Quel type de technique de phishing consiste à envoyer des SMS sur le smartphone d’une victime potentielle ? Si vous avez répondu « smishing », vous avez raison. Découvrez pourquoi cette menace en ligne est souvent plus efficace que son équivalent par e-mail, à quoi ressemblent la plupart des attaques de smishing et pourquoi les cybercriminels sont désespérément à la recherche de votre numéro de téléphone. Aujourd’hui, ce n’est pas l’amour au bout du fil. Alors, protégez-vous de tous les types de malwares et même des dernières menaces en ligne avec Avira Free Security.
Qu’est-ce que le smishing ? Et quelle est la différence avec le phishing ? Ou le vishing ?
Vous vous souvenez de la pêche à l’ancienne, où les poissons naïfs sont trompés en pensant que les vers se suspendent volontairement dans les cours d’eau, attendant d’être mangés ? Si le poisson mord, les conséquences sont désastreuses pour lui. Puis est apparu un équivalent terrestre et numérique : le Phishing. Au cours de cette attaque malveillante en ligne, les cybercriminels tentent d’acquérir des informations (telles que des noms d’utilisateur, des mots de passe, des numéros de carte bancaire et éventuellement de l’argent) en se faisant passer pour une entité digne de confiance par l’intermédiaire d’un e-mail. Dans ce contexte, la communication électronique est aujourd’hui le gros « ver » et si vous êtes un « poisson » insouciant, vous penserez que chaque e-mail est légal et vous le mordrez (cliquerez) allègrement. Un type de phishing moins connu cible les victimes par le biais de SMS ou de messages texte. En mélangeant SMS et phishing, le « smishing » est né et ses objectifs sont les mêmes. Le fraudeur envoie des SMS trompeurs pour inciter les victimes à cliquer sur des liens malveillants, à ouvrir des pièces jointes nuisibles et, en fin de compte, à partager des informations personnelles ou financières. Il s’agit d’un phishing sous forme de message et votre téléphone portable devient donc le vecteur de l’attaque. Comme leurs cousins électroniques, ces messages trompeurs tentent de faire croire qu’ils proviennent de sources honnêtes, telles qu’Amazon, PayPal, votre bureau de poste ou votre centre des impôts. « Votre compte a été suspendu. » « Quelqu’un a essayé de réinitialiser votre mot de passe. » « Une demande de nouveau bénéficiaire a été faite sur votre compte. » Ces messages utilisent un sentiment d’urgence pour manipuler le destinataire afin qu’il entreprenne une action spécifique et nous sommes poussés à agir sans réfléchir, poussés par la peur, la colère ou la simple curiosité.
Et ce n’est pas tout : il y a aussi le vishing ! Si vous êtes perdu, consultez l’aperçu pratique ci-dessous. Le smishing n’est que l’un des cinq types courants d’attaques de phishing. Voici comment ils fonctionnent et comment les distinguer.
- Le phishing (ou hameçonnage) par e-mail reste le plus courant. L’escroc enregistre généralement un faux domaine qui reproduit un vrai domaine et envoie des milliers de demandes générales. Faites attention aux salutations non personnelles et aux fautes d’orthographe contenues dans l’e-mail. En survolant l’adresse e-mail, vous verrez généralement qu’elle comporte une substitution de caractères, par exemple un « r » au lieu d’un « n ». Parfois, le nom de l’organisation authentique apparaît sous une forme altérée, comme « amazonservice.com » au lieu de « amazon.com » : « Bonjour cher client, votre compte a été verrouillé… »
Découvrez comment repérer les tentatives de phishing et contribuer à les éviter. - Le spear phishing est un type de phishing par e-mail, mais adapté à une personne spécifique pour le rendre plus crédible. Dans ce cas, l’escroc a bien travaillé et a trouvé des informations personnelles, comme le nom, l’adresse et le poste du destinataire : « Cher M. Dupont, il y a eu des mouvements inattendus sur votre compte Barclays et… »
- Le whaling est un phishing par e-mail qui vise les gros bonnets ! Ces e-mails sont généralement adressés à des cadres supérieurs et prétendent provenir du PDG de l’entreprise, qui est très occupé, et demandent souvent un service. Le personnel est parfois trop stressé pour ne pas faire ce que son patron lui a « demandé » : « Bonjour Rose, je suis à l’aéroport et je n’ai pas mon identifiant pour le VPN… »
- Le smishing est basé sur le téléphone et utilise des SMS frauduleux pour vous inciter à révéler des données personnelles : « Cliquez sur ce lien pour suivre votre colis… »
- Le vishing ou phishing vocal utilise également les téléphones, mais au lieu de SMS, les escrocs passent des appels téléphoniques ou des appels automatisés, laissent des messages vocaux ou appellent via le protocole de voix sur Internet (VoIP). Si vous répondez, vous serez peut-être mis en relation avec un « agent » qui aura bien sûr besoin de vos données personnelles : « Vous avez récemment eu un accident de voiture… »
Tous les exemples ci-dessus ont d’importants points communs : Ils sont des formes d’ingénierie sociale qui exploitent notre confiance et nous manipulent psychologiquement, plutôt que d’utiliser la technologie pour pirater nos ordinateurs. Il s’agit également de tentatives d’usurpation d’identité, mais elles diffèrent par la manière dont les escrocs vous contactent : par e-mail, par SMS ou par téléphone. Nombreux sont ceux qui assimilent encore le phishing aux seuls e-mails, mais la réalité est que vous devez vous méfier de tous les supports sur lesquels vous communiquez !
Découvrez les deux types de smishing et les raisons de leur popularité auprès des cybercriminels.
Même dans le domaine du smishing, il existe deux types différents, mais comme pour le phishing par e-mail, tous ces noms n’ont rien à voir avec le poisson. Tout d’abord, il y a le smishing par SMS que vous connaissez déjà parfaitement après avoir lu attentivement la partie précédente. Vous êtes invité par SMS à cliquer sur un lien ou à appeler un numéro. Il en existe plusieurs sortes, selon la fausse identité prise par l’escroc.
Les puristes pourraient faire valoir que le smishing par messagerie instantanée n’en est pas vraiment un puisqu’il utilise des logiciels gratuits de messagerie instantanée comme Facebook Messenger ou WhatsApp au lieu du SMS. Son intention est incontestablement de « partir à la pêche », puisque l’objectif de l’attaque est de vous faire communiquer des données personnelles, notamment des mots de passe et/ou des numéros de carte bancaire. On peut vous promettre une offre spéciale ou un cadeau. Si le message provient d’un inconnu, c’est un bon indicateur que vous pourriez être la cible d’une escroquerie, mais n’oubliez pas que ces attaques peuvent aussi sembler provenir de personnes que vous connaissez et avec lesquelles vous êtes en relation ! Leur compte sur les réseaux sociaux a peut-être été piraté. Ne faites confiance à personne en ligne, pas même à votre mère.
Le smishing reste une forme d’escroquerie populaire pour plusieurs raisons : il est relativement facile d’usurper un numéro de téléphone à l’aide d’un téléphone pirate ou d’utiliser un logiciel pour envoyer des SMS par e-mail. Grâce à l’écran plus petit des appareils mobiles, il peut être plus difficile de repérer les liens dangereux, et vous ne pouvez pas non plus survoler le lien pour voir où il mène. En 2020, la Commission fédérale des communications (FCC) aux États-Unis a lancé une initiative à l’échelle du secteur pour contribuer à empêcher les fraudeurs d’escroquer les consommateurs et les entreprises par le biais d’appels automatisés et de l’usurpation de numéros de téléphone. Les entreprises de télécommunications américaines ont dû adopter le protocole STIR/SHAKEN pour l’authentification de l’identité de l’appelant, ce qui explique pourquoi vous voyez « spam/fraude potentielle » lorsque vous recevez des appels inconnus. Ce protocole n’empêche cependant pas les SMS frauduleux, au grand soulagement des cybercriminels.
Fonctionnement du smishing
Les escroqueries par smishing suivent un processus similaire à celui du phishing par e-mail et combinent des tactiques technologiques et psychologiques pour manipuler les victimes. Les pirates suivent généralement les étapes suivantes :
ÉTAPE 1 : choix des victimes. Les cybercriminels sélectionnent d’abord leurs cibles. Ils choisissent des numéros au hasard dans une liste en leur possession ou ciblent des personnes spécifiques en se basant sur des données obtenues lors de piratages antérieurs. Ces informations peuvent souvent être trouvées sur le Dark Web.
ÉTAPE 2 : rédaction du message. Les pirates créent ensuite un SMS qui suscite une réaction spécifique ou une émotion telle que la peur, la sympathie ou la curiosité. Ce message comprend le plus souvent un appel à l’action (généralement urgent). Cliquez sur ce lien ou appelez ce numéro ! Contactez-nous !
ÉTAPE 3 : envoi du message. Il est maintenant temps de lancer leurs créations. Les cyberattaquants utilisent souvent des passerelles SMS, qui permettent à un ordinateur d’envoyer et de recevoir des textos vers et depuis un appareil mobile en utilisant le réseau mondial de télécommunications. Les outils d’usurpation sont d’une grande aide pour les escrocs : ils génèrent des informations logicielles et matérielles conçues pour tromper les systèmes de surveillance. Pour en savoir plus sur les différents types d’usurpation, cliquez ici.
ÉTAPE 4 : interaction avec la victime. Une fois le message arrivé, l’escroc a de la chance si la victime répond et entreprend l’action prévue (comme réclamer l’argent de la loterie qu’elle n’a pas gagné ou appeler le faux « technicien » du service d’assistance technique au numéro fourni). La victime arrive alors sur un site web frauduleux sur lequel elle communique ses données personnelles ou financières ou télécharge un logiciel malveillant sur son appareil. En appelant un numéro, la personne peut être amenée à fournir des informations confidentielles ou à payer des frais inopinés.
ÉTAPE 5 : escroquerie de la victime. Si la victime a réagi, c’est au tour de l’agresseur de passer à l’action. Armé des informations nécessaires, il peut se livrer à toutes sortes d’escroqueries malveillantes, notamment l’usurpation d’identité et des transactions non autorisées. Le pirate peut également vendre les données sensibles sur le marché noir ou les utiliser pour mener d’autres attaques ciblées.
ÉTAPE 6 : évolution et évasion. Le travail de l’escroc n’est jamais terminé, car il doit constamment changer ses tactiques, ses numéros de téléphone et les techniques qu’il utilise pour dissimuler sa position et son identité.
Méfiez-vous de ces exemples courants d’attaques par smishing !
Fausses histoires. Personnes déguisées en policiers virtuels. Subterfuge en ligne. Bienvenue dans le monde obscur de l’escroquerie par SMS. Heureusement, vous êtes trop intelligent pour tomber dans le panneau. Nous avons résumé les déguisements virtuels les plus courants afin que vous puissiez facilement faire tomber le masque d’un escroc.
- Se faire passer pour une banque ou un autre prestataire de services :
Parmi les fausses notifications, citons les exemples classiques « Un incident s’est produit sur votre compte bancaire… » ou « Nous avons bloqué votre compte pour des raisons de sécurité ». Vous serez généralement interrogé sur des activités non autorisées ou pour vérifier les informations sur votre compte. Si vous cliquez sur le lien fourni, vous serez dirigé vers un faux site web ou une fausse application conçue pour voler vos informations confidentielles, comme vos identifiants ou les numéros de cartes bancaires et les codes PIN.
- Usurpation de l’identité des pouvoirs publics :
« La division des enquêtes criminelles des impôts intente une action en justice contre vous. Pour plus d’informations, appelez… » Dans ce cas, l’attaquant se fait passer pour l’administration fiscale et peut vous menacer d’arrestation ou de faillite, ou vous promettre un remboursement d’impôts. Les escrocs se font également passer pour des policiers. Ces messages semblent officiels et exigent une action immédiate et des informations personnelles.
- Se faire passer pour votre opérateur de télécommunications :
« En tant que client XX, vous pouvez désormais bénéficier d’une mise à niveau gratuite de votre iPhone… ». Dans le cas du smishing par téléphone portable, la victime reçoit ce qui ressemble à une offre de son opérateur de téléphonie mobile, telle qu’une réduction ou une mise à jour de son téléphone. Cliquez sur le lien pour activer l’offre. (Surtout, ne le faites pas !) Vous arriverez sur une page web frauduleuse qui semblera être celle de votre fournisseur d’accès et les informations sur votre compte seront récupérées au fur et à mesure que vous les saisirez.
- Prétendre être le bureau de poste/la société d’expédition :
« La livraison de votre colis a été retardée. Pour la suivre, veuillez… » Qu’il s’agisse de FedEx, d’UPS ou de La Poste, les escrocs choisissent parmi les entreprises de logistique et annoncent au « client » de mauvaises nouvelles. En général, il y a eu un problème avec votre livraison, ou des frais doivent être réglés.
- Proposition d’assistance à la clientèle :
« Nous avons détecté une connexion à votre compte PayPal à partir d’un nouvel appareil le 27/04/2024 à 15:10:07. Confirmez qu’il s’agit bien de vous en… ». Les attaquants peuvent être experts dans l’art de se faire passer pour de faux représentants du service client de marques et de distributeurs de confiance, tels qu’Amazon ou Microsoft. Ils disent généralement que le compte de la victime présente un problème ou qu’un remboursement n’a pas été effectué. Ils peuvent également offrir des conseils de dépannage.
- Se faire passer pour le support technique :
« L’équipe de sécurité de Microsoft a essayé de vous contacter concernant un risque de sécurité sur votre PC… ». Les utilisateurs reçoivent un SMS les avertissant d’un problème avec leur appareil ou leur compte et leur proposant un numéro d’assistance technique. Si vous appelez ce numéro, c’est à vos risques et périls, car cela peut entraîner des frais importants, voire un vol de données si vous autorisez le « technicien » à accéder à distance à votre appareil.
- Avertissement d’interruption de service :
« Votre carte a été refusée et votre abonnement à la chaîne de télévision premium X sera suspendu… ». L’attaquant prévient la victime qu’un service auquel elle est abonnée est sur le point d’être annulé ou a déjà été suspendu, généralement en raison d’un problème de paiement. Vous êtes invité à cliquer d’urgence sur un lien pour « résoudre » le problème.
- Annonce de prix ou de gains à des jeux-concours :
« FÉLICITATIONS ! Vous avez gagné. Réclamez votre prix en espèces avant la fin du temps imparti. » Malheureusement, vous n’avez rien gagné du tout, ni à la loterie, ni à un jeu-concours. Pour obtenir votre récompense fictive, vous devrez fournir vos données personnelles, cliquer sur un lien malveillant ou payer une petite somme. Vous ne recevrez rien, mais vous risquez de transmettre des informations sensibles ou de perdre de l’argent.
- Applications publicitaires ou de divertissement :
« Jouez à Funky Chicken Bingo et recevez 10 € de jetons gratuits. Téléchargez l’application sur… » Les utilisateurs reçoivent un message faisant la promotion d’une application utile ou divertissante. En cliquant sur le lien, vous risquez de télécharger sur votre appareil des logiciels malveillants tels que des ransomwares.
- Création d’une situation d’urgence ou appel à l’aide en cas d’escroquerie :
« Un membre de votre famille a eu un accident. Appelez ce numéro surtaxé pour plus de détails… » Il peut s’agir d’un message grave, comme un SMS affirmant qu’un proche a été blessé, ou d’un message anodin, comme celui d’un ami Facebook demandant un code pour récupérer l’accès à son compte. Il peut s’agir d’une fraude à l’authentification multifacteur (MFA), par laquelle un pirate dispose déjà de votre nom d’utilisateur et de votre mot de passe et veut maintenant voler le code de vérification dont il a besoin. Vous pourriez finir par envoyer au pirate le code MFA de votre propre compte !
Quels que soient les mécanismes de l’escroquerie, vous remarquerez que les tentatives de smishing se résument à une formule. Elles contiennent des URL inhabituelles ou des numéros de téléphone quelconques qui ne respectent pas la disposition habituelle des chiffres ou qui utilisent une série de chiffres identiques. Elles sont aussi souvent porteuses de mauvaises nouvelles, ou d’un gain trop beau pour être vrai, et elles utilisent l’urgence. N’oubliez pas : si le message est pressant, prenez votre temps et réfléchissez-y à deux fois !
La montée en puissance du smishing
Dans un rapport des experts en télécommunications de l’ENEA, 61 % des entreprises subissent des pertes importantes à cause de la fraude mobile, le smishing et le vishing étant les plus répandus et les plus coûteux. Le même rapport montre que depuis le lancement de ChatGPT en novembre 2022, ces attaques ont augmenté de manière spectaculaire de 1 265 % ! Les SMS ayant un taux de réponse huit fois supérieur à celui des e-mails, il n’est pas étonnant qu’ils soient l’un des outils préférés des cybercriminels. En fait, Verizon indique dans une étude que 85 % des attaques de phishing proviennent de canaux autres que le courrier électronique, comme les messageries, et les applications sociales et de productivité.
Les attaques par smishing conquièrent le marché des malwares en raison de l’absence d’authentification de l’expéditeur par SMS. Les entreprises de télécommunications doivent redoubler d’efforts, mais à l’heure actuelle, aucune n’est à l’abri des attaques. En 2021, des millions de SMS malveillants ont été envoyés sur le réseau de Vodafone, infectant les appareils Android avec le malware Flubot, et poussant le géant des télécommunications à lancer une mise en garde sur Twitter. Il est toujours indispensable de rechercher régulièrement les malwares sur vos appareils et d’effectuer des tests.
Il faut un être humain pour cliquer sur le lien, alors assurez-vous de suivre notre guide anti-smishing pour éviter de devenir le complice involontaire d’un malware.
Guide de sécurité contre le smishing : si vous êtes un destinataire de smishing, voici ce qu’il faut faire
Vous pouvez éviter de devenir une victime de smishing en suivant notre protocole ÉVITER-PROTÉGER-INSPECTER et en faisant preuve d’une méfiance permanente.
- Évitez de cliquer sur des pièces jointes ou des liens suspects, d’appeler des numéros inconnus ou de répondre à des SMS suspects de quelque manière que ce soit. En répondant à un SMS de smishing, vous confirmez que votre numéro est actif et vous risquez d’être victime d’autres attaques.
- Protégez vos données et votre appareil en utilisant une authentification à deux ou plusieurs facteurs pour tous vos comptes en ligne, en téléchargeant un logiciel antivirus réputé et en analysant régulièrement votre appareil à la recherche des malwares, en particulier si vous avez cliqué sur un lien inconnu. Utilisez des mots de passe forts et uniques et changez-les rapidement si vous pensez qu’un compte est menacé. Et respectez la règle d’or : ne jamais donner d’informations personnelles, telles que des mots de passe, des numéros de carte bancaire, des adresses ou des adresses e-mail par le biais d’un SMS !
- Inspectez et vérifiez toutes les demandes des banques, des prestataires de services et des commerçants directement auprès d’eux. Les escrocs sont des experts en usurpation d’identité. Prenez contact avec le service qu’ils prétendent représenter et vérifiez directement auprès de lui. C’est aussi une bonne habitude de vérifier régulièrement vos relevés bancaires et l’activité de vos cartes de paiement. Si vous remarquez quelque chose de suspect, alertez votre banque.
Avant de supprimer un SMS de smishing, pensez à le signaler aux autorités de lutte contre la cybercriminalité de votre pays. Si vous êtes au Royaume-Uni, transférez-le gratuitement par SMS au 7726, envoyez-le par e-mail à report@phishing.gov.uk ou remplissez ce formulaire en ligne de signalement d’une escroquerie ou d’un site Internet suspect.
Contribuez à la lutte contre le smishing et les autres escroqueries en ligne avec Avira
Le smishing et les autres attaques d’ingénierie sociale s’appuient sur les erreurs des utilisateurs pour réussir. Vous n’êtes qu’un être humain, mais l’aide est à portée de main. Informez-vous, soyez vigilant et déployez un ensemble de protections en ligne et de confidentialité à plusieurs niveaux pour vos appareils. Avira Free Security combine astucieusement des logiciels de confidentialité, de protection et de performances en une seule solution. Stockez et gérez des mots de passe forts, mettez à jour les logiciels, aidez à nettoyer ce qui ralentit votre appareil et, bien sûr, soyez plus en sécurité en ligne grâce à un antivirus de confiance.
