Smishing (phishing par SMS)

Le smishing est une forme de fraude par SMS que les cybercriminels utilisent pour inciter les victimes à révéler des données sensibles, à envoyer de l'argent ou à installer des malwares sur un smartphone ou un autre appareil. Le mot « smishing » est une combinaison des expressions « short message service (SMS) » et « phishing » (hameçonnage). Le SMS est la technologie qui permet d'envoyer et de recevoir des messages texte, tandis que le phishing est une attaque de social engineering dans laquelle les cybercriminels tentent de pousser les individus à révéler des données sensibles (telles que des mots de passe ou des numéros de carte de crédit) en se faisant passer pour une organisation ou une personne fiable.

• Le smishing est une forme de phishing qui utilise des SMS pour inciter les victimes à divulguer des informations sensibles, à envoyer de l'argent ou à installer des malwares sur leurs appareils.
• Les cybercriminels se font souvent passer pour des entités de confiance telles que des banques, des services de livraison ou des agences gouvernementales afin de créer un sentiment d'urgence et d'inciter les destinataires à agir immédiatement.
• Pour se protéger contre les attaques de smishing, il faut se méfier des messages non sollicités, activer l'authentification à deux facteurs, utiliser des outils de filtrage des SMS et s'informer sur les dernières techniques de smishing.

Comme le phishing classique, le smishing repose sur le principe de la tromperie. Les cybercriminels créent des SMS qui semblent provenir d'entités de confiance telles que des banques, des services de livraison ou des agences gouvernementales. Ces messages véhiculent souvent un sentiment d'urgence, avertissant d'un problème avec un compte, d'une livraison manquée, voire d'un problème juridique.

L'objectif du cybercriminel est de susciter une réaction immédiate. Le message contient généralement un lien, incitant le destinataire à cliquer et à résoudre le problème supposé. Ce lien mène toutefois à un site Web frauduleux conçu pour imiter un site légitime. Une fois sur ce faux site, les victimes sont invitées à saisir des informations sensibles telles que leurs identifiants de connexion, les détails de leur carte de crédit ou leur numéro de sécurité sociale.

Les cybercriminels utilisent également les SMS de smishing pour diffuser des malwares ou des spywares. Ceux-ci peuvent contenir un lien qui télécharge un logiciel malicieux sur votre appareil ou un fichier joint qui installe un malware. Une fois installé sur votre téléphone, ce malware peut voler des données sensibles, suivre votre activité ou même prendre le contrôle de votre appareil.

Un exemple concret de smishing

Imaginez le scénario suivant : c'est la période des fêtes et vous attendez avec impatience un colis de votre détaillant en ligne préféré. Soudain, vous recevez un SMS. Il semble provenir du détaillant et vous avertit qu'il y a un problème avec vos informations de facturation et que votre commande est en attente. Le message vous invite à cliquer sur un lien pour mettre à jour vos coordonnées immédiatement, au risque que votre cadeau n'arrive pas à temps.

Le problème ? Ce message ne provient pas du détaillant. Il s'agit d'une tentative de smishing soigneusement élaborée. Le lien mène à un site Web convaincant, mais faux, qui vole les données de votre carte bancaire. Une fois que vous les avez saisies, les scammers disposent de ce dont ils ont besoin pour commettre une usurpation d'identité, effectuer des achats frauduleux ou vider votre compte bancaire.

Étapes courantes d'une attaque de smishing

Voici sept étapes que les cybercriminels peuvent suivre pour cibler les victimes d'une attaque de smishing :

1. Choix des destinataires : les pirates identifient les destinataires en ratissant large à l'aide de numéros de téléphone obtenus lors de violations de données ou en ciblant des personnes spécifiques sur la base de connaissances préalables.
2. Rédaction des messages : en s'appuyant sur des émotions telles que l'urgence, la peur ou la curiosité pour obtenir une réponse rapide, les pirates rédigent des SMS convaincants. Ceux-ci contiennent généralement un appel à l'action, par exemple un lien à cliquer ou un numéro à appeler.
3. Envoi des messages : à l'aide de passerelles SMS, d'outils de spoofing ou d'appareils compromis, les pirates envoient les messages de smishing aux destinataires sélectionnés. Ces messages peuvent sembler provenir de sources fiables, ce qui renforce leur caractère trompeur.
4. Interaction avec la victime : le message encourage le destinataire à interagir dès qu'il le reçoit. Cela peut consister à cliquer sur un lien malicieux, à répondre en fournissant des informations personnelles ou à appeler un numéro de téléphone fourni.
5. Collecte de données : si le destinataire tombe dans le piège, il peut être redirigé vers un site Web frauduleux où il saisit involontairement des données sensibles ou télécharge sans le savoir un malware sur son appareil. Parfois, l'interaction elle-même, comme l'appel d'un numéro surtaxé, peut entraîner des pertes financières.
6. Exploitation des informations volées : le pirate utilise les informations volées pour usurper l'identité, effectuer des transactions non autorisées ou les vendre sur le dark web.
7. Dissimulation des évidences : les pirates changent fréquemment de tactique, par exemple en utilisant différents numéros de téléphone ou en recourant à diverses techniques pour masquer leur identité et leur emplacement.

Pour mieux comprendre les attaques par smishing, examinons d'autres exemples concrets auxquels vous pourriez être confronté.

Usurpation de l'identité d'une institution financière

Les pirates peuvent envoyer des messages prétendant provenir de votre banque, vous alertant d'une activité suspecte ou d'un problème de compte. Ces messages contiennent généralement un lien vers un faux site Web conçu pour récupérer vos identifiants de connexion ou vos données financières.

Usurpation de l'identité de l'assistance client

Les messages de smishing peuvent également se faire passer pour le service client d'une entreprise technologique ou de vente au détail. Ils prétendent qu'il y a un problème avec votre compte et vous invitent à cliquer sur un lien ou à appeler une ligne d'assistance frauduleuse pour fournir des informations sensibles.

Usurpation de l'identité d'un organisme ou d'un fonctionnaire gouvernemental

Les cybercriminels peuvent se faire passer pour des agences gouvernementales, comme le fisc, et vous menacer de poursuites judiciaires ou d'amendes si vous ne cliquez pas sur un lien ou n'appelez pas un numéro fourni. Cela peut conduire au vol de données personnelles ou à des escroqueries financières.

Usurpation de l'identité d'une société de transport ou d'expédition

Les messages de smishing peuvent prétendre qu'il y a un problème de livraison de colis et vous demander de cliquer sur un lien pour le résoudre. Ces liens mènent souvent à de faux sites Web de sociétés d'expédition conçus pour voler votre adresse, vos données de paiement ou même installer des malwares sur votre appareil.

Usurpation de l'identité de dirigeants d'entreprise

Les pirates peuvent se faire passer pour des dirigeants d'entreprise et demander des transactions financières urgentes ou des informations confidentielles. Ces messages exploitent la confiance et la hiérarchie au sein des organisations, ce qui peut entraîner des pertes financières ou des violations de données.

Envoi d'un SMS au mauvais numéro

Cette tactique consiste à envoyer un message qui semble avoir été adressé accidentellement à la mauvaise personne. Les scammers utilisent ensuite la conversation qui s'ensuit pour instaurer un climat de confiance et tenter de soutirer de l'argent ou des informations personnelles.

Téléchargement d'une application

Les messages de smishing peuvent vous inciter à télécharger une application apparemment utile, souvent présentée comme une marque de confiance. Ces applications sont généralement malicieuses, conçues pour voler des données ou installer d'autres malwares sur votre appareil.

Le phishing, le smishing et le vishing sont tous des tactiques de social engineering que les cybercriminels emploient pour voler des informations personnelles, mais ils diffèrent par leurs méthodes de diffusion.

• Le phishing se sert d'e-mails trompeurs pour inciter les destinataires à cliquer sur des liens malicieux ou à télécharger des pièces jointes nuisibles. Ces e-mails semblent souvent provenir de sources légitimes, telles que des banques, des plateformes de réseaux sociaux ou des détaillants en ligne.
• Le smishing utilise des SMS ou des applications de messagerie plutôt que des e-mails pour tromper les victimes. Ces messages contiennent généralement des demandes d'informations urgentes ou des liens vers de faux sites Web conçus pour recueillir des données personnelles.
• Le vishing utilise les appels ou les messages vocaux pour inciter les personnes à révéler des informations sensibles. Les pirates peuvent se faire passer pour des représentants de banque, des fonctionnaires ou du personnel d'assistance technique afin de gagner la confiance de la victime et de lui soutirer des informations directement par téléphone.

Pour se protéger contre les attaques de smishing, il faut d'abord comprendre les principes fondamentaux de la protection contre le phishing. Voici quelques solutions courantes pour se prémunir contre les attaques de social engineering telles que le phishing, le smishing et le vishing :

Individus

• Activez l'authentification multifactorielle (MFA) : cette mesure de sécurité exige des utilisateurs qu'ils fournissent deux formes d'identification avant d'accéder à un compte, par exemple un mot de passe et un code temporaire envoyé sur un téléphone ou par e-mail. Elle réduit considérablement le risque d'accès non autorisé, même en cas de compromission du mot de passe.
• Méfiez-vous des messages non sollicités : traitez les SMS inattendus avec méfiance, en particulier ceux qui prétendent être urgents ou qui offrent des récompenses. Vérifiez l'authenticité de tout message en contactant directement l'organisation par les voies officielles.
• Informez-vous et informez les autres : tenez-vous au courant des dernières techniques de smishing et partagez ces informations avec vos proches et vos collègues de travail. La sensibilisation est un outil puissant pour identifier et éviter les scams.
• Ignorez les messages suspects : ne cliquez pas sur des liens et ne répondez pas à des SMS provenant de sources inconnues ou suspectes. Les organisations légitimes ne demandent généralement pas d'informations sensibles par SMS.

Entreprises

• Utilisez des outils de filtrage des SMS : de nombreux smartphones sont dotés de fonctionnalités intégrées ou d'applications permettant de filtrer ou de signaler les messages de spam et de phishing potentiels. Ces outils permettent de réduire l'exposition aux SMS malicieux.
• Installez des outils anti-phishing : les logiciels de sécurité peuvent détecter et bloquer les tentatives de phishing, offrant ainsi une protection supplémentaire contre les attaques de smishing. Mettez régulièrement à jour ces outils pour vous assurer qu'ils reconnaissent les menaces les plus récentes.
• Vérifiez l'identité de l'expéditeur : si un message demande des informations personnelles, vérifiez l'identité de l'expéditeur en contactant directement l'organisation à l'aide des coordonnées figurant sur son site Web officiel, et non dans le message lui-même.
• Signalez les tentatives de smishing : en signalant les SMS suspects à votre opérateur de téléphonie mobile ou aux autorités compétentes, vous les aiderez à repérer et à combattre les campagnes de smishing, protégeant ainsi d'autres personnes contre ce type d'attaques.
• Organisez régulièrement des formations à la sécurité : des sessions de formation à la sécurité et des simulations peuvent aider les individus et les organisations à mieux reconnaître les tentatives de smishing et à mieux y répondre, réduisant ainsi le risque d'en être victime.
• Actualisez régulièrement vos logiciels : des mises à jour régulières de votre système d'exploitation mobile et de vos applications de sécurité vous permettent de bénéficier des protections les plus récentes contre les vulnérabilités et les menaces connues, réduisant ainsi le risque d'exploitation.

N'oubliez pas que la clé de la protection contre le smishing est la vigilance et une bonne dose de scepticisme. Si quelque chose vous semble trop beau pour être vrai ou si vous avez un mauvais pressentiment, fiez-vous à votre instinct et prenez le temps de vérifier le message avant d'agir.