18 juillet 2024

Les tentatives d’attaques par SMS frauduleux en hausse.

Les tentatives d’attaques par SMS frauduleux sont en recrudescence. Les escroqueries par « smishing » fonctionnent sur les utilisateurs non avertis. Cette technique d’hameçonnage, alternative au phishing (mails malveillants), vous incite à dévoiler des informations personnelles. Les pirates usurpent l’identité d’entreprise, mais aussi celle des membres de votre famille. Pour ne pas en être victime, la sensibilisation aux risques est essentielle.

Le smishing : nouvelle technique d’hameçonnage pour cibler les victimes

La fraude au SMS est une technique d’hameçonnage appelée « smishing ». Vous recevez un message au demeurant crédible. Votre banque, les impôts ou le service des impayés des amendes vous contactent pour vous demander de payer une somme ou de réaliser un virement. Les pirates usurpent l’identité de ces expéditeurs. Ces messages ont le même objectif que les mails ou les appels malveillants : celui de vous mettre la pression pour que vous agissiez vite et sans réfléchir.

Le SMS envoyé contient un lien sur lequel vous devez cliquer ou un numéro à rappeler. Vous êtes alors amené à partager des données confidentielles, ou bien à télécharger des logiciels malveillants capables de récupérer les mots de passe de vos différents services, dont ceux de vos comptes bancaires.

« Coucou maman » : attention à l’arnaque par SMS qui joue sur vos sentiments

L’une des dernières attaques récurrentes par SMS est le message « coucou maman ». Vous recevez un SMS de votre enfant vous indiquant qu’il a perdu son numéro de téléphone ou qu’il en a changé. Le message envoie un nouveau numéro de téléphone et demande d’être rappelé en urgence sur WhatsApp.

Cette tentative ne fonctionne pas si votre enfant est à vos côtés lorsque vous recevez le message. Elle n’est pas non plus crédible quand l’enfant ne s’occupe pas de son abonnement téléphonique. En revanche, elle peut fonctionner sur des parents dont les enfants sont grands et habitent loin. Les pirates se servent de l’inquiétude et du stress des parents générés naturellement devant une difficulté que peuvent rencontrer leurs enfants.

L’ingénierie sociale : la manipulation psychologique des victimes

Le SMS frauduleux appartient aux techniques d’ingénierie sociale. Cette attaque repose sur les sentiments humains que sont la peur, l’inquiétude ou la confiance.

L’exploitation des sentiments humains pour obtenir des informations personnelles

Le smishing repose sur l’usurpation d’identité. La méthode fonctionne lorsque vous connaissez l’expéditeur. Lorsque vous recevez un message d’un proche ou d’un collègue de travail vous demandant de l’aide, vous êtes en situation de confiance. Lorsque vous recevez un message de votre banque ou de vos impôts vous enjoignant d’intervenir dans les plus brefs délais sous peine de perdre une importante somme d’argent, vous êtes dans une situation de stress. Personne ne souhaite perdre ses économies. Dans les deux cas, vous répondez sans vous poser de questions.

Des escroqueries réussies, d’autres non : des arnaques plus ou moins crédibles

En revanche, l’escroquerie ne fonctionne pas à tous les coups. Le pirate envoie une pléthore de messages frauduleux à de nombreux numéros de téléphone. Si vous n’avez pas d’enfant, le « coucou maman » reste sans réponse de votre part. De même si vous ne disposez pas de compte Netflix ou que vous n’avez pas de voiture et qu’il vous est demandé de payer vos amendes.

Sur les SMS envoyés, combien arrivent à atteindre leur but ? Quel que soit le résultat, l’escroc a réussi son objectif dès qu’il a pu soutirer des données auprès de sa victime. Il pourra ainsi les revendre à prix fort sur le dark web.

L’imagination des pirates pour faire de vous des victimes au SMS frauduleux

Les techniques d’ingénierie sociale sont efficaces, car elles reposent sur l’humain. Il vous est impossible de dire que vous ne tomberez jamais dans le piège. Un SMS bien construit, un manque de recul lié à la fatigue ou à l’inattention, peuvent vous faire devenir une victime. Par exemple, pendant la période de Noël, de faux SMS concernant des colis vous sont envoyés. Même averti, il est souvent difficile de démêler le vrai du faux de ces messages, surtout si vous attendez vos cadeaux.

Si certaines attaques ne sont plus crédibles, d’autres en revanche ne manquent pas vous questionner. Pour réussir, les pirates sont imaginatifs. Pire, ils peuvent désormais s’appuyer sur l’IA et étudier votre profil. Vous êtes à la recherche d’un emploi ? Vous pouvez recevoir un SMS vous proposant un complément de salaire. Les SMS frauduleux tendent de plus en plus à vous toucher personnellement.

Escroquerie par SMS frauduleux : des arnaques par milliers

Proofpoint, spécialiste de la sécurité informatique, annonce dans l’une de ses études sur le phishing en 2023 qu’entre 300 000 et 400 000 SMS frauduleux sont envoyés par jour. Il s’agit d’une véritable explosion au niveau mondial. Le niveau d’attaques par SMS frauduleux a bondi de 378 % en 2023. Autre chiffre avancé cette fois par le Mobile Ecosystem Forum : 39 % des consommateurs ont été touchés par une tentative de smishing.

L’essor de ces attaques est dû à plusieurs raisons. Aujourd’hui, le smartphone est au cœur de nos vies. Nous réalisons nos achats et nos démarches administratives sur téléphone. Il contient l’ensemble de nos services et mot de passe, là où avant nos données étaient stockées sur un ordinateur.

Les pirates développent aussi leur méthode d’attaques. Si l’IA est un support numérique, le matériel est aussi l’un de leurs outils. Des escrocs ont été interpellés avec des Imsi-Catchers, des appareils de surveillance propre à l’armée pour capter des communications et des données.

Les solutions mises en place pour combattre les escroqueries par SMS frauduleux

Les attaques par smishing sont prises au sérieux par les autorités à travers le monde, mais aussi par les opérateurs. Cependant, il reste plus facile aujourd’hui de bloquer ces SMS que de remonter aux escrocs.

33 700 : la plateforme de signalement contre les SMS frauduleux

En France, vous pouvez signaler un SMS frauduleux, mais aussi un appel indésirable. Rendez-vous sur la plateforme 33700. Il vous est demandé de remplir un formulaire ou de signaler le SMS en prenant une capture d’écran. Ces signalements sont ensuite envoyés vers les opérateurs pour qu’ils réalisent les vérifications nécessaires.

Vous pouvez également transférer le message au 33700 sans commentaire de votre part. Vous recevez alors un SMS vous demandant de compléter votre signalement.

Les opérateurs de télécommunication au cœur de la lutte contre l’hameçonnage par SMS

Les opérateurs de téléphonie mobile déploient des outils capables de filtrer les SMS jugés comme du SPAM. Il s’agit ainsi d’une première étape dans la lutte contre le smishing. Ils sont également épaulés par les outils de signalement présent dans les systèmes d’exploitation, comme iOS et Android.

Les limites de la lutte contre les SMS frauduleux

Il est évident que le pirate n’envoie pas ses messages par l’intermédiaire de son propre numéro de téléphone. Il utilise des outils, des plateformes capables d’envoyer des SMS en nombre à plusieurs destinataires. Ces plateformes sont protégées par des IP éphémères liées à l’utilisation de plusieurs VPN par exemple.

Par ailleurs, une réglementation mondiale sur le smishing n’existe pas. Tous les opérateurs ne sont pas encouragés à assurer la protection de leurs abonnés. Il revient donc, aux seuls utilisateurs, d’être vigilants et de se tenir informés, ce qui, dans certains pays du monde, est difficile.

Ajoutez à ces limites la difficulté d’identifier un faux lien dans un SMS. Sur votre ordinateur, il vous suffit de poser la souris sur le lien pour voir apparaître une adresse frauduleuse. C’est aujourd’hui impossible sur un téléphone. Vous ne pouvez donc pas vérifier que le lien « Apple.com » vous mène à « escroquerie-sms.com ».

La prévention et la sensibilisation à l’hameçonnage : la seule lutte efficace contre le smishing

Les organismes bancaires, les entreprises et bon nombre d’enseignes commerciales le rappellent régulièrement : ils ne vous demanderont jamais de communiquer des informations personnelles. Ces rappels réguliers aident les utilisateurs à prendre du recul et à avoir moins confiance aux expéditeurs, surtout quand les SMS interpellent.

La sensibilisation aux tentatives d’hameçonnage, que ce soit par SMS, par un appel ou par mail, reste la meilleure façon de lutter contre ces arnaques. Un public averti réduit le nombre de victimes potentielles. Aux opérateurs et aux autorités de lancer des campagnes de sensibilisations. Une victime est, bien souvent, consciente du phénomène, une fois qu’elle a été escroquée. Ne cliquez donc sur aucun lien intégré dans un SMS. Il s’agit d’une règle de base pour protéger vos données.

Les bons gestes à adopter si vous êtes victime d’une escroquerie en ligne

Vous avez cliqué sur un lien et communiqué des informations personnelles ? Pas d’inquiétude supplémentaire, vous pouvez entamer des démarches afin de limiter les dommages.

• Faites opposition auprès de votre banque si vous avez communiqué des données bancaires.
• Réalisez une copie d’écran du SMS et des autres messages.
• Changez les mots de passe des services incriminés.
• Déposez plainte auprès de votre commissariat de secteur.
• Vous pouvez également appeler la plateforme Info Escroquerie et demander une assistance.

Vous avez un doute sur un SMS ? S’il provient de votre banque, de la Poste ou même d’un proche de la famille, appelez-les pour vérifier la véracité du message. Il serait dommage de passer à côté d’un véritable appel à l’aide ou de perdre un colis auquel vous tenez.