleuses que les vieux terminaux téléphoniques conventionnels.
Un exemple de vishing
Voici comment ça se produit :
1. Le fraudeur configure un appareil de composition automatique (war dialer) dont le travail sera d’appeler des numéros de téléphone dans une région donnée.
2. Quand il répond à l’appel, une voix automatisée alerte le consommateur que sa carte de crédit a été frauduleusement utilisée et qu’il doit immédiatement appeler un numéro de téléphone (local) qui lui est donné. Ce numéro peut être un numéro sans frais de l’entreprise pour laquelle le fraudeur tente de se faire passer et ayant été arnaqué sous une fausse identité ou un numéro (jetable) fourni par un autre fournisseur.
3. Lorsque le consommateur rappelle le numéro, il est accueilli par une voix automatisée typique lui confirmant qu’il a joint le département de vérification des comptes et l’invitant à entrer les 16 chiffres de sa carte de crédit sur le clavier de son téléphone. À l’autre bout du fil, un appareil reconnaît les touches pesées et détecte les numéros.
4. Une fois que le consommateur a entré son numéro de carte de crédit, le fraudeur détient toute l’information pour utiliser la carte et y appliquer des frais.
5. L’appel peut également être utilisé pour obtenir de l’information additionnelle comme un NIP, une date d’expiration, une date de naissance, un numéro de compte bancaire, etc.
Primo – ne pas céder à la panique
L’avantage des fraudeurs est qu’ils jouent sur une vulnérabilité psychologique du consommateur en créant en lui un sentiment d’urgence lié à la possibilité d’avoir été fraudé. Malgré que tous savent que la plupart des institutions bancaires protègent leurs clients en cas de fraude, le sentiment d’urgence les pousse à agir avant qu’ils aient eu le temps de réfléchir.
Si vous recevez un courriel ou un appel vous donnant un numéro de téléphone à appeler, n’utilisez pas ce numéro. Ne cédez pas à la panique. De toute façon, ce ne sont pas 5 minutes de plus qui feront la différence. Prenez le temps de retracer le numéro régulier qui vous a été donné par l’émetteur de votre carte de crédit ou votre fournisseur de service et utilisez celui-là.
La clé est et sera toujours de demeurer sur ses gardes et de continuer à s’éduquer en matière de fraudes.
Des adresses pour en apprendre un peu plus
- Site de la GRC (très complet)
- Centre antifraude du Canada
- Wikipedia (en anglais)
- Tapez « hameçonnage vocal » dans le dictionnaire de l’OLF
Depuis 1997, je conseille et j’assiste les PME et les Solopreneurs dans la prise de décisions et le choix de solutions qui leur ressemblent et leur conviennent. On me consulte tout spécialement pour avoir l’heure juste quand l’arbre semble cacher la forêt et pour clarifier les réels besoins face à un nouveau projet difficile à cerner.