Télétravailleurs, attention au vishing !

Aux Etats-Unis, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié jeudi une alerte commune pour mettre en garde contre la menace croissante d’attaques de phishing vocal ou « vishing » visant les entreprises.

Enr réumé, le phishing vocal est une forme de fraude téléphonique criminelle, utilisant l’ingénierie sociale sur le système téléphonique pour accéder à des informations personnelles et financières privées dans le but d’obtenir une récompense financière.

Les campagnes de vishing en cours sont considérées comme inquiétantes en raison de la pandémie actuelle de COVID-19 qui a provoqué la hausse du nombre d’employés travaillant à domicile et l’augmentation de l’utilisation du VPN d’entreprise et l’élimination de la vérification en personne.

Selon ce message d’alerte, la bande de pirate utilisant cette technique compile également des dossiers sur les employés de certaines entreprises en utilisant les profils publics sur les plateformes de médias sociaux, les outils de recrutement et de marketing, les services de vérification des antécédents (screening) accessibles au public et la recherche sur des sources ouvertes.

Les acteurs ont d’abord commencé à utiliser des numéros de Voix sur IP (VoIP) non attribués pour appeler des employés ciblés sur leurs téléphones portables personnels, puis ont commencé à intégrer des numéros usurpés d’autres bureaux et employés de l’entreprise victime. Les acteurs ont utilisé des techniques d’ingénierie sociale et, dans certains cas, se sont fait passer pour des membres du service d’assistance informatique de l’entreprise victime, en utilisant leur connaissance des informations personnelles identifiables de l’employé – notamment son nom, sa fonction, sa durée de travail dans l’entreprise et son adresse personnelle – pour gagner la confiance de l’employé ciblé.

FBI + CISA

Et voici une série d’articles en relation avec cette alerte à la prudence;

et le message d’alerte du FBI + CISA: