Qu'est-ce que le smishing ? Un guide sur l'hameçonnage par SMS
Apprenez à comprendre, détecter et prévenir le smishing.
Les attaques d'hameçonnage par SMS, ou « smishing », sont de plus en plus fréquentes. Plus vous comprendrez les attaques de smishing, ce dont elles sont capables et quels sont les risques potentiels, plus il vous sera facile de les identifier et de prévenir les dommages qu'elles pourraient causer.
Ce guide très simple vous explique ce qu'est le smishing, comment le détecter et comment éviter d'en être victime.
Qu'est-ce que le smishing ?
Le smishing (ou hameçonnage par SMS) se produit lorsqu'un pirate envoie un SMS frauduleux, contenant généralement une offre pour un produit gratuit ou une alerte concernant vos données bancaires ou d'autres informations sensibles.
Le smishing est particulièrement dangereux pour ceux qui n'ont aucune notion de base en matière de cybersécurité, car les messages SMS sont formulés de manière à être crédibles. Certains messages de smishing contiennent même des informations vaguement personnelles pour convaincre les destinataires.
Comment fonctionne le smishing ?
Les attaques par smishing sont considérées comme des attaques d'ingénierie sociale, car elles s'attaquent aux gens par le biais de la manipulation psychologique. Dans la plupart des cas, le message de smishing est conçu pour susciter un sentiment d'urgence. Les messages peuvent contenir des phrases ou des mots déclencheurs tels que « action immédiate requise », « votre compte court un risque si vous ne cliquez pas sur ce lien » ou « des poursuites judiciaires seront engagées contre vous si vous ne donnez pas suite à ce message ». Ces messages peuvent susciter la peur et, en fin de compte, l'action.
Les pirates obtiennent des numéros de téléphone par le biais de violations de données sur le web. Lorsque vous créez un compte en ligne sur un site marchand, par exemple, vous communiquez souvent votre e-mail, votre numéro de téléphone et d'autres informations personnelles. Lorsque les pirates s'introduisent dans les archives web des sites marchands, elles sont souvent distribuées ou vendues sur le dark web à des fins lucratives. Ainsi, vos informations personnelles sont diffusées à l'étranger.
Vous pouvez également avoir saisi votre numéro de téléphone suite à un e-mail d'hameçonnage ou sur un autre site frauduleux et que l'entreprise à l'origine du site soit en fait un pirate informatique.
Les pirates extorquent souvent aux victimes d'attaques par smishing des informations plus personnelles, voire de l'argent, dans certains cas. Les arnaques fiscales sont courantes et les victimes virent souvent des milliers d'euros aux pirates en pensant que l'administration fiscale les poursuivra s'ils ne le font pas.
Smishing et Vishing
Le smishing et le vishing se ressemblent car ils demandent tous deux l'utilisation d'un téléphone. Le vishing utilise un service vocal au lieu d'un SMS pour piéger ses victimes. Le vishing peut être plus efficace car la victime est en contact direct avec une personne au téléphone. Le ton de la conversation peut avoir une forte influence sur la réaction de la victime. Si elle pense risquer des poursuites judiciaires, elle est plus à même de communiquer les données convoitées par le pirate.
Comment détecter les attaques par smishing
Les attaques par smishing sont répandues et certaines de leurs caractéristiques peuvent être identifiées.
- « Félicitations ! Vous avez gagné ! » Il s'agit d'un message de smishing courant qui fait penser à la victime qu'elle a gagnée une récompense. Un lien ou numéro de téléphone joint demande généralement des données personnelles supplémentaires. Si vous n'avez pas participé à un concours, vous n'avez sûrement rien gagné.
- Message envoyé à un horaire suspect. La plupart des entreprises sont ouvertes entre 8h et 18h. Si vous recevez un message d'une source « légitime » tard dans la nuit ou très tôt le matin, faites preuve de prudence.
- Message urgent de votre banque. Il est très probable que votre banque vous appelle personnellement en cas de demande urgente ou d'erreur. Dans ce cas, la banque confirme généralement vos données personnelles par téléphone. Si vous recevez un message urgent concernant vos activités bancaires, appelez votre banque pour en savoir plus.
- Erreurs d'orthographe et de grammaire. Une entreprise légitime fait appel à des rédacteurs professionnels. Si un message contient des erreurs d'orthographe ou de grammaire, il y a de fortes chances qu'il s'agisse d'un message frauduleux.
- Utilisez un VPN. Les VPN sont des services légitimes qui permettent de masquer votre adresse IP et de vous protéger des regards indiscrets pouvant identifier votre localisation exacte et surveiller vos activités, même sur votre téléphone. Ils peuvent vous aider à reconnaitre les messages de smishing, notamment s'ils font référence à une localisation inexacte, spoofée par votre VPN. Toutefois, les cybercriminels exploitent la demande de ce type de services en envoyant des offres spéciales ou gratuites par SMS pour des VPN.
Comment se protéger du smishing
- Utilisez un gestionnaire de mots de passe comme Keeper pour stocker et gérer les mots de passe de tous vos comptes de manière sécurisée. Activez toujours l'authentification à 2 facteurs (2FA) ou multifacteur (MFA) pour empêcher tout accès non autorisé.
- N'appelez jamais un numéro de téléphone associé à un message potentiellement frauduleux. Si ce message vient de votre banque, appelez le numéro officiel de votre agence pour vérifier la demande.
- Si vous avez des questions, appelez une entreprise directement à partir de son site web officiel. Faites attention aux avertissements d'escroquerie sur un site web.
- Ne cliquez pas sur un lien contenu dans un message non sollicité. Si vous n'attendez pas de message, ne cliquez pas sur un lien.
- Signalez les tentatives de smishing sur efraudprevention.net, alertez le service des impôts ou votre banque.