Définition du smishing et meilleurs conseils pour lutter contre le phishing par SMS
Le terme « smishing » est composé de « SMS » et « phishing » (fr. « hameçonnage »). De manière similaire au phishing, les cybercriminels se font passer pour des représentants d’une société ou d’une organisation digne de confiance. Dans le cadre du smishing, les pirates utilisent toutefois des SMS (Short Message Service) plutôt que des e-mails et envoient des messages textuels pour pousser leurs victimes à divulguer des informations sur leur compte ou à installer sans le savoir des programmes malveillants et des chevaux de Troie.
Même si cette définition du smishing peut donner une impression contraire, il n’est pas toujours simple d’identifier un SMS de phishing. En appuyant sur des points sensibles, les cybercriminels jouent avec les émotions de la victime afin de l’inciter à prendre des décisions irrationnelles. Dans notre guide, nous vous présentons la méthode de ces pirates. Nous vous expliquons à quoi ressemble généralement un SMS de phishing et comment vérifier l’authenticité de ce message.
Le smishing en pratique : la méthode des fraudeurs
Les smishers ont développé différentes approches pour obtenir des données des utilisateurs de smartphones. Le modèle de base reste toutefois le même : le fraudeur se présente comme le représentant d’une entreprise ou comme une connaissance et raconte une histoire devant pousser la victime à divulguer des données personnelles ou à télécharger des logiciels malveillants. Cet élément détermine considérablement le succès du smishing et est également appelé ingénierie sociale. Le pirate essaie d’instaurer une relation de confiance particulière et d’engager émotionnellement la victime. Il cherche à donner à cette dernière le sentiment que suivre les instructions du fraudeur et ne pas prendre les mesures de précaution habituelles est exactement ce qu’il lui faut à ce moment précis.
Dans les paragraphes suivants, nous vous présentons les principaux composants et contenus de l’hameçonnage par SMS pour que vous puissiez vous faire une idée de la façon dont fonctionnent ces SMS frauduleux et puissiez savoir à quoi faire attention pour vérifier l’authenticité d’un message.
Exemple 1 : SMS de phishing avec un lien de téléchargement vers un programme malveillant
Ce grand classique du smishing consiste à envoyer un bref message écrit comme s’il provenait d’un ami. Il doit éveiller la curiosité et demander au destinataire de cliquer sur le lien contenu dans le SMS. Lorsque vous cliquez sur le lien, un logiciel – qui permettra au pirate d’accéder au smartphone – est automatiquement téléchargé en arrière-plan. Si le pirate est compétent, vous n’aurez absolument pas conscience du téléchargement et donc de la mise en danger de vos données personnelles.
Exemple 2 : SMS renvoyant à un formulaire falsifié
Dans le phishing par e-mail, qui est une méthode apparentée, un e-mail fallacieux renvoie les personnes à un site internet comportant un formulaire. Cette méthode existe également dans le smishing sous une forme détournée : les criminels incluent un lien renvoyant à un formulaire dans le SMS envoyé. Lorsque vous saisissez vos données personnelles dans ce formulaire, elles sont directement transmises au fraudeur. Cette technique de smishing est tout particulièrement appréciée des fraudeurs lorsqu’il s’agit d’accéder à des informations sur un compte bancaire ou des données de carte de crédit. Dans le SMS, le pirate évoque généralement un problème de sécurité qui nécessite que vous transmettiez immédiatement vos données.
Exemple 3 : le spear smishing basé sur des informations personnelles
Dans le cadre du spear smishing, les attaques sont dirigées sur les données d’une personne en particulier. Pour ce faire, les hackers analysent par exemple les profils de la victime sur les réseaux sociaux et s’appuient sur ces informations pour envoyer un SMS d’hameçonnage parfaitement adapté à la victime et contenant déjà des informations personnelles. De cette façon, le pirate peut augmenter considérablement la crédibilité de son spear phishing et voler ainsi des données à l’aide d’e-mails personnalisés.
Exemple 4 : le pirate se fait passer pour l’employé d’un service client
Le smishing est également utilisé pour rediriger les victimes vers la hotline supposée d’une entreprise. Un SMS demande au destinataire de prendre contact avec une hotline de service client au numéro indiqué. Une fois au bout du fil, le fraudeur essaie alors de soutirer des informations à son interlocuteur. Pour le fraudeur, l’avantage de cette méthode réside dans sa plus grande crédibilité. De nombreuses personnes se montrent méfiantes, à juste titre, quand elles doivent saisir des données personnelles dans des formulaires en ligne. Passer par une hotline téléphonique donne une image plus sérieuse. Le vishing (voice phishing) est une méthode très similaire dans laquelle les criminels essaient d’accéder à des données sensibles à travers des appels VoIP directement initiés.
Éviter le smishing
En principe, le smishing consiste toujours à suggérer un problème ou un événement urgent qui nécessite une action immédiate de votre part. C’est pourquoi il est essentiel de ne pas agir dans la précipitation et de vérifier le SMS dans le détail. Nous avons rassemblé pour vous les principaux critères vous permettant de distinguer un véritable SMS d’un SMS d’hameçonnage. Dans ce cadre, il convient toujours de se poser la question suivante : le destinataire et le contenu du SMS sont-ils authentiques ?
Conseil 1 : vérifiez l’orthographe et la grammaire des SMS. Les cybercriminels opèrent souvent à l’international et utilisent des outils de traduction automatique. Dans de nombreux cas, vous pouvez identifier une telle traduction au contenu du message.
Conseil 2 : vérifiez le numéro de téléphone de l’expéditeur afin de vous assurer qu’il appartient bien à l’entreprise supposée. Notez toutefois qu’un numéro qui semble authentique ne signifie pas nécessairement que le SMS l’est aussi. Les pirates peuvent avoir recours au spoofing pour simuler un autre numéro.
Conseil 3 : demandez-vous dans quelles situations un SMS constitue un moyen de communication adapté. En cas de problème, votre banque ne vous contactera jamais par SMS et la probabilité que l’on vous annonce que vous avez gagné à un jeu-concours par SMS est proche de zéro.
Conseil 4 : n’indiquez jamais vos informations financières ou de paiement sur un site internet ou dans des formulaires auxquels vous avez accédé depuis un SMS. Par ailleurs, ne cliquez jamais sur des liens d’expéditeurs inconnus ou en qui vous n’avez pas confiance. Faites preuve d’une méfiance particulière envers les messages traduisant un sentiment d’urgence.
Conseil 5 : installez un programme anti-virus sur votre smartphone et effectuez régulièrement les mises à jour nécessaires. Même si un tel logiciel de sécurité ne constitue en aucun cas une protection infaillible contre les infections de votre smartphone par des programmes malveillants, il permet d’ajouter un niveau de sécurité supplémentaire dont vous ne devriez pas vous passer.