Smishing vs phishing : comment s’en protéger

Les escrocs sont devenus des pros quant à l’utilisation de SMS pour obtenir les données des cartes bancaires et les mots de passe des banques en ligne.

Avec le smishing faisant fureur, les médias aux États-Unis, en Italie et au Brésil, ont diffusé des histoires alarmantes sur de nouvelles escroqueries. La police allemande a même émit une mise en garde officielle à propos d’une telle campagne.

Le phénomène a atteint un pic phénoménal, comme le prouve le nombre de recherches à ce sujet. Alors, qu’est-ce que le smishing ?

Augmentation du nombre de recherches du mot « smishing » sur Google au cours de ces dernières années

Qu’est-ce que le smishing et comment ça marche ?

Le smishing c’est l’hameçonnage par messages texte (SMS) et non par e-mail, d’où le nom ; smishing = SMS + phishing. Certaines classifications incluent l’hameçonnage via les applications de messagerie dans le smishing, mais pour nous il s’agit d’une catégorie à part et nous n’en débattrons pas ici.

Le but est, comme pour n’importe quelle tentative d’hameçonnage, de piéger les destinataires pour qu’ils divulguent des informations sensibles, comme par exemple le mot de passe de leur compte bancaire en ligne ou bien les données de leur carte bancaire. Pour ce faire, les escrocs envoient des SMS, souvent au sujet d’un problème non existant (problème de livraison, factures impayées ou compte bloqué), que les destinataires doivent régler en cliquant sur un lien. Il y a ensuite deux scénarios possibles :

  • Scénario 1 : le lien infecte la victime avec un malware qui se fait passer pour une application légitime mais dont le vrai but est d’obtenir des informations importantes ;
  • Scénario 2 : il renvoie la victime sur une page Web déguisée en un site Web légitime mais dont le vrai but est d’obtenir des informations importantes.

Le scénario qui aura lieu va dépendre de la tactique fétiche des escrocs : un malware ou un faux site. Le résultat est le même dans les deux cas. Des situations similaires ont entraîné le vol de milliers de dollars, d’euros et de livres sterling. Comment cela se fait-il que l’hameçonnage par SMS soit devenu si populaire ces derniers temps et en quoi est-ce plus dangereux que l’hameçonnage de base ?

Pourquoi le smishing est plus dangereux que l’hameçonnage de base

La plupart d’entre nous se sont plus ou moins habitués à l’hameçonnage par mail, et les gens savent en général comment le reconnaître et l’éviter. Les SMS sont des canaux moins fréquents pour arnaquer les gens, alors ces derniers ont tendance à se dire qu’un petit message ne peut pas représenter une menace.

En dehors de ça, bien que les gens fassent plus confiance aux SMS, ces derniers ont tendance à être moins sécurisés que les e-mails. Chaque service de messagerie électronique un tant soit peu décent possède un filtre anti-spam intelligent. Ces derniers ne sont pas sans défauts, mais les escrocs doivent sans cesse inventer de nouvelles tactiques pour les contourner. Malheureusement, quand il est question de flexibilité et de précision, les filtres anti-spam des opérateurs mobiles laissent à désirer.

De plus, les gens lisent généralement les messages à la volée ou pendant qu’ils font autre chose. Ceci, en plus du fait qu’ils ne s’attendent pas à ce qu’un SMS soit dangereux, fait qu’ils ont tendance à moins prêter attention aux SMS et que les attaques ont plus de chance de réussir. En d’autres termes, lorsqu’ils reçoivent un message, les gens sont susceptibles de ne pas tenir compte des signes avant-coureur qu’ils connaissent et vont juste cliquer sur le lien.

Pour finir, les SMS affichent moins de signaux qui aideraient à reconnaître une arnaque. Lorsque vous recevez un e-mail, vous pouvez voir l’adresse de l’expéditeur, examiner la conception et la mise en page et analyser la crédibilité du message. En résumé, vous pouvez voir les signaux d’alarme.

Avec les SMS, même les messages légitimes se ressemblent les uns les autres, avec des messages courts employant un langage non normalisé et aucune mise en page à analyser. Les escrocs ont les capacités techniques pour usurper les informations de l’expéditeur sans que cela paraisse louche, en remplaçant le vrai numéro de ce dernier par un faux.

Comment se protéger du smishing

Tout comme avec l’hameçonnage traditionnel, vous devez construire de fortes défenses contre le smishing.

  • Ne cliquez pas sur les liens et ne partagez aucune information vous concernant dans un SMS. Comme on dit, moins il y a d’activité, mieux c’est ;
  • Utilisez une authentification à deux facteurs partout où vous pouvez. Ainsi, même avec un mot de passe volé, les criminels ne pourront pas avoir accès à votre compte.
  • Contactez immédiatement votre banque si vous pensez qu’un criminel a eu accès à votre compte. Cette dernière peut bloquer votre carte, changer vos mots de passe et vous conseiller sur les étapes à suivre.

Nous allons terminer avec une FAQ pour dissiper quelques doutes que vous pourriez avoir.

Dois-je répondre à un message frauduleux juste pour qu’ils me suppriment de leur liste de diffusion ?

Ne faites pas ça. Le simple fait de répondre leur confirme que votre numéro est toujours actif. Se désinscrire peut être une chose difficile à faire, même avec les entreprises légales, alors n’espérez pas trouver un accord avec ceux qui enfreignent la loi.

Et s’il ne s’agit pas de smishing mais d’un message important de la part de ma banque ?

Si vous avez un doute, contactez directement votre banque. Il est peu probable qu’elle ait envoyé ce message. À ce propos, assurez-vous d’obtenir le numéro de téléphone d’une source que vous connaissez, comme son site Internet par exemple. Dans tous les cas, n’utilisez aucune coordonnée provenant de ce SMS.

Y a-t-il un moyen de filtrer automatiquement l’hameçonnage par SMS ?

Bien sûr qu’il y en a un ! De nombreuses solutions de sécurité utilisent depuis longtemps des filtres intégrés pour détecter les liens suspects qui se trouvent dans les SMS et les applications de messagerie. Elles vous préviennent quand c’est le cas, et s’assurent que vous ne perdiez pas d’argent juste parce que vous avez baissé votre garde. Par exemple, vous pouvez bénéficier de ces filtres avec Kaspersky Internet Security for Android.

Conseils