Les attaques par hameçonnage - portmanteau de voice (voix) et phishing (hameçonnage) - sont effectuées par téléphone et sont considérées comme un type d'attaque d'ingénierie sociale, car elles utilisent la psychologie pour inciter les victimes à fournir des informations sensibles ou à effectuer une action pour le compte de l'attaquant.
Une tactique courante consiste à faire appel à l'autorité. Par exemple, l'attaquant peut se faire passer pour un agent du fisc et prétendre qu'il appelle pour recouvrer des impôts impayés. La peur de l'arrestation peut amener les victimes à faire ce que l'agresseur leur demande. Ces types d'attaques impliquent aussi souvent un paiement par carte cadeau et ont coûté aux victimes 124 millions de dollars en 2020, rien qu'aux États-Unis.
Si le vishing et le hameçonnage sont tous deux des types d'attaques d'ingénierie sociale et utilisent en grande partie les mêmes tactiques, la principale différence entre eux est le moyen utilisé pour réaliser les attaques.
Comme mentionné ci-dessus, le vishing utilise le téléphone pour effectuer une attaque. L'agresseur appelle la victime - ou l'incite à l'appeler - et tente verbalement de la pousser à faire quelque chose. Les hameçonneurs, quant à eux, utilisent des formes de communication électroniques et textuelles pour mener leurs attaques. Si le courrier électronique est le moyen d'hameçonnage le plus courant et le plus connu, les attaquants peuvent également utiliser les messages texte (appelés smishing), les applications de communication d'entreprise (Slack, Microsoft Teams, etc.), les applications de messagerie (Telegram, Signal, WhatsApp, etc.) ou les médias sociaux (Facebook, Instagram, etc.) pour mener à bien leurs attaques.
Les attaques de vishing peuvent être aussi variées que les attaques de hameçonnage. Voici quelques-uns des prétextes les plus couramment utilisés pour le vishing :
Comme pour les autres attaques d'ingénierie sociale, la sensibilisation des utilisateurs est essentielle à la prévention et à la protection. Voici quelques points importants à inclure dans la formation de sensibilisation à la cybersécurité :
Comme pour les attaques par hameçonnage, la prévention du vishing basée sur la formation est imparfaite. Il est toujours possible qu'une attaque passe à travers les mailles du filet. Cependant, contrairement au hameçonnage, le vishing est difficile à prévenir par la technologie. Étant donné que le vishing se fait par téléphone, la détection d'attaques potentielles nécessiterait l'écoute de tous les appels téléphoniques et l'observation des signes avant-coureurs.
C'est pourquoi les organisations doivent faire face aux attaques de vishing en mettant en place une défense en profondeur et en se concentrant sur les objectifs de l'attaquant. Dans le contexte d'une entreprise, une attaque de vishing peut être conçue pour infecter le système d'un employé avec un logiciel malveillant ou pour permettre à l'attaquant d'accéder à des données sensibles de l'entreprise. L'impact d'une attaque de vishing peut être atténué en mettant en place des solutions qui empêchent un attaquant d'atteindre ces objectifs, même si le vecteur d'attaque initial (c'est-à-dire l'appel téléphonique de vishing) est indétectable.
Check Point offre une gamme de solutions qui peuvent aider les organisations à atténuer les attaques de vishing, de hameçonnage et d'autres attaques connexes. Harmony Email and Office de Check Point inclut des protections anti-hameçonnage et peut aider à détecter les tentatives d'exfiltration de données inspirées par une attaque de vishing. Pour en savoir plus sur la façon dont Check Point peut protéger votre organisation contre les menaces d'ingénierie sociale, nous vous invitons à demander une démonstration gratuite dès aujourd'hui.