Le vishing : se défendre contre une menace croissante

Interpol a récemment révélé une augmentation des fraudes par “vishing”, ou hameçonnage vocal. Au cours de ces campagnes, des hackers se sont fait passer pour des institutions afin d’inciter les victimes à communiquer leurs données de connexion. Cette constatation découle en partie des 2 000 arrestations dans le cadre d’une répression des rackets liés à l’ingénierie sociale au cours de deux mois cette année. Que ce soit au niveau de l’entreprise ou de l’utilisateur, il devient ainsi essentiel de mettre en place les bonnes mesures pour garder ses informations personnelles à l’abri de toute compromission.

Le vishing est un vecteur d’attaque qui utilise un appel téléphonique, et plus particulièrement le VoIP (Voice over Internet Protocol) du fait de son bas coût. Dans ce scénario, les cybercriminels se présentent comme des personnes de confiance, et parfois haut placées, telles un PDG, afin de soutirer des informations financières ou personnelles, des mots de passe ou des numéros de compte par exemple, ou alors pour convaincre un utilisateur de télécharger un logiciel malveillant. De fait, le but d’une attaque par hameçonnage vocal est le même que celui d’une attaque de phishing.  Elle a cependant recours à un pouvoir psychologique de persuasion qui permet aux hackers d’obtenir la confiance d’un individu, au lieu d’un lien frauduleux, ce qui la rend d’autant plus redoutable.

Déployer une politique de prévention

La première étape pour se protéger contre ce type de compromission consiste à élaborer de manière proactive une stratégie de lutte contre le vishing, la sensibilisation étant au cœur de celle-ci. Les employés et les partenaires doivent comprendre que les appels sont intrinsèquement peu sûrs, et doivent être gérés avec prudence. Pour assurer une couche de défense préliminaire, une entreprise peut implémenter plusieurs dispositifs de sécurité. Une application qui discerne la véracité de l’appel est notamment bénéfique. En effet, les hackers peuvent facilement créer des faux numéros, par le biais d’options de VoIP. Le téléchargement d’un outil qui peut les détecter et vérifier s’ils sont connectés à un téléphone standard, est un bon moyen pour l’organisation de prévenir toute arnaque.

L’éducation relative aux bonnes pratiques à suivre doit également devenir une priorité. Au niveau des employés, cette sensibilisation est bénéfique, car elle les aide à identifier les tentatives d’attaques, à réagir et à les signaler à temps. Pour les particuliers, il est important d’éviter de partager toutes informations personnelles par SMS ou par appel vocal, surtout lorsque l’identité de l’interlocuteur n’a pas été vérifiée. Pour se protéger, ils peuvent raccrocher, puis appeler un numéro officiel avec un autre téléphone afin de certifier que la demande de l’interlocuteur soit légitime. En effet, même si l’individu contacté termine l’appel, le fraudeur peut détourner le suivant, car la ligne reste ouverte. Le cybercriminel peut notamment se faire passer pour une entité de confiance, telle qu’une banque ou une organisation gouvernementale, afin de voler des données sensibles.

Les entreprises doivent, par ailleurs, définir des politiques régissant la manière de vérifier l’identité des appelants et les types d’informations qui peuvent être révélées, quand, par qui et à qui. En complément, il est important que les employés sachent à qui présenter chaque demande et quelle est la procédure à suivre lorsqu’en cas de suspicion d’attaque ou de fait inhabituel. Pour les requêtes les plus critiques, telle qu’une transaction financière, la mise en place d’une stratégie qui requiert plusieurs validations avant un virement et d’une authentification sécurisée aux systèmes pour toutes les personnes concernées, est essentielle. De plus, pour garantir un niveau de sécurité supplémentaire, une organisation a tout intérêt à déployer une approche zero trust. Celle-ci exige que l’identité de chaque appareil et de chaque utilisateur soit strictement vérifiée, qu’ils se trouvent ou non à l’intérieur du périmètre du réseau, pour accorder l’accès aux ressources de l’entreprise. Pour relever le défi face à ces cybermenaces, les organisations doivent considérer le déploiement à grande échelle de l’authentification forte, car elle représente l’un des piliers de cette stratégie zero trust.

L’authentification forte, pierre angulaire d’une cyberdéfense efficace

Il est utile de comprendre ce qu’est l’hameçonnage vocal et de rester vigilant à ce sujet, mais l’éducation ne suffit pas. Les attaques d’ingénierie sociale telles que le vishing sont de plus en plus sophistiquées, et les vulnérabilités restent un problème pour les employés susceptibles d’être ciblés.

De ce fait, le déploiement d’une authentification multifacteur (MFA) forte, à l’échelle de différents appareils et applications critiques, est bénéfique pour une sécurité accrue. La MFA offre, aussi, une meilleure expérience utilisateur, ce qui facilite son adoption au niveau de l’entreprise, contrairement aux solutions ponctuelles complexes qui ne protègent qu’une catégorie d’individus.

Pour être qualifiée de « forte », l’authentification doit reposer sur différentes étapes de vérification de l’identité et non sur des secrets partagés uniquement, tels que les mots de passe. Ces phases de connexion, qui une fois passées confèrent l’accès demandé, peuvent par exemple reposer sur une empreinte biométrique, faciale ou encore des clés de sécurité matérielles, impossibles à pirater à distance. Plus les réseaux auront de couches de défense, plus ils bénéficieront d’une sécurité robuste contre le vishing, car elles constituent un barrage supplémentaire pour le cybercriminel.

À mesure que les moyens d’attaques se multiplient, et tout particulièrement les tentatives de vishing, la protection des données doit devenir une priorité. Pour ce faire, le déploiement de dispositifs de sécurité et la sensibilisation des utilisateurs aux bonnes pratiques constituent des solutions optimales. Elles permettront surtout de signaler et de faire barrage à toute démarche du cybercriminel. Plus tôt une organisation est informée, plus vite, elle pourra réagir, assurer la continuité de ses activités et préserver ses systèmes.