Vous connaissiez sans doute le phishing, cette technique qui consiste à se faire passer pour une banque ou un établissement financier de façon à inciter l'internaute à communiquer ses informations personnelles, mais peut-être étiez-vous passé à côté du vishing, l'une de ses évolutions ? Le vishing consiste à utiliser la voix, et tout particulièrement la voix sur IP qui permet un certain anonymat, pour mettre en confiance la victime qui se méfierait du courrier électronique. Si la France est encore épargnée par le phénomène, la cellule Internet Crime Complaint Center du FBI vient de lancer aux Etats-Unis une alerte relative au vishing.
Les méthodes d'ingénierie sociale (social engineering en anglais) n'ont donc pas fini d'inspirer les pirates. Pour mémoire, celles-ci consistent à abuser la confiance de l'internaute en se faisant passer pour sa banque, son fournisseur d'accès ou un prestataire de services, de façon à ce que ce dernier fournisse de son propre chef des informations telles que ses identifiants bancaires ou le code de sa carte de paiement électronique. Avec le phishing, cette usurpation d'identité prend la forme d'un courrier électronique invitant l'internaute à se connecter au site de l'établissement concerné pour saisir ses informations personnelles. Intégrés au corps du message, des liens hypertextes conduisent en réalité vers un site contrefait.
Le vishing, contraction de voice et de phishing, repose quant à lui sur l'utilisation de la voix. Le principe reste identique à celui du phishing, à ceci près que l'internaute n'est pas forcément contacté par courrier électronique : un pirate ou un serveur vocal peut se charger de le joindre par téléphone et lui délivrer un message censé émaner de sa banque. La victime est ensuite invitée à saisir ses identifiants non pas sur un site Web, mais directement au téléphone, au clavier ou de façon orale. Certains cas d'envoi par SMS ont même été détectés ces dernières années. Plus sournoise que le phishing, cette méthode est également plus subtile dans la mesure où il n'y a guère de limites au nombre de scénarios que peuvent inventer les pirates.
Comme toujours, rappelons à nos lecteurs qu'une banque ou un établissement financier ne vous demandera jamais de modifier ou de confirmer vos coordonnées par email et ne risque pas de vous contacter par l'intermédiaire d'un serveur vocal. En cas d'appel suspect, mieux vaut prendre le temps de vérifier l'identité de son interlocuteur ou demander à traiter avec un employé avec qui l'on a déjà eu un contact. Par ailleurs, il est fortement recommandé de ne jamais utiliser les liens contenus dans un courrier électronique pour se rendre sur le site de sa banque, mais de toujours saisir manuellement l'adresse de ce dernier dans son navigateur.