Qu’est-ce que le callback phishing et comment s’en protéger ?

Les attaques de phishing par rappel sont en augmentation. Si vous avez déjà reçu un e-mail vous demandant de renouveler un service ou de payer une facture pour un service que vous n’avez jamais acheté, vous avez été victime d’un hameçonnage par rappel.


Qu’est-ce que l’hameçonnage par rappel ?

Une attaque de phishing par rappel, parfois appelée transmission d’attaque par téléphone (TOAD), combine deux méthodes de phishing. La victime reçoit un e-mail de phishing l’avertissant d’un problème. Au lieu de fournir plus d’informations sur la situation dans l’e-mail, l’auteur de la menace inclut un numéro de contact, dans l’espoir d’un retour d’appel de la victime.

Lorsque le destinataire appelle le numéro de téléphone mentionné, l’auteur de la menace utilise des techniques d’ingénierie sociale pour inciter la victime à partager des données sensibles, à installer des logiciels malveillants ou à prendre toute autre mesure pouvant bénéficier à l’acteur de la menace.

Comment fonctionne l’hameçonnage par rappel

Tout d’abord, une victime reçoit un e-mail l’informant qu’un paiement est dû pour un abonnement à un service. Souvent, il n’y a pas de facture jointe au courrier. La victime devient alors curieuse ou furieuse de recevoir la demande de paiement pour un service qu’elle n’a pas acheté au départ. Elle appelle donc le numéro de téléphone mentionné dans l’e-mail.

Un acteur de la menace assiste à l’appel et incite la victime à suivre des étapes spécifiques pour annuler la commande. Lorsque la victime suit ces étapes, un logiciel malveillant s’installe sur son PC ou l’auteur de la menace reçoit des informations sensibles.

L’acteur de la menace met fin à l’appel une fois que la victime a pris l’action que l’acteur de la menace veut qu’elle entreprenne.

Pourquoi les pirates tentent des attaques de phishing par rappel

En menant une attaque de phishing par rappel réussie, un pirate peut :

  • Voler des données sensibles, des identifiants de connexion ou tout autre type de données confidentielles.
  • Installez un logiciel de rançon sur l’ordinateur de la victime pour crypter les données afin d’obtenir une rançon.
  • Obtenez les informations de carte de crédit ou les informations de compte bancaire de la victime pour voler de l’argent.
  • Installez un logiciel d’accès à distance sur l’ordinateur de la victime pour voler des fichiers sensibles.

Dans la plupart des campagnes de phishing par rappel, le but de l’attaque est de voler des données, de l’argent ou les deux.

De nos jours, la plupart des particuliers et des entreprises utilisent des solutions anti-hameçonnage ou anti-spam pour bloquer un e-mail contenant un fichier malveillant.

Cependant, les e-mails de phishing de rappel n’incluent pas de pièces jointes ou de liens malveillants. Ces e-mails ont donc tendance à contourner les filtres de messagerie et à être livrés aux ordinateurs des victimes. De plus, les attaques de phishing par rappel ont un faible coût par cible.

Il n’est donc pas surprenant que de plus en plus d’acteurs malveillants fassent des tentatives de phishing par rappel.

Comment prévenir les attaques de phishing par rappel

Une image d'un bouclier romain et d'un cadenas sur un téléphone portable représentant la sécurité

Une campagne de phishing par rappel réussie peut causer des dommages irréparables à un individu ou à une entreprise.

Voici quelques moyens de se prémunir contre les attaques de phishing par rappel.

Mettre en œuvre une solution de sécurité des e-mails

Bien que certains e-mails de phishing de rappel soigneusement conçus puissent échapper aux solutions de sécurité des e-mails, la mise en œuvre d’une solution de sécurité des e-mails réputée comme une passerelle de messagerie peut aider à améliorer la sécurité de votre entreprise.

Considérez comment une attaque par compromission des e-mails professionnels (BEC) peut vous coûter d’énormes sommes d’argent et nuire à votre réputation. La mise en œuvre d’une solution de sécurité de messagerie robuste peut minimiser le risque d’attaques par compromission des e-mails professionnels. Dans la plupart des cas, une solution de sécurité des e-mails détectera et bloquera l’usurpation d’e-mails, le phishing et les escroqueries. Une telle solution peut également aider à empêcher l’installation de logiciels malveillants sur votre PC.

De plus, une bonne solution de sécurité des e-mails peut vous alerter en cas de comportement suspect des utilisateurs. Assurez-vous donc de disposer de l’une des meilleures suites de messagerie pour la configuration de la boîte de réception sécurisée.

Même si vous ne travaillez pas dans un cadre professionnel, l’installation d’un bon logiciel antivirus sur votre appareil peut vous offrir une sécurité optimale contre les e-mails de phishing et de nombreuses autres menaces de cybersécurité.

Vérifiez attentivement les e-mails pour les signes de phishing évidents

Bien que les e-mails de phishing de rappel ne contiennent pas de pièces jointes ou de liens malveillants, ils présentent certains des principaux signes de phishing auxquels vous devez faire attention.

Un e-mail est probablement un e-mail de phishing dont l’expéditeur est inhabituel. Par exemple, l’e-mail peut prétendre provenir d’une entreprise légitime, mais il n’a pas d’adresse e-mail de marque. Au lieu de cela, il a une adresse e-mail générique comme google.com ou yahoo.com.

Vous pouvez également vous méfier des e-mails truffés de fautes d’orthographe et de grammaire. Aucune entreprise légitime n’envoie d’e-mails remplis d’erreurs textuelles. Faites également attention aux messages qui donnent une courte fenêtre pour effectuer une tâche. Par exemple, une adresse e-mail vous donne quelques heures pour effectuer un paiement afin de maintenir un abonnement actif.

Un e-mail de phishing peut être signalé par votre fournisseur de messagerie. Certains fournisseurs de messagerie disposent d’une technologie anti-spam intégrée pour alerter les utilisateurs des e-mails de phishing et de spam.

Aujourd’hui, les acteurs de la menace combinent diverses tactiques d’ingénierie sociale pour inciter les victimes à les appeler. Vous devez donc redoubler de prudence lorsque vous prenez des mesures basées sur des e-mails qui éveillent les soupçons.

Méfiez-vous s’il s’agit d’argent

Un moyen infaillible d’éviter d’être la proie d’une attaque de phishing par rappel consiste à vérifier si un message concerne de l’argent ou des identifiants de connexion.

Si un e-mail d’une entreprise apparemment légitime crée un sentiment d’urgence et vous demande d’envoyer de l’argent, méfiez-vous.

Si l’e-mail ne contient pas d’informations détaillées à l’exception du numéro de téléphone de son représentant du service client, il est probable qu’il fasse partie d’une campagne de phishing de rappel.

Organiser des programmes de formation sur l’hameçonnage

L’hameçonnage par rappel, qui fait partie des attaques d’ingénierie sociale, repose sur l’erreur humaine plutôt que sur les vulnérabilités du système.

Ainsi, l’exécution régulière de programmes de formation de sensibilisation à la cybersécurité des employés peut minimiser le risque d’attaques de phishing par rappel.

Voici les domaines clés sur lesquels vous devriez vous concentrer lors de la création d’un programme de formation de sensibilisation à la sécurité. Pour commencer, un programme de formation de sensibilisation à la sécurité devrait offrir une formation sur diverses attaques de cybersécurité, y compris le phishing par rappel, le spam, les logiciels malveillants, les méthodes d’ingénierie sociale, les attaques basées sur des scripts et bien d’autres. Il devrait y avoir suffisamment d’attention sur la façon de repérer les e-mails de phishing, les URL malveillantes, les sites Web malveillants, etc.

Les employés ne doivent pas utiliser une adresse e-mail d’entreprise pour télécharger des outils technologiques fiables légitimes à partir de faux sites Web ou s’abonner à des services en ligne aléatoires. Cela est un moyen sûr d’inviter des e-mails de phishing ou de spam. Vous devez vous assurer que vos employés suivent les meilleures politiques de sécurité des mots de passe. Ils doivent également utiliser des authentifications multifacteurs pour ajouter une couche de sécurité à leurs comptes.

Votre programme de formation devrait également comporter des simulations de tests de phishing pour évaluer l’état de préparation de vos employés à lutter contre les campagnes de phishing par rappel. Et assurez-vous que vos employés suivent les meilleures pratiques pour protéger les comptes de messagerie d’entreprise afin d’éviter les escroqueries.

Callback Phishing expliqué

Vous savez maintenant ce qu’est le phishing par rappel et comment vous pouvez l’empêcher. Restez vigilant pour éviter d’être la proie d’une attaque de phishing par rappel. En outre, vous devez en savoir plus pour comprendre à quoi ressemble un spam et repérer rapidement un tel e-mail.