Dans un premier temps, le fraudeur contacte sa victime par téléphone en se faisant passer pour son institution bancaire et l'avertit que son compte a été compromis et que des informations personnelles doivent être vérifiées afin de mettre un terme à la situation. Le fraudeur l'informe alors que l'appel va être transféré au service à la clientèle et demande à la victime de patienter. Pendant ce temps, le fraudeur appelle la banque de la victime et initie alors un appel-conférence à trois pendant lequel il reste silencieux, ce qui lui permet cependant d'écouter les réponses aux questions de sécurité posées par le représentant de la banque. Dès qu'il entre en possession de ces informations, il met fin à l'appel en prétextant que le problème est résolu. Il ne lui suffit plus qu'à rappeler le centre d'appel de la banque, en espérant ne pas tomber sur le même préposé, à répondre correctement aux questions d'authentification (qui en général ne sont pas posées de manière aléatoire), et à initier des virements bancaires vers des comptes qu'il aura lui-même créé.
La seule technologie requise dans ce type d'attaque très efficace qui aurait été observé au Royaume Uni, aux États Unis et au Canada ces dernières semaines est une ligne téléphonique capable d'initier des appels conférences à trois. Le plus difficile pour le fraudeur est alors d'apprendre de quelle banque sa victime est cliente afin de pouvoir la mettre en relation avec la bonne institution.
1 commentaire:
Bel exemple de ''social engineering''.
Enregistrer un commentaire