D’après le rapport d’activité 2021 du service Cybermalveillance.gouv.fr, le smishing (phishing par SMS) connaît un fort développement depuis 2020. Plus intrusif que l’email, le SMS bénéficie également d’un meilleur taux de lecture. Il n’y a donc rien de surprenant à ce que les hackers investissent massivement le canal SMS pour tenter de dérober des informations.
Comment fonctionne le smishing et quels sont ses objectifs ? Comment s’en protéger ? Faisons le tour de ces différentes questions.
Qu’est-ce que le smishing (phishing par SMS) ?
Définition du smishing
Le smishing est une variante du phishing qui repose sur l’utilisation de SMS. On l’appelle également « hameçonnage par SMS ». Alors que le phishing est réalisé via un email, le smishing, lui, passe par l’envoi d’un SMS à une victime.
Objectifs et déroulement d’une tentative de smishing
Le smishing poursuit les mêmes objectifs que le phishing. Il s’agit d’inciter la victime à réaliser une action, comme cliquer sur un lien pour être redirigée sur une page web frauduleuse ou un faux site internet.
La victime est ensuite poussée à saisir des informations confidentielles ou personnelles (identifiants de connexion de messagerie, informations de carte bancaire, par exemple).
Certains SMS ont pour objectif de pousser la victime à télécharger un malware (ou logiciel malveillant), qui pourra récupérer des données personnelles (mots de passe, liste de contacts, par exemple).
Le smishing est souvent utilisé comme une première étape. Après avoir récupéré des informations personnelles auprès de leur victime, les hackers peuvent ensuite les revendre sur le darknet, en faire un usage frauduleux ou encore mener une attaque plus poussée au sein d’une entreprise.
Quelles sont les techniques utilisées par les hackers ?
Ingénierie sociale et manipulation psychologique
Tout comme le phishing, le smishing s’appuie sur l’ingénierie sociale et la manipulation psychologique pour tromper les victimes, obtenir leur collaboration et leur soutirer des informations. Les SMS envoyés demandent généralement à la victime d’agir dans l’urgence, en la menaçant de voir l’un de ses comptes suspendus, de perdre de l’argent, de louper la livraison d’un colis, de ne pas pouvoir faire valoir ses droits, etc.
Usurpation d’identité
L’autre pilier utilisé par les hackers dans le cas d’attaques de smishing est l’usurpation d’identité. Les SMS de phishing prétendent souvent émaner de destinataires connus, censés inspirer la confiance : La Poste, Ameli, les sociétés de livraison de colis, etc.
Liens frauduleux
Enfin, le SMS contient généralement un lien sur lequel la victime est incitée à cliquer. L’un des principales difficultés dans ce genre de cas est l’impossibilité pour la victime de survoler le lien pour vérifier s’il s’agit bien d’un lien légitime.
Les liens sont souvent raccourcis ou alors se présentent comme des liens légitimes, mais un examen un peu plus attentif permet généralement de détecter une anomalie dans l’URL.
Exemples de smishing
Certaines tentatives de smishing sont particulièrement fréquentes et connues. C’est le cas de l’arnaque au CPF. Il existe plusieurs variantes. Certaines d’entre elles indiquent à la victime que ses droits sont à jour et qu’elle peut les consulter en cliquant sur un lien.
Les faux SMS de suivi de colis sont également très courants. Ils signalent généralement qu’une livraison de colis n’a pas pu être effectuée correctement et demandent à la victime de régulariser sa situation en cliquant sur lien (régler un faible montant, demander un nouveau passage du livreur, par exemple).
Comment éviter d’être victime de smishing ?
Des solutions techniques
Certaines solutions techniques disponibles sur le marché peuvent aider les entreprises à détecter les tentatives de smishing sur les téléphones portables des collaborateurs et à les bloquer. L’intérêt de ces solutions est également de pouvoir repérer les tentatives de phishing provenant des réseaux sociaux ou des applications de messagerie instantanée.
Les bons réflexes face au smishing
Aussi importantes soient-elles, les barrières techniques ne sont jamais totalement étanches. La cybersécurité est également une question à traiter en y associant les utilisateurs. Quelques bons réflexes permettent de rester vigilant face à de potentielles tentatives de smishing. En voici quelques-uns.
- Ne pas cliquer sur les liens envoyés par SMS, ne pas ouvrir les fichiers non plus, en particulier si le SMS provient d’un numéro de téléphone inconnu.
- Ne pas télécharger une application en cliquant sur un lien envoyé par SMS.
- Ne pas agir dans l’urgence, même si le SMS demande de réaliser une action dans un délai restreint, et même s’il menace de vous faire perdre de l’argent ou de bloquer l’un de vos comptes.
- D’une manière générale, rester méfiant face à des SMS envoyés par des numéros de téléphone inconnus.
Que faire si l’on est victime de smishing ?
Il existe aujourd’hui une plateforme permettant de signaler ce genre de cas : 33700.fr. Il est également possible d’effectuer un signalement par SMS au 33700. Si vous avez transmis vos coordonnées bancaires ou vos identifiants de connexion suite à une tentative de smishing, faites opposition et changez vos mots de passe rapidement.
Un travail de sensibilisation
Certaines entreprises mettent en place des programmes de formation à la cybersécurité et de sensibilisation aux risques cyber. Elles proposent à leurs salariés des séances de travail ou des modules d’apprentissage sur des plateformes pour expliquer le fonctionnement du smishing, les ressorts utilisés par les hackers et les moyens de s’en protéger.
L’un des piliers essentiels de ce genre de dispositifs est d’apprendre à reconnaître les SMS frauduleux en conditions réelles. C’est pour cela que certaines entreprises vont encore plus loin et organisent même des simulations de smishing pour « tester » les réflexes de leurs salariés.
.png)
.jpg)
.jpg)
