Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Phishing vocal

Phishing vocal - Ingénierie sociale manipulation de l'esprit) vous persuadant de révéler vos identifiants, codes secrets, comptes et cartes bancaires, etc.

04.05.2012 - Révision 21.08.2020 - Révision mineure 21.10.2021. Auteur : Pierre Pinard.

Vishing est une contraction de Voice phishing.

Les mises en garde contre le phishing sont omniprésentes, en particulier chez tous les opérateurs financiers (banques, assurances, sites gouvernementaux, fournisseurs d’accès Internet, sites de sécurité, etc.).

En plus, de nombreux organismes, dont toutes les banques, ont averti qu’ils ne prendraient pas en charge et ne rembourseraient pas les escroqueries dès lors que c’est la victime elle-même qui a révélé les identifiants des comptes piratés (dans le même esprit que le Risque juridique de complicité passive de l'internaute).

On peut considérer que tout le monde est informé à propos du phishing, et est méfiant, mis à part un reliquat inexpugnable de primates convaincus qu’Internet est un monde de bisounours.

Qu’à cela ne tienne : les criminels et cybercriminels reprennent les mêmes techniques d’ingénierie sociale (manipulations psychologiques – manipulations mentales – manipulations de l'esprit) à haute voix, au téléphone. C’est le même phishing en VoIP, le vishing : l’hameçonnage vocal.

Cela ne leur coûte rien : le téléphone sur Internet (la VoIP – Voix sur IP ) est gratuit.

Le but reste le même : tromper et convaincre un interlocuteur, par ingénierie sociale, et le conduire à divulguer l’information désirée.

Il existe d’innombrables manières d’opérer en vishing et ils en inventent de nouvelles sans cesse, mais elles entrent dans des schémas globaux comme :

Exemple de ce que pourrait être une accroche en vishing

Ce texte a été imaginé par Assiste en 2007



Nous sommes le centre de traitement des opérations financières de votre banque. Nous avons relevé des mouvements de sommes importants et inhabituels pouvant laisser supposer que vous êtes victimes d'un escroc tentant de vider votre compte. Veuillez appeler le 11.22.33.44.55 et vous authentifier avec les informations qui vous seront demandées. Un conseiller prendra votre appel. Je répète : 11.22.33.44.55. Pour ré-écouter ce message, tapez 1, sinon raccrocher.

  • Vishing par appel robotisé : Opération inhabituelle détectée sur votre compte

    Un logiciel robot d’appels téléphoniques (logiciel de phone marketing) est utilisé pour appeler tous les numéros de téléphone détenus dans un fichier (tableur Excel, etc.) ou récupérés, avec des outils de pillage, sur des annuaires comme les « pages blanches » ou les « pages jaunes ».

    La « cible » décroche et un message pré-enregistré, prétendument provenant de sa banque, prévient qu’une opération inhabituelle a été détectée sur son compte. Une confirmation est demandée. Il faut rappeler un numéro de téléphone (probablement surtaxé, mais c’est habituel avec les banques). En appelant, la « cible » tombe sur une boîte vocale (une autre forme de robot téléphonique) qui lui demande de s’identifier pour vérification en composant ses identifiants bancaires (numéro de carte bancaire, date d’expiration, éventuellement le cryptogramme visuel). Si la « cible » donne ces informations, elle devient une victime et des opérations frauduleuses vont être effectuées.

    Comme il n’existe aucun moyen de vérifier ce que saisit la « cible », un jeu consiste à saisir n’importe quoi, ce qui fait perdre du temps au cybercriminel (et de l’argent s’il tente de fabriquer une fausse carte…).

  • Vishing par appel humain : Opération inhabituelle détectée sur votre compte

    Le cybercriminel appelle la « cible » et se présente comme un contrôleur de sa banque ou de son réseau de carte bancaire (sans jamais préciser quelle banque ou quel réseau puisque l’information est inconnue à ce stade). Il informe qu’un achat (imaginaire) douteux, dont il donne des détails fantaisistes (où, quand, quoi…), a été détecté et demande à la « cible » si elle est légitimement l’auteur de cette opération. La « cible » répond évidemment « non ». Le cybercriminel donne alors un aspect « officiel » à la prétendue fraude en créant un prétendu « procès-verbal de fraude » et communique un « numéro de procès-verbal » à la « cible » qui, si elle est naïve, entre en confiance. Le cybercriminel demande alors à la « cible », pour garantir le procès-verbal, de prouver qu’elle est bien la titulaire de la carte et qu’elle est bien en sa possession en communiquant les coordonnées de la carte bancaire (numéro de carte bancaire, date d’expiration, éventuellement le cryptogramme visuel). Si la « cible » donne ces informations, elle devient une victime et des opérations frauduleuses vont être effectuées.

    Si la « cible » a compris le manège, et comme il n’existe aucun moyen de vérifier la validité des informations données, sauf à utiliser la carte, un jeu consiste à faire durer la conversation, afin de faire perdre du temps au cybercriminel et lui donner des coordonnées bidon (ce qui lui fera perdre de l’argent s’il tente de fabriquer une fausse carte ou le fera bannir du milieu des cybercriminels s’il se met à vendre de fausses coordonnées bancaires…).

Comment fonctionne l’ingénierie sociale dans ce cas ?

Les criminels et cybercriminels créent un climat de stress et de peur et font passer un sentiment d’urgence, ne laissant pas le temps à la victime de comprendre ce qui se passe sauf qu’elle a été, ou risque d’être victime d’une fraude (imaginaire). La victime n’a pas le temps intellectuel de comprendre qu’on lui présente une fausse fraude et qu’une vraie fraude est en cours de construction.

Comment agir, réagir et se protéger ?

  • Ne jamais appeler/rappeler un numéro de téléphone que l’on vous suggère. Éventuellement, dans le doute ou si vous avez besoin de vous rassurer, appelez votre vrai conseiller dont les coordonnées apparaissent sur vos vrais factures, vos vrais relevés de comptes, etc. (sur son numéro surtaxé, lui aussi !)

  • Jamais aucune banque ou aucun organisme ne vous demandera, par courriel, fax ou téléphone, ce genre de renseignements. Ne donnez jamais ce genre de renseignements, JAMAIS. Ne donnez jamais votre mot de passe au téléphone, même si la personne qui vous appelle se fait passer pour votre patron, votre directeur, votre responsable informatique, etc. Si vous le faites et êtes ensuite victime d’opérations frauduleuses, vous ne pourrez pas vous retourner contre l’organisme (votre banque, etc.). Vous pourriez même être considéré comme un complice du criminel. L’imbécillité et le crétinisme ne sont pas des moyens de défense (mais un bon moyen de se faire virer par son employeur).

  • Si vous avez compris le manège, prévenez votre banque ou organisme afin de protéger la communauté.

  • Contact : judiciaire@gendarmerie.interieur.gouv.fr

Phishing vocal - Phishing vocal (Phishing téléphonique)

Vishing est une contraction de Voice phishing.

Les mises en garde contre le phishing sont omniprésentes, en particulier chez tous les opérateurs financiers (banques, assurances, sites gouvernementaux, fournisseurs d’accès Internet, sites de sécurité, etc.).

En plus, de nombreux organismes, dont toutes les banques, ont averti qu’ils ne prendraient pas en charge et ne rembourseraient pas les escroqueries dès lors que c’est la victime elle-même qui a révélé les identifiants des comptes piratés (dans le même esprit que le Risque juridique de complicité passive de l'internaute).

On peut considérer que tout le monde est informé à propos du phishing, et est méfiant, mis à part un reliquat inexpugnable de primates convaincus qu’Internet est un monde de bisounours.

Qu’à cela ne tienne : les criminels et cybercriminels reprennent les mêmes techniques d’ingénierie sociale (manipulations psychologiques – manipulations mentales – manipulations de l'esprit) à haute voix, au téléphone. C’est le même phishing en VoIP, le vishing : l’hameçonnage vocal.

Cela ne leur coûte rien : le téléphone sur Internet (la VoIP – Voix sur IP ) est gratuit.

Le but reste le même : tromper et convaincre un interlocuteur, par ingénierie sociale, et le conduire à divulguer l’information désirée.

Il existe d’innombrables manières d’opérer en vishing et ils en inventent de nouvelles sans cesse, mais elles entrent dans des schémas globaux comme :

Exemple de ce que pourrait être une accroche en vishing

Ce texte a été imaginé par Assiste en 2007



Nous sommes le centre de traitement des opérations financières de votre banque. Nous avons relevé des mouvements de sommes importants et inhabituels pouvant laisser supposer que vous êtes victimes d'un escroc tentant de vider votre compte. Veuillez appeler le 11.22.33.44.55 et vous authentifier avec les informations qui vous seront demandées. Un conseiller prendra votre appel. Je répète : 11.22.33.44.55. Pour ré-écouter ce message, tapez 1, sinon raccrocher.

  • Vishing par appel robotisé : Opération inhabituelle détectée sur votre compte

    Un logiciel robot d’appels téléphoniques (logiciel de phone marketing) est utilisé pour appeler tous les numéros de téléphone détenus dans un fichier (tableur Excel, etc.) ou récupérés, avec des outils de pillage, sur des annuaires comme les « pages blanches » ou les « pages jaunes ».

    La « cible » décroche et un message pré-enregistré, prétendument provenant de sa banque, prévient qu’une opération inhabituelle a été détectée sur son compte. Une confirmation est demandée. Il faut rappeler un numéro de téléphone (probablement surtaxé, mais c’est habituel avec les banques). En appelant, la « cible » tombe sur une boîte vocale (une autre forme de robot téléphonique) qui lui demande de s’identifier pour vérification en composant ses identifiants bancaires (numéro de carte bancaire, date d’expiration, éventuellement le cryptogramme visuel). Si la « cible » donne ces informations, elle devient une victime et des opérations frauduleuses vont être effectuées.

    Comme il n’existe aucun moyen de vérifier ce que saisit la « cible », un jeu consiste à saisir n’importe quoi, ce qui fait perdre du temps au cybercriminel (et de l’argent s’il tente de fabriquer une fausse carte…).

  • Vishing par appel humain : Opération inhabituelle détectée sur votre compte

    Le cybercriminel appelle la « cible » et se présente comme un contrôleur de sa banque ou de son réseau de carte bancaire (sans jamais préciser quelle banque ou quel réseau puisque l’information est inconnue à ce stade). Il informe qu’un achat (imaginaire) douteux, dont il donne des détails fantaisistes (où, quand, quoi…), a été détecté et demande à la « cible » si elle est légitimement l’auteur de cette opération. La « cible » répond évidemment « non ». Le cybercriminel donne alors un aspect « officiel » à la prétendue fraude en créant un prétendu « procès-verbal de fraude » et communique un « numéro de procès-verbal » à la « cible » qui, si elle est naïve, entre en confiance. Le cybercriminel demande alors à la « cible », pour garantir le procès-verbal, de prouver qu’elle est bien la titulaire de la carte et qu’elle est bien en sa possession en communiquant les coordonnées de la carte bancaire (numéro de carte bancaire, date d’expiration, éventuellement le cryptogramme visuel). Si la « cible » donne ces informations, elle devient une victime et des opérations frauduleuses vont être effectuées.

    Si la « cible » a compris le manège, et comme il n’existe aucun moyen de vérifier la validité des informations données, sauf à utiliser la carte, un jeu consiste à faire durer la conversation, afin de faire perdre du temps au cybercriminel et lui donner des coordonnées bidon (ce qui lui fera perdre de l’argent s’il tente de fabriquer une fausse carte ou le fera bannir du milieu des cybercriminels s’il se met à vendre de fausses coordonnées bancaires…).

Comment fonctionne l’ingénierie sociale dans ce cas ?

Les criminels et cybercriminels créent un climat de stress et de peur et font passer un sentiment d’urgence, ne laissant pas le temps à la victime de comprendre ce qui se passe sauf qu’elle a été, ou risque d’être victime d’une fraude (imaginaire). La victime n’a pas le temps intellectuel de comprendre qu’on lui présente une fausse fraude et qu’une vraie fraude est en cours de construction.

Comment agir, réagir et se protéger ?

  • Ne jamais appeler/rappeler un numéro de téléphone que l’on vous suggère. Éventuellement, dans le doute ou si vous avez besoin de vous rassurer, appelez votre vrai conseiller dont les coordonnées apparaissent sur vos vrais factures, vos vrais relevés de comptes, etc. (sur son numéro surtaxé, lui aussi !)

  • Jamais aucune banque ou aucun organisme ne vous demandera, par courriel, fax ou téléphone, ce genre de renseignements. Ne donnez jamais ce genre de renseignements, JAMAIS. Ne donnez jamais votre mot de passe au téléphone, même si la personne qui vous appelle se fait passer pour votre patron, votre directeur, votre responsable informatique, etc. Si vous le faites et êtes ensuite victime d’opérations frauduleuses, vous ne pourrez pas vous retourner contre l’organisme (votre banque, etc.). Vous pourriez même être considéré comme un complice du criminel. L’imbécillité et le crétinisme ne sont pas des moyens de défense (mais un bon moyen de se faire virer par son employeur).

  • Si vous avez compris le manège, prévenez votre banque ou organisme afin de protéger la communauté.

  • Contact : judiciaire@gendarmerie.interieur.gouv.fr


Dossier (collection) : Phishing - Hameçonnage

Phishing
Hameçonnage
Harponnage
Filoutage

Phishing ciblé
Hameçonnage ciblé
Harponnage ciblé
Target phishing
Hameçonnage personnalisé

Hameçonnage par téléphone
Phishing par téléphone
Phishing par VoiP
Phishing vocal
Hameçonnage vocal
Voice phishing
Vishing
Appel téléphonique frauduleux

Spear-phishing ou Spearphishing
Emotet - phishing ultra personnalisé par le groupe cybercriminel TA542

SMiShing - phishing par SMS

Pharming - phishing par redirection du traffic
Bulk phishing - phishing historique, en vrac

Ingénierie sociale

Phishing : la victime peut être tenue pour responsable

Reconnaître un site de phishing - cas tcamiot.fr

Toutes les fraudes 419 sont des cas de phishing


Dossier (collection) : Filtres du Web (Link checkers - Anti-phishing - Anti-malware)

Dossier : Filtres antiphishing antimalwares du Web
Dossier : Phishing

Les différents filtrages du Web

Reconnaître un site de phishing - cas tcamiot.fr

Dispositifs natifs
Microsoft SmartScreen
Google Safe Browsing
Comparatif SmartScreen vs Safe Browsing

Activation / Désativation des filtres natifs
Activer anti-phishing anti-malware natif IE 7
Activer anti-phishing anti-malware natif IE 8
Activer anti-phishing anti-malware natif IE 9
Activer anti-phishing anti-malware natif IE 10
Activer anti-phishing anti-malware natif IE 11
Activer anti-phishing anti-malware natif Firefox
Activer anti-phishing anti-malware natif Safari
Activer anti-phishing anti-malware natif Opera
Activer anti-phishing anti-malware natif Chrome

Dispositifs tiers
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Web Lite (n'existe plus)
WOT
Trustwave SecureBrowsing
Disconnect
AdGuard - Extension pour navigateurs
Avira Browser Safety
Serveurs DNS filtrants

Avis en ligne (Web-Réputation) sur un site
Webutation
WoT Web of Trust
McAfee TrustedSource
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Search
Norton Safe Web Lite
NSW
Google Safe Browsing
Google Transparence
WMTips
Alexa
WebStatsDomain
NoScript
hpHosts
Yandex
URLVoid
VirusTotal (VTZilla)
Dr.Web LinkChecker
Scamadviser
SaferPage.com
Website Antivirus
G-Rated
Wikipedia Trust Links
SiteJabber
Web Security Guard

Plug-in de Web-Réputation
Plug-in Trustwave SecureBrowsing
Plug-in WoT - Web of Trust
Plug-in Avast! WebRep
Plug-in AVG LinkScanner
Plug-in McAfee SiteAdvisor
Plug-in Norton Safe Web Lite
Plug-in Trend Micro TrendProtect
Plug-in Norton Safe Web
Plug-in Trend-Micro Web Addon
Plug-in Yandex Safe Browsing

Archives
Microsoft SmartScreen en 2004


Dossier (collection) : Le Droit et la Plainte

Où, quand, comment porter plainte

Risque juridique de complicité de l'Internaute
Signaler (à la PHAROS)
Porter plainte (où, comment, pour quoi...)
Escroquerie - Définition du délit d'escrquerie
Info escroquerie - 0811 02 02 17
La PHAROS - Exemple de signalement
Le Befti

Porter plainte lorsque vous êtes victime de :

Phishing
Forex
Robots de trading
Fraude 419 (par e-mail, fax, courrier postal, téléphone...)
Ingénierie sociale
Escroquerie à la fausse loterie Microsoft
Chaîne pyramidale
Chaine d'argent
Ventes pyramidales
Boule de neige
Pyramide de Ponzi
Vente multiniveau
CPM - Commercialisation à paliers multiples
CPM - ou « Multi-Level Marketing »
CPM - ou « MLM »
Jeu de l'avion
Cercles de dons
Rondes d'abondance
Roues d'abandance
Karus
Spam « MMF »
Spam « Make Money Fast »
Faux héritages
Fausses transactions commerciales
Utilisation frauduleuse de moyens de paiement
Escroqueries financières diverses

Les textes protégeant la vie privée et les données à caractère personnel

Droit - Charte sur la Publicité Ciblée et la Protection des internautes
Droit - Code Civil - Code des Postes et Telecommunications - Secret de la correspondance
Droit - Loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Droit - Directive européenne n°95/46/CE du 24 octobre 1995 (Texte fondateur)


Dossier (collection) : L'essentiel

Les bonnes attitudes : conseils essentiels
Comment je me fais avoir / je me fais infecter
Les 10 commandements de la sécurité sur l'Internet
Sauvegardes fichiers et images système

Avant d'entrer dans un site : réflexes essentiels
Analyses objectives du site, par des robots
Analyses subjectives du site, par des humains

Fausses alertes et escroqueries : l'essentiel
Alerte Virus dans mon ordinateur. Vrai ou Faux.

Choix d'un antivirus (obligatoire) : l'essentiel
Comparatif antivirus - en choisir un
Installer Malwarebytes Premium

Anticiper et prévenir : les gestes essentiels
Préparation de l'ordinateur, le 1er jour, la 1ère fois
Protéger le navigateur, la navigation et la vie privée
Calmer/bloquer la publicité sur les sites Web

Entretenir : les petits travaux essentiels
Mises à jour périodiques (Windows Update)
Mises à jour périodiques (hors Windows Update)
Nettoyage périodique - Décrassage - Réparations
Faire l'inventaire de son matériel et de ses logiciels
Vérifier l'état des disques et fichiers (CHKDSK)
Vérifier l'état des fichiers système (SFC)
Défragmenter les fichiers et disques
Défragmenter le Registre Windows

Vitesses - Accélérer : l'essentiel
Accélérer la vitesse de Windows
Accélérer la vitesse de la connexion Internet

Actions de décontamination : l'essentiel
Procédure gratuite : décontamination anti-malwares
Procédure gratuite : décontamination anti-virus
Risque juridique de complicité passive de l'Internaute

Phishing vocal - Ressources


# Ailleurs sur le Web #

  1. #Phishing vocal#