Les cybercriminels emploient diverses méthodes pour accéder aux informations sensibles des entreprises. Une approche de plus en plus populaire est le vishing, ou hameçonnage vocal. Dans ce cas, le pirate incite une personne à lui communiquer ses identifiants de compte ou d’autres informations par le biais d’un simple appel téléphonique. Selon les dernières données de la société de sécurité CrowdStrike, ces types d’attaques sont en forte augmentation.
Dans son 11ème rapport annuel 2025 CrowdStrike Global Threat Report, le fournisseur de services de sécurité explique que les attaques par vishing ont augmenté de 442 % au cours du second semestre 2024 par rapport au premier semestre.
Tout au long de l’année, CrowdStrike Intelligence a suivi au moins six campagnes similaires mais distinctes dans lesquelles des attaquants se faisant passer pour des informaticiens ont appelé des employés de différentes organisations.
Ingénierie sociale du Help desk
Dans ces campagnes particulières, les escrocs ont tenté de convaincre leurs victimes de mettre en place des sessions d’assistance à distance, généralement à l’aide de l’outil Microsoft Quick Assist (Asistance rapide) intégré à Windows.
Et dans de nombreux cas, les attaquants ont utilisé Microsoft Teams pour passer les appels téléphoniques. Au moins quatre des campagnes observées par CrowdStrike ont utilisé le spam bombing pour envoyer des milliers de courriels indésirables aux utilisateurs ciblés comme prétexte à l’appel d’assistance.
Le type d’hameçonnage utilisé dans ces attaques est souvent connu sous le nom d’ingénierie sociale du service d’assistance. Dans ce cas, le cybercriminel se fait passer pour un service d’assistance ou un professionnel de l’informatique et insiste sur l’urgence de l’appel en réponse à une menace inventée de toutes pièces. Dans certains cas, l’attaquant demande le mot de passe ou d’autres informations d’identification de la personne. Et parfois, l’escroc tente d’obtenir un accès à distance à l’ordinateur de la victime.
Callback phishing
Une autre tactique observée par CrowdStrike est le callback phishing. Dans ce cas, le criminel envoie un courriel à une personne au sujet d’une affaire urgente. Mais fausse. Il peut s’agir d’une réclamation pour une facture en souffrance, d’un avis d’abonnement à un service ou d’une alerte indiquant que son compte a été compromis. Le courriel contient un numéro de téléphone que le destinataire doit appeler. Mais naturellement, ce numéro les conduit directement à l’escroc.
Et celui-ci tente de les amener à communiquer les détails de leur carte de crédit, les identifiants de leur compte ou d’autres informations.
Ces attaques étant généralement dirigées contre des organisations, les rançongiciels constituent un autre élément clé des attaques. En accédant aux ressources du réseau, aux comptes des utilisateurs ou des clients et à d’autres données sensibles, les attaquants peuvent demander une rançon pour les informations volées.
Chatty Spider et Plum Spider
Dans son rapport, CrowdStrike identifie plusieurs groupes de cybercriminels qui utilisent le vishing et le callback phishing dans leurs attaques. Un groupe connu sous le nom de Chatty Spider se concentre principalement sur les secteurs du droit et de l’assurance. Il a demandé des rançons allant jusqu’à 8 millions de dollars.
Un autre groupe appelé Plump Spider cible a ciblé des entreprises basées au Brésil tout au long de l’année 2024. Il utilise des appels de vishing pour diriger les employés vers des sites et des outils d’assistance à distance.
« Comme d’autres techniques d’ingénierie sociale, le vishing est efficace parce qu’il cible la faiblesse ou l’erreur humaine plutôt qu’une faille dans un logiciel ou un système d’exploitation (OS) », explique CrowdStrike dans son rapport. « L’activité malveillante peut n’être détectée qu’à un stade ultérieur de l’intrusion. Par exemple lors de l’exécution d’un binaire malveillant ou d’une activité de manipulation du clavier. Cela peut retarder la mise en œuvre d’une réponse efficace. Et cela donne un avantage aux pirates, et met à la charge des utilisateurs la reconnaissance d’un comportement potentiellement malveillant. »
Conseils pour se protéger contre les attaques de vishing
Pour vous protéger, ainsi que vos employés et votre organisation, contre les attaques de vishing et autres menaces similaires, CrowdStrike vous propose les conseils suivants :
- Exigez une authentification vidéo et un identifiant gouvernemental pour les employés qui appellent le service d’assistance pour demander une réinitialisation de leur mot de passe.
- Formez les employés du service d’assistance à être prudents lorsqu’ils répondent à des appels téléphoniques demandant des réinitialisations de mot de passe ou d’authentification multifactorielle (MFA). Ils doivent être particulièrement prudents si ces appels arrivent en dehors des heures de bureau ou si un grand nombre de demandes de ce type surviennent dans un court laps de temps.
- Utiliser des méthodes d’authentification plus avancées telles que FIDO2 pour se prémunir contre la compromission des comptes.
- Surveillez les tentatives d’enregistrement d’un même appareil ou d’un même numéro de téléphone par plusieurs personnes dans le cadre de l’AMF.
- Proposez régulièrement des formations à la sécurité à vos employés. Apprenez-leur à reconnaître les tentatives d’hameçonnage et les attaques d’ingénierie sociale.
- Appliquez régulièrement des correctifs de sécurité et d’autres correctifs pour résoudre les vulnérabilités critiques.