Un simple appel peut aujourd’hui suffire à faire tomber la double authentification. Des chercheurs en cybersécurité alertent sur une nouvelle génération de kits de phishing vocal capables de manipuler leurs victimes en direct. Cette technique, plus sophistiquée que les campagnes classiques par e-mail ou SMS, cible déjà les comptes les plus sensibles. Et elle progresse rapidement.
Des kits de phishing qui permettent de pirater un compte pendant l’appel
Les spécialistes de la sécurité chez Okta mettent en garde contre une évolution majeure du vol d’identité. De nouveaux kits de phishing donnent la possibilité, même à des attaquants peu expérimentés, de mener des attaques de vishing hautement personnalisées.
Le mode opératoire est précis. L’escroc contacte sa cible en se faisant passer pour un employé du support technique. Pendant l’appel, il dirige la victime vers un site frauduleux dont l’interface imite parfaitement celle du service légitime. Cette fausse page est synchronisée en temps réel avec l’attaquant.
Dès que la victime saisit ses identifiants, les données sont immédiatement transmises au pirate, souvent via Telegram. Celui-ci se connecte aussitôt au véritable service avec les informations récupérées. Lorsque la plateforme envoie un code MFA ou une demande de validation push, l’attaquant demande à la victime de confirmer l’opération, sous prétexte de “vérification de sécurité”.
Au même moment, la page frauduleuse affiche un message rassurant indiquant que la connexion a réussi. La cohérence entre le discours téléphonique et l’interface affichée rend la manipulation extrêmement crédible, même pour un utilisateur attentif.
Google, Microsoft et les portefeuilles crypto particulièrement visés
Les cibles prioritaires sont les comptes associés à Google, Microsoft et aux portefeuilles de cryptomonnaies.
Avant de passer à l’action, les attaquants effectuent souvent une phase de reconnaissance approfondie. Ils collectent des informations publiques sur leur cible afin d’adapter leur discours et de renforcer leur crédibilité. Cette préparation leur permet de répondre aux questions et de lever les doutes pendant l’échange téléphonique.
L’élément technique central repose sur des scripts exécutés dans le navigateur de la victime. Ces scripts permettent de modifier dynamiquement le contenu affiché à l’écran. Ainsi, la Multi-Factor Authentication (MFA), pourtant conçue pour bloquer l’accès en cas de vol de mot de passe, devient inefficace lorsque l’utilisateur valide lui-même la demande sous l’influence de l’attaquant.
Une industrialisation du vishing qui inquiète les experts
Les spécialistes prévoient une forte augmentation de ces attaques hybrides combinant appel téléphonique et phishing web. Le savoir-faire nécessaire est désormais proposé comme un service sur les forums clandestins, ce qui facilite la diffusion de ces méthodes.
Les protections traditionnelles, comme les mots de passe à usage unique (OTP) ou les notifications push standards, ne suffisent plus face à ce type de manipulation. Le facteur humain est directement ciblé. L’attaquant adapte son discours en temps réel, rassure la victime et exploite la pression psychologique pour obtenir la validation nécessaire.
Cette interaction directe rend les systèmes automatisés de détection moins efficaces, car la fraude ne repose pas uniquement sur une faille technique, mais sur une mise en scène orchestrée en direct.
Quelles solutions pour se protéger efficacement ?
Les experts recommandent l’adoption de méthodes d’authentification dites résistantes au phishing, comme les passkeys FIDO ou les clés de sécurité matérielles. Ces dispositifs reposent sur une liaison cryptographique liée au domaine officiel du service. Même si un utilisateur est redirigé vers un faux site, l’authentification ne peut pas être validée.
Les entreprises doivent également renforcer la sensibilisation de leurs collaborateurs. Aucun service légitime ne demande de valider un code de sécurité ou une notification push à la suite d’un appel non sollicité. En cas de doute, il faut raccrocher et contacter directement l’organisme concerné via ses canaux officiels.
Face à cette nouvelle génération d’attaques, la technologie seule ne suffit plus. La vigilance et le refus systématique de valider une demande inattendue restent les meilleures protections contre la perte de ses accès les plus sensibles.
