Outils, logiciels et technologies Découvrez
Vous avez certainement déjà été la cible d’une tentative d’hameçonnage par SMS. Les messages frauduleux comptent parmi les techniques de phishing des hackers. Il ne s’agit plus de vous envoyer des mails, mais des SMS sur votre téléphone. Ces attaques par smishing sont courantes et reposent sur l’ingénierie sociale. Les utilisateurs pensent recevoir un vrai SMS et s’empressent de cliquer sur le lien communiqué. Pour éviter d’être la victime de cette cyberattaque, voici toutes les informations sur le smishing.
Qu’est-ce que le smishing ?
Le smishing est une tentative d’hameçonnage par SMS. Le mot « smishing » n’est autre que la contraction de SMS et phishing. Les hackers fondent leurs attaques sur l’ingénierie sociale. Elles consistent à induire en erreur les utilisateurs en leur faisant croire que le message reçu est vrai. Parmi ces cyberattaques, vous rencontrez le phishing (envoi de mails frauduleux) et le vishing, l’hameçonnage par message vocal ou appel téléphonique.
L’hameçonnage par SMS : une technique de phising efficace
L’hameçonnage par SMS fonctionne de la même façon qu’un mail frauduleux. Le hacker vous envoie un SMS qui usurpe l’image ou l’identité d’une organisation ou d’une entreprise. Vous avez certainement déjà reçu un SMS de Chronopost cherchant absolument à vous livrer un colis alors que vous n’avez rien commandé. Vous avez également pu être informé par le gouvernement que des contraventions n’ont pas été réglées. Votre banque peut, elle aussi, vous alerter d’un découvert.
Ces SMS sont des messages courts vous incitant à régler une situation critique pour la victime. Vous avez le choix de cliquer sur un lien ou d’appeler le numéro communiqué. Cette technique d’hameçonnage est redoutable. La véracité de l’expéditeur est difficilement identifiable par SMS, beaucoup moins qu’en cas de mail frauduleux.
Une cyberattaque en plein développement
Ces attaques par SMS se sont répandues rapidement. Les cybercriminels ont profité du développement de ce service d’information, utilisé par de nombreuses organisations et entreprises. Aujourd’hui, vous recevez une pléthore de SMS vous informant de vos rendez-vous médicaux, de l’état de votre compte bancaire, des soldes auprès de votre marque préférée et du créneau de livraison pour votre colis. Les cybercriminels ont instillé leurs SMS frauduleux au milieu de cette nouvelle façon de communiquer.
Comment fonctionne le Smishing ?
Le smishing est une méthode redoutable pour voler des données personnelles ou glisser un virus dans un téléphone. Pour assurer la sécurité des utilisateurs, connaître le fonctionnement de cette technique d’hameçonnage est un premier pas.
Un SMS frauduleux se faisant passer par une organisation ou un service officiel
Le SMS reçu par la victime émane d’une entreprise, d’un service ou d’une organisation connue. C’est, du moins, ce que croit le destinataire. Toutes les institutions sont concernées, de La Poste aux impôts en passant par les sites e-commerce ou les opérateurs téléphoniques. Tous les SMS envoyés délivrent le même message. Vous devez intervenir de manière urgente pour régler un problème. Par exemple :
- votre compte bancaire est bloqué ;
- votre opérateur mobile s’apprête à couper votre ligne ;
- les impôts vous remboursent un trop-perçu, etc.
Tous ces messages ont le même objectif : vous faire cliquer sur le lien ou vous faire appeler le numéro joint au SMS.
Les différents types de cyberattaques par smishing
Les cybercriminels peuvent avoir différents objectifs en tête avant de lancer une campagne de phishing sur téléphone. Ils utilisent différentes techniques pour parvenir à leurs fins.
Le vol de données personnelles pour soutirer de l’argent à la victime
Le premier consiste à vous voler vos informations personnelles, telles que le numéro de votre carte bancaire ou vos identifiants pour accéder à votre compte en banque. Pour cela rien de plus simple, le phishing reste habituel. Le lien contenu dans le SMS vous renvoie sur un site Internet identique à celui de votre banque, de La Poste, etc. Vous entrez vos données confidentielles pour solutionner le problème. Vos informations sont alors directement récupérées par les cybercriminels.
Le téléchargement d’un malware sur votre téléphone pour accéder à vos informations personnelles
Vous pouvez également recevoir par SMS un lien vous invitant à télécharger une application. Le message peut aussi vous proposer de mettre à jour une application déjà présente. Le cybercriminel vous apprend qu’elle possède une faille de sécurité qu’il faut réparer par un correctif. Le lien ou l’application contiennent un malware.
Les cybercriminels s’introduisent par ce biais à l’intérieur de votre téléphone. Ils accèdent à tous vos identifiants et données, notamment ceux de votre banque. Votre numéro peut également être détourné et utilisé dans une campagne de vishing.
Un SMS pour rappeler un numéro surtaxé
Ce type de SMS contient, non pas un lien, mais un numéro de téléphone. Vous êtes vivement encouragé à rappeler votre correspondant pour solutionner une situation d’urgence. La victime pense appeler le service client de sa banque. Vous faites face à une fraude au faux conseiller, assureur, vendeur, etc. Il vous demande vos informations personnelles. Le numéro proposé dans le SMS est souvent surtaxé. En appelant votre correspondant, vous offrez de l’argent aux cybercriminels.
Les signes révélateurs d’une attaque de Smishing
Comment être sûr que le message reçu est du smishing ? L’hameçonnage des cybercriminels reposant sur l’ingénierie sociale, il a pour vocation de vous faire peur. Dans la précipitation d’éviter de perdre toutes vos économies, vous tombez dans le piège. Voici quelques conseils pour éviter de devenir une victime de phishing.
- Si vous êtes inquiet pour votre compte bancaire, appelez directement votre gestionnaire habituel.
- Si vous n’attendez pas de colis, ne donnez pas suite au message de livraison. S’il s’agit d’un cadeau, l’expéditeur finira par vous contacter.
- Une organisation officielle, comme le Trésor public ou l’ANTAI (pour les amendes automobiles) n’envoie pas de SMS, mais plutôt un courrier recommandé.
- Vous avez gagné un concours auquel vous n’avez pas participé, ne donnez pas suite.
La majorité des institutions réalise régulièrement des messages d’alertes sur l’hameçonnage par smishing ou vishing. Elles n’ont pas besoin de vous demander vos informations personnelles.
Qui sont les victimes de l’hameçonnage par SMS ?
L’hameçonnage par SMS touche tous les propriétaires de téléphone portable. Les cibles potentielles sont généralement mal informées des menaces de cybersécurité. Ce sont les mêmes personnes qui risquent d’ouvrir un mail frauduleux ou de répondre à un message d’alerte sur les réseaux sociaux. Les techniques des cybercriminels reposant sur l’ingénierie sociale sont un véritable défi pour les experts de la cybersécurité. Il ne s’agit pas ici de s’attaquer à des systèmes informatiques, mais à l’humain, avec son lot d’innocence et de méconnaissance.
Les risques pour les victimes de Smishing
Les conséquences d’un hameçonnage, quel qu’il soit, peuvent être dramatiques pour les victimes. Le vol des données bancaires ou personnelles peut aller de l’usurpation d’identité au vol d’argent. Il est d’autant plus compliqué de récupérer des sommes perdues dès lors que vous avez, vous-même, communiqué ces informations sensibles.
Un virus implanté dans un mobile génère tout autant de dégâts. Votre appareil est alors contrôlé par le cybercriminel. Outre le vol de données, votre Smartphone devient à son tour l’expéditeur de SMS frauduleux. Votre ligne est utilisée pour cibler d’autres victimes.
Les solutions de sécurité pour se protéger contre le Smishing
Les experts en cybersécurité ne sont pas rassurants quant à leur prédiction sur l’hameçonnage par smishing. La montée en puissance de ces cyberattaques, facilitée par des outils automatisés et accessibles aux moins avertis des hackers, risque de générer de multiples victimes. Des solutions de sécurité doivent être mises en place dès maintenant.
Les solutions techniques de sécurité pour protéger les mobiles de l’hameçonnage
Heureusement, il existe des solutions de cybersécurité spécifiques aux mobiles. Android et iOS possèdent nativement ces protections. Ces systèmes peuvent réaliser le filtrage des SMS jugés frauduleux et les consigner à part. Ils peuvent également bloquer les applications que l’utilisateur n’a pas approuvées.
Dans le monde de l’entreprise, la gestion de la sécurité des appareils connectés à Internet est un défi. Les administrateurs doivent mettre en place des outils de gestion unifiée des terminaux (UEM). Ces solutions proposent un contrôle d’accès et des autorisations de sécurité. Elles sont indispensables pour gérer le parc de téléphones professionnels pouvant accéder aux données de l’entreprise.
La formation : une étape indispensable pour lutter contre l’ingénierie sociale
Les cyberattaques basées sur l’hameçonnage reposent sur l’ingénierie sociale. Cette manipulation psychologique fonctionne sur les utilisateurs les moins avertis aux menaces. C’est pourquoi il est nécessaire aujourd’hui d’informer et de réaliser de la prévention. Tout détenteur de smartphone est une potentielle victime de smishing. Une formation en entreprise peut être organisée par les experts de la cybersécurité. Pour le grand public, des campagnes de prévention sont nécessaires.
Chaque opérateur mobile peut proposer un guide des bonnes pratiques de son smartphone et alerter sur le smishing. Chaque entreprise ou institution, dont les noms sont usurpés, doit rappeler à leurs clients ou utilisateurs d’être vigilants à toute forme de fraude.
Que faire en cas d’attaque par smishing ?
Vous venez de recevoir un SMS frauduleux ? Ne cliquez pas sur le lien ni appelez le numéro indiqué. Avant de supprimer le message de votre appareil, pensez à prendre une capture d’écran. Vous pouvez alors le signaler sur la plateforme de lutte contre les spams vocaux et SMS.
Si vous avez cliqué sur le lien, pensez à vérifier l’intégralité du site web affiché à l’écran. Pour le téléchargement des applications, seules les plateformes d’Android et iOS vous proposent des logiciels et mises à jour officiels.
Dans tous les cas, n’oubliez pas qu’aucune institution ne peut vous demander vos informations personnelles, comme vos identifiants, mots de passe ou carte bancaire.
De bons outils et une connaissance des menaces de sécurité restent les meilleures solutions pour lutter contre le smishing.