Le smishing revient en force depuis quelques années. Ce type d’arnaque au SMS peut se révéler particulièrement vicieux et tromper la vigilance des utilisateurs les moins avertis. Les conséquences de ces escroqueries peuvent être désastreuses.
Les arnaques au SMS sont populaires depuis bien longtemps, mais l’on constate une recrudescence de ce type de campagnes depuis quelques années. Cybermalveillance.gouv.fr évoque même une forte croissance de ce type d’hameçonnage depuis 2020. Ce que l’on appelle smishing est un véritable danger pour les possesseurs d’un téléphone mobile, d’autant que les attaques menées par les acteurs malveillants se montrent de plus en plus sophistiquées. Qu’est-ce que le smishing, comment cela fonctionne et comment s’en protéger, voici tout ce que vous devez savoir à ce sujet.
LE SMISHING, C’EST QUOI ?
Le mot “smishing” est la contraction de “SMS” et de “phishing”, le terme anglais désignant l’hameçonnage. Vous l’avez compris, le smishing se réfère à l’hameçonnage par SMS. Notez que si l’on parle de SMS tout au long de cet article à des fins de simplification, ce phénomène vaut également pour les autres protocoles de communication textuelle mobiles, comme le RCS.
Généralement, les cybercriminels tentent d’usurper l’identité d’un tiers de confiance pour tromper la vigilance de leurs cibles. Il peut s’agir d’administrations publiques (Assurance maladie, URSSAF…), de plateformes numériques (Netflix, Spotify…), de services de livraison ou de banques. En se faisant passer pour une entité légitime, les cybercriminels espèrent obtenir les données personnelles de leurs victimes, dont parfois les coordonnées bancaires, ou leurs identifiants de connexion.
COMMENT FONCTIONNE LE SMISHING ?
Les victimes reçoivent un SMS sur leur téléphone portable. Les escrocs ont pu le récupérer à partir d’une base de données, potentiellement payante, depuis un service en ligne qui le fait apparaître publiquement ou par composition aléatoire. Le message invite l’utilisateur à réaliser une action, pour bénéficier d’un avantage ou régler un problème. Les prétextes sont nombreux : “blocage d’un compte en ligne ou bancaire, un incident de paiement, une mise en conformité réglementaire, annuler une commande que la victime n’aurait pas passée, obtenir un remboursement d’une administration, finaliser la livraison d’un colis, mettre à jour ou confirmer des informations personnelles”, liste par exemple cybermalveillance.gouv.fr.
Le contenu des SMS d’hameçonnage est souvent alarmant, anxiogène ou énigmatique. Le but est de produire une réaction chez la victime, pour qu’elle perde son sang-froid ou pour attiser sa curiosité. Il est requis de la cible qu’elle réponde au SMS en fournissant des informations ou qu’elle clique sur un lien renvoyant vers un formulaire ou une fausse page imitant un site web légitime. Les données renseignées tombent alors en possession des cybercriminels, qui peuvent les exploiter à des fins malveillantes.
POURQUOI LE SMISHING PROGRESSE ?
L’on pourrait croire que les arnaques par SMS reculent tant on y est habitué, mais plusieurs facteurs contribuent à continuer d’en faire une technique d’hameçonnage très populaire parmi les pirates. Tout d’abord, il est plus difficile pour les victimes d’identifier les SMS frauduleux que les emails d’hameçonnage. Les SMS ne comportent pas de visuel et sont plus simples et directs à rédiger pour les cybercriminels, limitant le nombre d’erreurs commises lors de leur rédaction.
D’autre part, l’expéditeur est uniquement identifiable par un numéro de téléphone, qui peut être raccourci pour faire croire qu’il s’agit d’un service officiel. Certains utilisateurs peuvent aussi avoir le sentiment que seul une entité à laquelle on a communiqué son numéro de téléphone peut nous joindre par ce moyen, instaurant un faux sentiment de confiance.
Ajoutons que si la cible fait l’erreur d’ouvrir le lien qu’elle a reçu par SMS, elle aura plus de mal à repérer un site malveillant à cause de la taille réduite de l’écran et de l’affichage de certains navigateurs, qui peuvent masquer l’adresse URL. Les escrocs profitent aussi de nos comportements : avec nos smartphones, nous sommes constamment sollicités par des notifications et alertes, auxquelles on a tendance à réagir vite et instinctivement.
QUELS SONT LES DANGERS DU SMISHING ?
Cliquer sur un lien malveillant peut causer l’infection de votre appareil par un malware, qui pourra surveiller votre activité, siphonner vos données personnelles et intercepter vos identifiants et mots de passe. Le SMS frauduleux peut aussi inviter à télécharger une application contenant un virus. Des logiciels malveillants sophistiqués peuvent même lire les SMS d’authentification à double facteur (2FA) pour accéder à vos comptes malgré la couche de sécurité supplémentaire, ou passer des appels à des numéros de téléphone surfacturés.
Un autre type de fraude consiste à convaincre la cible d’appeler un numéro de téléphone, pour parler à une personne capable de vous aider dans votre démarche par exemple. Une technique aussi connue comme celle du faux conseiller bancaire. En plus de probablement appeler un numéro surtaxé, votre interlocuteur tentera de vous soutirer vos informations personnelles, dont vos données bancaires pour accéder à vos comptes en banque.
Vos informations peuvent aussi être obtenues de manière plus naturelle, lorsque vous remplissez les champs d’un formulaire ou d’une page de connexion illégitimes. Certaines copies de sites sont particulièrement bien réalisées, imitant les vrais domaines jusqu’au moindre détail. Quelle que soit la manière dont vos informations ont été subtilisées, les menaces sont graves : vol d’identité, fraude à la carte bancaire…
COMMENT SE PROTÉGER DU SMISHING ?
Lorsque vous recevez un SMS d’un numéro qui ne figure pas dans vos contacts, vous devez partir du principe qu’il s’agit d’un danger potentiel. Vous ne devez jamais cliquer sur un lien de redirection inséré dans un tel message. Pour vérifier si le SMS est légitime, rendez-vous dans votre espace client manuellement depuis votre navigateur web ou votre application mobile. Si vous ouvrez tout de même le lien, vérifiez bien l’URL, même si celle-ci n’est pas toujours fiable et peut être masquée.
Aucune administration ou société sérieuse ne vous demandera vos informations personnelles, vos données bancaires ou vos mots de passe par le biais de SMS, ne répondez pas à ces messages. De même, ne téléchargez jamais d’application suite à la réception d’un SMS. Pour tromper la vigilance des victimes, il est parfois fait mention d’une simple mise à jour de l’app, il s’agit d’un piège. Quand la plateforme le permet, configurez un système d’authentification à double facteur pour compliquer la tâche des pirates.
Pour signaler un message frauduleux aux autorités compétentes, il suffit de le transférer par SMS au 33700, un numéro gratuit. Vous pouvez aussi le dénoncer par le biais du site web 33700.fr, la plateforme de lutte contre les spams vocaux et SMS.