SÉCURITÉ Le phishing aidé par la téléphonie sur IP s’appelle « vishing »

Le vishing est un terme issu de la contraction de VoIP (voix sur IP) et de phishing. Il s’agit d’une méthode d’escroquerie consistant à utiliser un ou des serveurs afin de composer aléatoirement des numéros de téléphone. La personne ainsi contactée est classiquement encouragée, le plus souvent par le biais d’un message alarmant, à régulariser sa situation bancaire. Le destinataire est donc dirigé vers un serveur vocal, puis invité à composer les chiffres de sa carte bancaire, son numéro de compte ou à communiquer d’autres données susceptibles d’être exploitées par des individus malveillants. Le mode opératoire du vishing doit son apparition à la banalisation des technologies de voix sur IP, au développement de services gratuits et au faible coût des communications. Mais existe-t-il d’autres méthodes pour initier une attaque en vishing ? Le vishing peut en effet aussi être initié depuis un courrier adressé par messagerie électronique et non plus un appel téléphonique réalisé par un serveur vocal. L’e-mail spécifiera alors un numéro de téléphonie sur IP, routant l’appel vers un serveur vocal leurre. Le schéma est donc pour la première étape identique à celui utilisé par le phishing. Plusieurs cas sont recensés : des organismes bancaires, dont la banque Chase, ont été les cibles d’attaques en vishing, même s’il reste encore nettement plus rentable pour les pirates de recourir à des méthodes éprouvées comme le phishing. Récemment, l’Internet Crime Complaint Center (IC3), chargé de recueillir aux États-Unis les plaintes consécutives à des crimes sur Internet, a averti d’une montée en puissance du vishing. Des messages texte sont ainsi adressés sur des téléphones, informant le destinataire de l’expiration de son compte de banque en ligne. Le 15 janvier, c’était notamment la Bank of Stanly qui avertissait ses clients contre ce type d’arnaque. Vulnérabilité psychologique Mais comment se prémunir contre le vishing ? Le ministère français de l’Intérieur a notamment consacré une page Web pour présenter le vishing et sensibiliser la population à ce risque. Il rappelle ainsi qu’aucune banque ne vous demandera par courrier électronique, télécopie ou téléphone des renseignements sensibles tels qu’un numéro de carte bancaire ou des identifiants de connexion. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant chez lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé, précise la page d’information du ministère. Le vishing est plus vraisemblablement amené à s’orienter vers des attaques hybrides combinant le monde du PC conventionnel et un autre support comme le téléphone. Les escroqueries par SMS ou SMiShing s’exécutent ainsi d’abord par l’envoi d’un SMS, ce dernier comportant un lien hypertexte à visiter depuis son PC. Des utilisateurs islandais et australiens ont par exemple reçu un SMS les avertissant qu’ils devraient s’acquitter de deux dollars par jour pour leur inscription à un site de rencontre. Pour se désabonner, les victimes visitaient un site Web depuis leur ordinateur, écopant ainsi d’une contamination par un programme malveillant. (Source : JDN)