Smishing ou hameçonnage par SMS – signification et définition
Le smishing est une attaque de cybersécurité par phishing menée par le biais de la messagerie texte mobile, également connue sous le nom de phishing par SMS.
Il s’agit d’une variante du phishing, qui consiste à tromper les victimes en les poussant à communiquer des informations confidentielles à un pirate déguisé. Le phishing par SMS peut être assisté par des programmes malveillants ou des sites Internet frauduleux. Il se produit sur de nombreuses plateformes de messagerie texte sur mobile, y compris sur des canaux non-SMS comme les applications de messagerie mobile basées sur les données.
Qu’est-ce que le smishing (ou hameçonnage par SMS) ?
Comme le suggère la définition du smishing, le terme combine « SMS » (short message services, ou texto) et « phishing ». Pour mieux définir le smishing, ce type d’attaque d’ingénierie sociale repose sur l’exploitation de la confiance humaine plutôt que sur des exploits techniques.
Lorsque les cybercriminels pratiquent le « phishing », ils envoient des emails frauduleux pour inciter le destinataire à cliquer sur un lien malveillant. Dans le cadre du hameçonnage par SMS, les cybercriminels utilisent des SMS au lieu des e-mails.
En fait, ces cybercriminels cherchent à voler vos données personnelles, pour ensuite les utiliser pour commettre des fraudes ou d’autres cybercrimes. En général, il s’agit de voler de l’argent, le plus souvent le vôtre, mais parfois aussi celui de votre entreprise.
Les cybercriminels emploient souvent l’une des deux méthodes suivantes pour voler ces données :
- Programme malveillant : l’URL de smishing peut vous inciter à télécharger un programme malveillant qui s’installe sur votre téléphone. Ce programme malveillant par SMS peut se déguiser en application légitime, vous poussant ainsi à saisir vos informations confidentielles et à les transmettre aux cybercriminels.
- Site Internet malveillant : Le lien contenu dans le message de smishing peut mener à un faux site qui vous demande de saisir des informations personnelles confidentielles. Les cybercriminels utilisent des sites malveillants personnalisés conçus pour imiter les sites réputés, ce qui facilite le vol de vos informations.
Les SMS de smishing prétendent souvent provenir de votre banque qui vous demande des informations personnelles ou financières, par exemple votre numéro de compte ou votre code secret. Divulguer ces informations revient à donner les clés de votre compte bancaire à des voleurs.
Étant donné que de plus en plus de personnes utilisent leurs smartphones personnels pour le travail (une tendance appelée BYOD, pour « bring your own device », ou « apportez votre propre appareil », en français), le hameçonnage par SMS devient une menace pour les entreprises comme pour les particuliers. Par conséquent, il n’est guère surprenant que le smishing soit devenu la principale forme de SMS malveillant.
La cybercriminalité visant les appareils mobiles augmente avec leur utilisation. L’échange de SMS est l’utilisation la plus courante des smartphones, mais au-delà de ça, d’autres facteurs en font une menace de sécurité particulièrement insidieuse. Expliquons d’abord comment fonctionnent les attaques par smishing.
En quoi consiste le smishing ?
La fraude et les escroqueries sont les éléments essentiels de toute attaque de phishing par SMS. Comme le pirate informatique prend une identité à laquelle vous pourriez faire confiance, vous êtes plus susceptible de succomber à ses demandes.
Les principes de l’ingénierie sociale permettent aux auteurs de smishing de manipuler la prise de décision de la victime. Les facteurs déterminants de cette arnaque sont au nombre de trois :
- La confiance : En se faisant passer pour des personnes ou des organisations légitimes, les cybercriminels réduisent le scepticisme de leurs cibles. Les SMS, en tant que canal de communication plus personnel, diminuent aussi naturellement les défenses d’un individu face aux menaces.
- Le contexte : Passer par une situation qui pourrait être réelle pour les cibles offre au pirate un déguisement efficace. Le message semble personnalisé, ce qui permet d’écarter tout soupçon de spam.
- L’émotion : En exacerbant les émotions d’une cible, les pirates peuvent neutraliser son esprit critique et l’inciter à agir rapidement.
Grâce à ces méthodes, les pirates rédigent des messages qui inciteront le destinataire à agir.
En général, les pirates informatiques veulent pousser le destinataire à ouvrir un lien URL dans le SMS, qui le conduit à un outil de phishing l’incitant à divulguer ses informations privées. Cet outil de phishing prend souvent la forme d’un site Internet ou d’une application sous une fausse identité.
Les cibles sont sélectionnées de différentes manières, mais généralement en fonction de leur appartenance à une organisation ou à une région. Les employés ou les clients d’une institution en particulier, les abonnés d’un réseau mobile, les étudiants d’une université et même les résidents d’une zone donnée peuvent être pris pour cibles.
Le déguisement du pirate est généralement lié à l’institution à laquelle il souhaite accéder. Cependant, il peut tout aussi bien s’agir de n’importe quel masque qui l’aidera à acquérir votre identité ou vos informations financières.
Grâce à une méthode d’usurpation, un pirate peut cacher son véritable numéro de téléphone derrière un leurre. Les auteurs de smishing peuvent également utiliser des téléphones prépayés, bon marché et jetables, pour masquer davantage l’origine de l’attaque. Les pirates sont aussi connus pour utiliser les services d’envoi de SMS par emails pour dissimuler leur numéro.
Étape par étape, un pirate mènera son attaque en quelques phases clés :
- Distribution du SMS d’« appât » aux cibles.
- Compromission des informations de la victime par le mensonge.
- Exécution du vol prévu en utilisant les informations compromises des victimes.
Le stratagème de smishing d’un pirate est couronné de succès une fois vos informations privées utilisées pour commettre le vol prévu. Cet objectif peut inclure, sans s’y limiter, le vol direct d’un compte bancaire, l’usurpation d’identité en vue d’ouvrir illégalement des cartes de crédit ou la divulgation de données privées d’une entreprise.
Comment le smishing se propage-t-il ?
Comme indiqué précédemment, les attaques par smishing sont diffusées à la fois par le biais de la messagerie texte traditionnelle et des applications de messagerie non-SMS. Cependant, les attaques de phishing par SMS se propagent principalement de manière ininterrompue et inaperçue en raison de leur caractère trompeur.
L’arnaque par smishing est renforcée par la confiance dans la sécurité des messages textuels accordée à tort par les utilisateurs.
Tout d’abord, la plupart des gens sont conscients des risques de fraude par email. Vous avez probablement appris à vous méfier des emails génériques qui disent « Bonjour, regardez ce lien. » L’absence de message personnel authentique est souvent un avertissement important pour les escroqueries par email.
Lorsque les gens sont sur leurs téléphones portables, ils sont moins prudents. Bon nombre d’entre eux supposent que leurs smartphones sont plus sécurisés que les ordinateurs. Mais la sécurité des smartphones a des limites et ne peut pas toujours vous protéger directement contre le smishing.
Quels que soient les moyens utilisés, ces stratagèmes ne requièrent en fin de compte que très peu de choses, si ce n’est votre confiance et une erreur de jugement, pour aboutir. Par conséquent, le smishing peut attaquer n’importe quel appareil mobile doté d’une messagerie textuelle.
Si les appareils Android constituent la plateforme majoritaire du marché et une cible idéale pour les messages textuels malveillants, les appareils iOS sont également des cibles de choix. Bien que la technologie mobile de l’iOS d’Apple jouisse d’une bonne réputation en matière de sécurité, aucun système d’exploitation mobile ne peut en lui-même vous protéger des attaques de type smishing. Un faux sentiment de sécurité peut rendre les utilisateurs particulièrement vulnérables, quelle que soit la plateforme.
Le fait que vous utilisiez votre smartphone lors de vos déplacements, en étant souvent distrait ou pressé, constitue un autre facteur de risque. Cela signifie que vous êtes davantage susceptible de vous faire avoir en baissant votre garde et en répondant sans réfléchir après avoir reçu un SMS vous demandant vos informations bancaires ou d’encaisser un bon d’achat.
Types d’attaques de smishing
Chaque attaque de smishing utilise des méthodes similaires, même si la présentation peut beaucoup varier. Les pirates peuvent utiliser une série d’identités et de scénarios pour maintenir ces attaques par SMS à jour.
Malheureusement, il est pratiquement impossible de dresser une liste exhaustive des types de smishing en raison de la réinvention incessante de ces attaques. À l’aide de quelques schémas d’escroquerie établis, nous pouvons dévoiler des caractéristiques qui vous aideront à repérer une attaque de smishing avant d’en être victime.
Voici les scénarios les plus courants d’attaques par smishing :
Smishing lié à la COVID-19
Les escroqueries par smishing liées à la COVID-19 reposent sur des programmes d’aide légitimes conçus par les gouvernements, les organismes de santé et les organisations financières pour le rétablissement suite à la pandémie de COVID-19.
Les pirates informatiques ont utilisé ces systèmes pour manipuler les peurs des victimes en matière de santé et de finances afin de les arnaquer. Les signes d’alerte peuvent être les suivants :
- Suivi des contacts demandant des informations confidentielles (numéro de carte d’identité, de crédit, etc.).
- Aide financière fiscale, comme les chèques de relance.
- Informations sur la protection de la santé publique.
- Demandes pour remplir un formulaire de recensement de la population.
Smishing lié aux services financiers
Les attaques par smishing liés aux services financiers sont camouflées sous la forme de notifications émanant d’institutions financières. Les services bancaires sont utilisés par une grande majorité de la population, la rendant plus perméable aux messages génériques comme aux messages spécifiques aux institutions. Les prêts et les investissements font également partie de cette catégorie.
Un pirate se fait passer pour une banque ou une autre institution financière, un déguisement idéal pour commettre une fraude financière. Les caractéristiques d’une escroquerie par smishing dans le domaine des services financiers peuvent inclure une demande urgente de déverrouillage de votre compte, une demande de vérification d’une activité suspecte sur votre compte, et plus encore.
Smishing par cadeau
Le smishing par cadeau consiste à promettre des services ou produits gratuits, souvent de la part d’un vendeur réputé ou d’une autre entreprise. Il peut s’agir de concours, de récompenses à l’achat ou de toute autre offre gratuite. Susciter l’enthousiasme en proposant l’idée de la « gratuité » permet au pirate d’outrepasser votre esprit logique pour vous faire passer à l’action plus rapidement. Les signes de cette attaque peuvent être des offres limitées dans le temps ou une sélection exclusive pour une carte cadeau gratuite.
Smishing par facture ou confirmation de commande
Le smishing par confirmation passe par la fausse confirmation d’un achat récent ou d’une facture pour un service. Un lien de suivi peut être fourni afin d’attiser votre curiosité ou de vous inciter à agir immédiatement dans la crainte de frais supplémentaires. Les signes de cette escroquerie peuvent être des chaînes de textes de confirmation de commande ou l’absence d’un nom d’entreprise.
Smishing d’assistance à la clientèle
Les auteurs de smishing d’assistance à la clientèle se font passer pour un représentant de l’assistance d’une entreprise de confiance afin de vous aider à résoudre un problème. Les entreprises de technologie et de commerce en ligne très populaires comme Apple, Google et Amazon sont des déguisements efficaces pour les pirates dans ce domaine.
En général, le pirate prétend qu’il y a un problème avec votre compte et vous donne les étapes à suivre pour la résoudre. La demande peut consister simplement à utiliser une page de connexion frauduleuse, tandis que des systèmes plus complexes peuvent vous demander de fournir un véritable code de récupération de compte pour tenter de réinitialiser votre mot de passe. Les signes de smishing basé sur l’assistance client comprennent un problème de facturation, d’accès au compte, d’activité inhabituelle ou de résolution d’une plainte récente d’un client.
Exemples de smishing
Étant donné que les SMS sont accessibles à la quasi-totalité des utilisateurs de téléphone portable, des attaques par smishing ont été rapportées dans le monde entier. Voici quelques exemples d’attaques par smishing à connaître.
Escroquerie à l’accès anticipé à l’iPhone 12 — Smishing par confirmation de commande et cadeaux
En septembre 2020, une campagne de smishing a fait surface pour inciter les individus à fournir leurs informations bancaires pour obtenir un iPhone 12 gratuit.
L’escroquerie utilise le prétexte d’une confirmation de commande, dans laquelle le message textuel prétend qu’un colis a été envoyé à une adresse incorrecte. Le lien URL dans le texte renvoie les cibles vers un outil de phishing se faisant passer pour un assistant virtuel d’Apple. L’outil guide la victime à travers une procédure pour réclamer son iPhone 12 gratuit dans le cadre d’un programme d’essai en accès anticipé, mais demande inévitablement des informations bancaires pour couvrir de faibles frais d’expédition.
Escroqueries USPS et FedEx — Smishing par confirmation de commande et cadeaux
En septembre 2020, des témoignages faisant état d’un faux SMS de livraison de colis USPS et FedEx ont commencé à circuler. Cette attaque de smishing peut tenter de voler vos identifiants de compte pour divers services ou vos informations bancaires.
Les messages commençaient par une déclaration de livraison manquée ou incorrecte du colis et fournissaient un lien vers un site Internet de phishing prétendant être un sondage de FedEx ou d’USPS permettant de recevoir des cadeaux. Bien que l’apparence de ces sites de phishing puisse varier, nombre d’entre eux ont été identifiés comme tentant de collecter des identifiants de compte pour des services comme Google.
Escroquerie au test en ligne obligatoire COVID-19 — Smishing lié à la COVID-19
En avril 2020, le Better Business Bureau a reçu un nombre croissant de témoignages concernant des individus se faisant passer pour des représentants du gouvernement américain qui envoyaient des SMS demandant aux gens de passer un test COVID-19 obligatoire en cliquant sur le lien fourni.
Bien entendu, nombreux sont ceux qui ont immédiatement repéré l’escroquerie puisqu’il n’existe pas de test en ligne pour la COVID-19. Toutefois, le prétexte utilisé pour ces attaques par smishing pourrait facilement évoluer, car l’exploitation des craintes de pandémie est une méthode efficace pour convaincre les victimes.
Comment prévenir le hameçonnage par SMS ?
La bonne nouvelle, c’est qu’il est facile de se protéger contre les potentielles conséquences de ces attaques. Vous pouvez vous protéger en ne réagissant pas. En fait, les attaques ne causent des dégâts que si vous mordez à l’hameçon.
Cela dit, n’oubliez pas que la messagerie textuelle est un moyen légitime pour de nombreux vendeurs et institutions de vous contacter. Tous les messages ne doivent pas être ignorés, mais il convient de rester prudent.
Il vous faut garder certaines choses à l’esprit afin de vous protéger contre ces attaques.
- Ne répondez pas. Même les incitations à répondre, comme l’envoi par SMS du message « STOP » pour se désabonner, peuvent être une astuce pour identifier les numéros de téléphone actifs. Les pirates informatiques comptent sur votre curiosité ou votre anxiété face à la situation, mais vous pouvez refuser d’interagir.
- Prenez un peu de recul si un message est urgent. Les mises à jour urgentes de comptes et les offres limitées dans le temps doivent être considérées comme des signes d’alerte d’un éventuel smishing. Restez sceptique et agissez prudemment.
- En cas de doute, appelez directement votre banque ou le vendeur. Les institutions légitimes ne demandent pas de nouvelles informations ou d’identifiants de connexion par SMS. En outre, toute notification urgente peut être vérifiée directement sur vos comptes en ligne ou par l’intermédiaire d’un service d’assistance téléphonique officiel.
- Évitez d’utiliser les liens ou les coordonnées contenus dans le message. Évitez d’utiliser les liens ou les coordonnées de messages qui éveillent votre méfiance. Lorsque vous le pouvez, passez directement par les canaux de contact officiels.
- Vérifiez le numéro de téléphone. Les numéros de téléphone inhabituels, comme ceux à quatre chiffres, peuvent confirmer que le SMS a été envoyé à partir d’une adresse email. C’est l’une des nombreuses tactiques qu’un escroc peut utiliser pour masquer son véritable numéro de téléphone.
- Ne conservez jamais les numéros de carte de crédit sur votre téléphone. La meilleure façon d’empêcher le vol d’informations financières dans un portefeuille numérique est de ne jamais les y placer.
- Utilisez l’authentification à plusieurs facteurs (MFA). Un mot de passe divulgué peut encore être inutile à l’auteur du smishing si le compte visé requiert une deuxième « clé » de vérification. La variante la plus courante du MFA est l’authentification à deux facteurs (2FA), qui utilise souvent un code de vérification par message texte. Il existe des variantes plus fortes, notamment l’utilisation d’une application dédiée à la vérification (comme Google Authenticator).
- Ne fournissez jamais un mot de passe ou un code de récupération de compte par SMS. Les mots de passe comme les codes de récupération de l’authentification à deux facteurs (2FA) envoyés par SMS peuvent compromettre votre compte s’ils tombent entre de mauvaises mains. Ne communiquez jamais ces informations à qui que ce soit et ne les utilisez que sur les sites officiels.
- Téléchargez une application de protection contre les programmes malveillants. Des produits comme Kaspersky Internet Security for Android peuvent vous protéger contre les applications malveillantes, ainsi que contre les liens de phishing par SMS eux-mêmes.
- Signalez toutes les tentatives de phishing par SMS aux autorités compétentes.
N’oubliez pas, comme le phishing par email, le smishing est une escroquerie qui consiste à tromper la victime et à la faire coopérer en cliquant sur un lien ou en fournissant des informations. La protection la plus simple contre ces attaques consiste à ne rien faire. Si vous ne réagissez pas, un SMS malveillant ne peut rien faire.
Que faire si vous êtes victime de smishing
Les attaques par smishing sont sournoises et vous en êtes peut-être déjà victime, auquel cas vous devez mettre en place un plan de récupération.
Prenez ces mesures importantes pour limiter les dégâts d’une tentative de smishing réussie :
- Signalez l’attaque présumée à toute institution susceptible d’apporter son aide.
- Gelez votre crédit pour empêcher toute fraude d’identité future ou en cours.
- Modifiez tous les mots de passe et codes PIN de vos comptes si possible.
- Surveillez vos finances, votre crédit et les divers comptes en ligne pour détecter des identifiants étranges et d’autres activités.
Chacune de ces étapes est importante pour vous protéger après une attaque de smishing. Cependant, signaler une attaque ne vous aide pas seulement à vous rétablir, mais permet également d’éviter à d’autres personnes d’en être victimes à leur tour.
Liens associés :