Spoofing téléphonique : contrez l’usurpation d'identité par téléphone

En 2023, 380 millions d'euros ont été dérobés en France par le biais du spoofing¹. Le terme de « spoofing » (ou usurpation en français), est un type de cyberattaque via laquelle un fraudeur falsifie son identité pour tromper son interlocuteur lors d’un appel téléphonique. Il va alors généralement tenter de détourner de l’argent ou de récupérer des données sensibles. Ce type d’usurpation d’identité est de plus en plus fréquent et peut avoir des conséquences financières et opérationnelles importantes pour une entreprise. Découvrez le fonctionnement du spoofing et nos conseils pour protéger votre organisation.

Qu’est-ce que le spoofing téléphonique ?

Définition du spoofing

Lors d’une cyberattaque par spoofing téléphonique, un fraudeur se fait passer pour une entité connue ou digne de confiance, comme une entreprise, un partenaire, une banque, un service client ou une administration. Il falsifie notamment l’identifiant de l’appel (le numéro affiché) pour vous tromper sur son identité.

Quelle est la différence entre spoofing et phishing ?

Le spoofing téléphonique peut aussi devenir un instrument de phishing. En usurpant un numéro ou une identité connue, le fraudeur renforce en effet l’illusion de confiance… pour mieux vous piéger ! 

Le phishing désigne toute tentative de manipulation psychologique visant à vous tromper pour obtenir des informations sensibles (mots de passe, codes, données confidentielles…) ou vous pousser à effectuer une action, comme un virement bancaire.

Pour résumer, on pourrait dire que le spoofing représente le mécanisme technique permettant au fraudeur de se faire passer pour quelqu’un de confiance, tandis que le phishing est son objectif à atteindre.

Comment fonctionne le spoofing téléphonique ?

Le spoofing utilise des logiciels ou des services de téléphonie IP capables de modifier l'identifiant de l’appelant, c’est-à-dire, le numéro s’affichant sur l’écran de votre téléphone. 

Ces derniers peuvent reproduire des numéros à l'apparence familière, comme ceux d’un service client ou d’un collaborateur, rendant l'appel encore plus crédible, sans avoir besoin d’accéder au téléphone ou à la ligne de la personne imitée !

Quels sont les différents types de spoofing téléphonique ?

Les arnaques par spoofing téléphonique peut prendre de multiples formes dont voici quelques exemples : 

• Le spoofing commercial est une technique via laquelle le fraudeur se fait passer pour une entreprise légitime, comme un fournisseur d'énergie ou un opérateur téléphonique pour vous proposer un faux service, vous inciter à payer et/ou récupérer des données sensibles ; 
• Le spoofing bancaire prend la forme d’un appel semblant provenir de votre banque pour vous pousser à divulguer vos identifiants, vos codes de carte ou valider une opération frauduleuse ; 
• Le spoofing administratif affiche un numéro imitant celui de la police, de l’assurance maladie ou encore de l’administration fiscale. Le fraudeur utilise souvent un ton alarmiste pour vous inciter à payer ou à transmettre un document dans l’urgence ; 
• Le spoofing interne ou hiérarchique est très utilisé dans les fraudes au président. Il cible vos collaborateurs en imitant votre numéro ou celui de l’un de leurs collègues afin de vous soutirer des informations en jouant sur l’autorité ; 
• Le spoofing technique (ou de support informatique) vise à se faire passer pour le technicien d’une entreprise en prétendant avoir détecté une faille de sécurité ou un virus sur l’un de vos postes. Le fraudeur va alors tenter d’obtenir un accès à distance au réseau de votre entreprise pour installer un malware ;
• Le spoofing de relance semble provenir d’un cabinet de recouvrement ou d’un service client. Le but est de vous effrayer en évoquant une dette fictive ou une échéance urgente afin d’obtenir un paiement immédiat ou des informations bancaires.

Comment protéger votre entreprise du spoofing téléphonique ?

Apprenez à reconnaître les signaux d’alerte

Malgré les différentes formes que peut prendre le spoofing, plusieurs signaux récurrents doivent vous inviter à la vigilance. C’est par exemple le cas si votre banque ou votre opérateur télécom vous appelle, alors que vous n’aviez pas de rendez-vous programmé, et que le prétendu conseiller vous parle sur un ton pressant, voire alarmiste. S’il vous pousse à effectuer une action immédiatement, comme valider un paiement ou transmettre des données confidentielles, demandez-lui ses coordonnées, ses disponibilités pour échanger plus tard et mettez un terme à l’appel. 

Appelez ensuite l’entreprise citée. Si elle n’a aucune trace de l’appel, vous avez sûrement été victime d’une tentative de spoofing téléphonique !

Sensibilisez ensuite vos équipes sur ces signaux et bonnes pratiques pour détecter les tentatives d’usurpation par téléphone, éviter de communiquer des données sensibles par téléphone et vous remonter toute tentative de spoofing.

Utilisez des solutions de sécurité téléphonique

Certaines technologies permettent de vérifier l’authenticité d’un appel grâce à un système de signature d’appel. Concrètement, une empreinte numérique est apposée sur tous les appels émis. Votre opérateur peut ainsi les analyser pour identifier des appels potentiellement frauduleux et les bloquer. Assurez-vous que votre opérateur applique bien cette signature d’appel. 

Vous pouvez aussi le contacter pour activer des filtres de sécurité additionnels et bloquer automatiquement les appels entrants suspects, notamment ceux usurpant des numéros sensibles ou souvent signalés. Certaines compagnies vont encore plus loin et proposent des technologies de filtrage intelligent basées sur l’analyse comportementale des appels pour détecter certains schémas inhabituels.

Enfin, si vous émettez beaucoup d’appels sortants (call center, service client…), vous pouvez aussi bénéficier d’une signature sur vos appels pour rassurer vos clients et éviter le filtrage de vos communications.

Mettez en place des outils d’authentification renforcée et surveillez l’usage de ses numéros

Il est également essentiel de protéger vos numéros de téléphone en utilisant des protocoles d’authentification renforcée pour vos appels sortants, en surveillant régulièrement l’usage de vos lignes ou en créant des alertes automatisées en cas d’usage inhabituel d’un numéro de téléphone professionnel.

Cela vous permet de détecter rapidement un usage malveillant de vos numéros de téléphone ou une tentative d’usurpation et de réagir avant que l’image de votre entreprise ne soit entachée.

Signalez tout spoofing téléphonique aux autorités et à votre opérateur

En cas d’arnaque par spoofing téléphonique, il est important de signaler immédiatement l’incident à votre opérateur téléphonique. Il pourra initier une enquête technique et, dans certains cas, bloquer l’appelant ou tracer la source.

Vous devez également le signaler aux autorités compétentes, comme la plateforme 33700 ou la CNIL si des données personnelles sont concernées. Ces signalements aident ces autorités à mieux identifier les campagnes de fraude en cours et à en limiter l’ampleur.

Comment Dstny vous aide à protéger votre entreprise du risque de spoofing ?

Chez Dstny, nous mettons notre expertise en cybersécurité au service des entreprises. Notre objectif : vous permettre d’anticiper les menaces et de renforcer efficacement votre protection. De la définition de votre stratégie jusqu’à sa mise en œuvre, nous vous accompagnons à chaque étape :

• Surveillance proactive et prévention des attaques : nous analysons votre environnement pour adapter notre approche aux menaces qui vous ciblent spécifiquement.
• Gestion des identités et contrôle des accès : nous vous aidons à bâtir une politique solide de gestion des identités et à sécuriser les accès sensibles.
• Sécurisation intelligente de la messagerie professionnelle : nous déployons des outils préventifs pour garantir la confidentialité et la fiabilité de vos échanges.
• Audit de sécurité : nous réalisons une analyse approfondie afin de détecter d’éventuels comportements suspects dans l’ensemble de vos systèmes.