Le support Microsoft qui appelle pour prévenir d’un problème logiciel. L’administration fiscale qui, par message vocal, menace d’une amende si le montant impayé n’est pas versé immédiatement. Ou encore la banque principale qui signale par téléphone que le compte a été bloqué. Sauriez-vous identifier de telles attaques de vishing?
Vous vous trouvez ici:
Qu’est-ce que le vishing et comment s’en protéger?
Les personnes qui pratiquent le vishing se font passer pour des employés de banques, d’assurances, d’administrations fiscales, de services à la clientèle ou de centres d’assistance, dans le but de soutirer des informations confidentielles ou de l’argent à leurs victimes potentielles. Dans cet article, vous découvrirez comment ces escrocs s’y prennent et comment vous en protéger.
Qu’est-ce que le vishing?
Le vishing est une attaque opérée par le biais d’un appel téléphonique ou d’un message vocal. Les escrocs y ont de plus en plus recours car il s’agit d’une forme de vol de données particulièrement efficace. Un entretien personnel met en effet plus en confiance qu’une prise de contact par écrit. De plus, dans le cas d’un appel, les victimes potentielles sont amenées à réagir directement, ce qui ne leur donne pas le temps d’évaluer correctement la situation. L’objectif des vishers est donc de vous contraindre à une action immédiate.
Pour en savoir plus sur le phishing, lisez notre article «Vol de données en ligne: phishing sur les plateformes d’annonces».
Comment les vishers s’y prennent-ils?
Les vishers se font volontiers passer pour des employés de banques, des fonctionnaires des finances ou encore des courtiers en assurances pour s’approprier des informations personnelles telles que des adresses, des données de compte ou des mots de passe. Ils peuvent aussi vous appeler en prétendant travailler pour un service d’assistance et prétexter un problème de logiciel dont la résolution nécessite l’installation d’un programme. Ce programme n’est autre qu’un logiciel malveillant qui va voler les données personnelles. Certains escrocs font également croire à leurs victimes potentielles qu’elles ont gagné à un jeu-concours. Pour pouvoir toucher leur gain, ces dernières doivent communiquer leurs données de compte. Quelle que soit la combine employée, les vishers ont tous une caractéristique commune: leurs histoires sont toujours soigneusement déguisées et les escrocs s’appuient sur des tactiques de social engineering telles que l’intimidation ou la pression pour arriver à leurs fins.
Comment savoir si c’est bien ma banque qui m’appelle?
Certains vishers prétendent que le compte a été bloqué et que l’ordinateur doit faire l’objet de vérifications afin de permettre un déblocage. Les clientes et les clients doivent, pour ce faire, installer un logiciel à distance, comme AnyDesk. Dès lors qu’ils se connectent à leur compte bancaire en ligne, les escrocs ont la mainmise dessus. Dans un autre genre, les vishers renoncent parfois à un entretien personnel et laissent un message vocal pour signaler par exemple que quelque chose ne va pas avec le compte. Les personnes qui rappellent se voient demander de fournir leurs données d’accès ou de carte. Important: à des fins d’identification, les prestataires de services financiers peuvent demander à leur clientèle le solde de leur compte, par exemple, mais en aucun cas des données confidentielles. Si vous suspectez un appel de vishing, il vaut mieux mettre fin à la conversation et appeler le numéro officiel de votre banque.
Cinq conseils de PostFinance en matière de protection
- Ne divulguez sous aucun prétexte vos données de carte de crédit ou de débit, ou des informations confidentielles comme vos identifiants ou votre NIP
- N’indiquez jamais vos données d’accès ou vos mots de passe sur des pages web dont vous avez reçu le lien
- Pour une protection optimale, utilisez l’authentification à deux facteurs
- Si quelqu’un a accès à vos données, faites bloquer vos cartes ou l’accès à votre compte bancaire en ligne
- Informez immédiatement votre établissement financier en cas de soupçon ou de dommage
Quelles conséquences peut avoir le vishing?
Si les vishers ont réussi leur coup, ils peuvent faire des achats, effectuer des paiements ou contracter des prêts aux dépens de leurs victimes. Ces dernières peuvent perdre tout leur argent, voire même leurs prestations sociales – jusqu’à se retrouver endettées. De plus en plus souvent, les escrocs demandent aussi des informations moins confidentielles, telles que le sexe, le nom ou l’âge, qu’ils vendent ensuite sur Internet ou utilisent eux-mêmes pour commettre un vol d’identité. Il existe même une pratique propre au deepfaking qui consiste à enregistrer les appels téléphoniques pour pouvoir utiliser les enregistrements vocaux . Il est difficile d’attraper les escrocs, les victimes ont donc peu de chance de revoir leur argent.
Comment peut-on se protéger du vishing?
Entreprises, établissements financiers, administrations, police: aucune de ces instances ne réclame des informations confidentielles par téléphone. Si l’on vous demande de changer de mot de passe ou de vérifier vos données de carte de crédit, il est préférable de raccrocher immédiatement. Il ne faut jamais divulguer de données sensibles, et en aucun cas cliquer sur des liens, ouvrir des pièces jointes, installer des programmes ou autoriser l’accès à distance à l’ordinateur suite à un appel. Pour se protéger du vishing, on peut notamment décider de ne plus répondre aux appel provenant de numéros inconnus. Cependant, des escrocs peuvent également se cacher derrière des numéros de téléphone affichés. En effet, les programmes dits de «spoofing» permettent de falsifier aisément des numéros de téléphone officiels. Dès lors, si vous suspectez un cas de vishing, appelez le numéro depuis un autre téléphone ou adressez-vous directement au service à la clientèle de l’entreprise.
Que faire si l’on a été victime d’un appel de vishing?
Si vous avez transmis des données personnelles par téléphone et craignez d’avoir eu affaire à un visher, vous devez immédiatement changer votre mot de passe, bloquer la carte concernée et contacter dans la foulée votre établissement financier. Informez également l’entreprise dont le nom a été utilisé par les escrocs pour vous contacter et déposez plainte auprès de la police. Enfin, signalez l’escroquerie au Centre national pour la cybersécurité (NCSC) sur La cible du lien s'ouvre dans une nouvelle fenêtre report.ncsc.admin.ch. À noter que plus on réagit vite, plus on a de chances de s’en tirer à bon compte.
Tout savoir sur la sécurité
Pour en savoir plus sur les autres types d’escroquerie, lisez notre article «Les combines des escrocs. Ce que vous devez savoir». Le Centre national pour la cybersécurité (NCSC) fournit également de nombreuses informations à l’intention des particuliers sur son site La cible du lien s'ouvre dans une nouvelle fenêtre ncsc.admin.ch. Vous pouvez aussi visiter la page La cible du lien s'ouvre dans une nouvelle fenêtre skppsc.ch de la Prévention Suisse de la Criminalité (PSC). La Haute école de Lucerne propose, quant à elle, une série de cours intitulés «eBanking en toute sécurité!», consultables sur La cible du lien s'ouvre dans une nouvelle fenêtre ebas.ch.