Vishing

Selon Silent Push (alerte du 26 janvier 2026), une campagne massive d’usurpation d’identité menée par le groupe SLSH cible des comptes SSO d’entreprises à forte valeur (dont Okta), via une infrastructure de phishing en direct couplée à des opérations de vishing. ⚠️ SLSH (« Scattered LAPSUS$ Hunters ») est une alliance de Scattered Spider, LAPSUS$ et ShinyHunters. Leur opération n’est pas automatisée mais pilotée par des humains, synchronisant appels téléphoniques aux employés/Help Desk et pages de phishing qui reproduisent les écrans d’authentification pour intercepter identifiants et tokens MFA en temps réel et obtenir un accès immédiat aux tableaux de bord d’entreprise. ...

Selon Blick, la police vaudoise observe une hausse notable des arnaques téléphoniques la semaine du 12 janvier 2026, avec 73’000 CHF soutirés et 24 cas recensés (dont 12 tentatives à Lausanne, Nyon et Savigny). Nouveauté marquante: des escrocs se font désormais passer pour des employés de centres médico-sociaux (CMS) afin de cibler des victimes souvent âgées. 📈 Côté tendances, après une «relative accalmie» liée à une demande d’entraide judiciaire adressée à la France en août 2025, la hausse a repris. En 2025, la police a compté 925 cas (668 tentatives, 257 réussites) contre 369 cas (229 tentatives, 140 réussites) l’année précédente. Une progression des tentatives est signalée, sans hausse proportionnelle des réussites, la population étant probablement mieux informée. La même tendance est observée dans les autres cantons. ...

vd.ch (Actualités du Canton de Vaud) signale le 26 janvier 2026 une recrudescence d’escroqueries par usurpation d’identité, où des auteurs se présentent comme faux policiers, employés de banque ou personnel de CMS. 🚨 Constat chiffré: après une accalmie fin 2025, les cas repartent à la hausse. Pour la semaine du 12 janvier 2026, la police dénombre 24 cas (dont 12 tentatives) principalement à Lausanne (9), Nyon (4) et Savigny (2), pour un préjudice total de CHF 73’000 dont CHF 43’000 sur un cas lausannois. Les autres cantons observent une tendance similaire. Sur l’année 2025, 925 cas ont été rapportés (668 tentatives, 257 réussites), contre 369 cas en 2024 (229 tentatives, 140 réussites). ...

Source et contexte: Okta Threat Intelligence publie une analyse décrivant plusieurs kits de phishing personnalisés, conçus pour soutenir des opérations de vishing en orchestrant en temps réel les sessions d’authentification côté victime. Les kits, proposés en modèle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisé avec le script du caller pour amener la victime à approuver des défis MFA ou à exécuter d’autres actions au profit de l’attaquant. 🎣☎️ ...

BleepingComputer rapporte qu’Okta avertit de la circulation de kits de phishing personnalisés conçus pour des attaques de vishing, actuellement utilisés pour dérober des identifiants Okta SSO en vue de vols de données. Les kits sont conçus spécifiquement pour la manipulation vocale (vishing) et sont déployés dans des campagnes actives, selon les informations rapportées. L’objectif principal est le vol d’identifiants Okta SSO, permettant un accès non autorisé susceptible de mener à de l’exfiltration de données. ...

Selon 20 Minuten, la police cantonale tessinoise met en garde contre une vague de hameçonnage vocal (vishing) visant à soutirer des informations personnelles et des données bancaires. Entre 2023 et 2025, environ une trentaine de cas par an ont été enregistrés au Tessin, sans hausse des plaintes, de nombreuses personnes signalant des appels suspects sans préjudice financier. Le scénario type commence par une voix synthétique affirmant que les données personnelles de la victime sont liées à un crime ou évoquant des irrégularités SwissID ou de compte bancaire. Le message invite à «appuyer sur la touche 1» pour obtenir plus d’informations. ...

« BlackSuit Blitz » : une attaque dévastatrice contre un fabricant mondial d’équipements Le groupe Ignoble Scorpius, opérant le rançongiciel BlackSuit, a récemment frappé un grand fabricant international, selon une analyse de Unit 42 (Palo Alto Networks). L’incident, baptisé “BlackSuit Blitz”, illustre comment une simple compromission d’identifiants VPN peut déclencher une crise d’entreprise majeure. Du vishing à l’exfiltration de 400 Go L’attaque a débuté par un appel de hameçonnage vocal (vishing) : un employé, pensant parler au support interne, a saisi ses identifiants VPN sur un faux portail. À partir de là, les assaillants ont : ...

Source: Daily Dark Web (dailydarkweb.net), 3 octobre 2025. Contexte: une nouvelle alliance de cybercriminels — regroupant ShinyHunters, Scattered Spider et LAPSUS$ — a mis en ligne un site d’extorsion visant Salesforce, avec une menace de divulguer près d’un milliard d’enregistrements si une rançon n’est pas payée avant le 10 octobre 2025. L’article décrit une campagne coordonnée mi-2025 contre des clients de Salesforce qui n’exploite pas de faille du cœur de la plateforme, mais repose sur de la social engineering avancée, notamment du vishing (usurpation d’équipes IT/Help Desk par téléphone) pour faire approuver des applications tierces malveillantes dans les environnements Salesforce des victimes. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publié le 30 septembre, un acteur financier baptisé UNC6040 mène des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de données et l’extorsion. Chaîne d’attaque décrite: (1) Usurpation du support IT pour pousser les employés à autoriser des apps connectées falsifiées, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immédiate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latéral vers Okta/Microsoft 365. L’infrastructure observée inclut l’usage de Mullvad VPN. ...

Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395. – Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨 ...