Smishing

Le smishing est un type d'attaque de cybersécurité qui se produit via les services de messages courts (SMS) - messages texte. Il peut s'appuyer sur l'ingénierie sociale, les pièces jointes malveillantes et les sites web frauduleux pour arnaquer les gens.

.st0{fill:#0D3ECC;} TÉLÉCHARGEZ MALWAREBYTES GRATUITEMENT


Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Qu'est-ce que smishing? 

Le terme « smishing » peut sembler ridicule, mais la signification du smishing est moins amusante qu'elle n'y paraît. Une attaque de smishing est un type d' attaque de phishing qui utilise les messages texte comme vecteur d'attaque. Elle peut s'appuyer sur l'ingénierie sociale, les pièces jointes malveillantes et les sites frauduleux pour escroquer les gens.

Une escroquerie de smishing peut être facile à exécuter, difficile à retracer et dangereuse dans ses impacts. Une attaque de smishing réussie peut potentiellement exposer vos mots de passe, photos, vidéos et autres données sensibles à un escroc et également servir de vecteur d'infection pour un dépôt de malware sur votre smartphone.

Chacun des milliards d'utilisateurs de smartphones dans le monde est une cible potentielle pour le smishing. Rien qu'aux États-Unis, la Federal Trade Commission a noté près de 400 000 plaintes concernant des textos non voulus, y compris des attaques de smishing en 2021. Les consommateurs ont signalé une perte de plus de 80 millions de dollars aux régulateurs la même année.

Ce guide vous aidera à éviter les attaques de smishing et à apprendre comment prévenir le smishing. Lisez la suite pour plus de détails sur les points suivants :

  • Définition du smishing : qu'est-ce qu'une attaque de smishing en cybersécurité ?
  • Exemples de smishing
  • Smishing vs phishing
  • Que faire en cas d'attaque de smishing
  • Comment se protéger du smishing

Définition et explication du smishing

Voici une définition rapide du smishing : le smishing est un type d'attaque de cybersécurité qui se produit via les services de messages courts (SMS), aussi connus sous le nom de textos. Certains experts peuvent également définir le smishing comme une attaque via n'importe quel type de message texte, et pas seulement les systèmes de messagerie texte natifs pour mobile, comme les messages sur les plateformes de médias sociaux.

Une manière plus simple de définir le smishing est de l'appeler un message texto de phishing. Cela amène à se poser la question : qu'est-ce que le phishing ? Eh bien, le phishing c'est quand un acteur de menace se fait passer pour une entité de confiance afin de tromper une cible en la poussant à commettre une erreur de cybersécurité, comme partager des informations confidentielles, généralement par email. Un message texto de phishing, aussi connu sous le nom de smishing, est du phishing par texto.

Qu'est-ce qu'une attaque de smishing ?

Une attaque de smishing c'est quand un acteur de menace utilise des messages texte malveillants pour compromettre la cybersécurité d'une cible. Le but d'une attaque de smishing est généralement d'obtenir les informations confidentielles suivantes pour usurpation d'identité ou crimes financiers :

  • Noms
  • Adresses
  • Identifiants
  • Mots de passe
  • Numéros de cartes de crédit
  • Codes des cartes de crédit
  • Données bancaires

Une attaque de message texte de phishing peut également être hautement ciblée. Lorsqu'un acteur de menace connaît le numéro de téléphone d'une victime, il peut concevoir une attaque convaincante. Par exemple, si un escroc cible le numéro de téléphone mobile d'un cadre financier, il peut lancer une attaque de smishing qui semble provenir d'un contact commercial potentiel.

Vous pouvez lire surphishing vs spear phishing vs whaling pour apprendre les différents types d'attaques d'ingénierie sociale qui utilisent les messages texte comme vecteur de menace.

Comment fonctionne le smishing ? 

Comme le phishing, le smishing nous piège en nous faisant croire que des messages faux sont légitimes afin que nous interagissions avec eux sans nous inquiéter. Les attaques de smishing fonctionnent en utilisant certaines ou toutes les caractéristiques suivantes :

  • Contexte : Les textos de smishing utilisent le contexte pour paraître authentiques. Un texto de smishing peut sembler provenir de la banque, de votre détaillant préféré, ou de votre gouvernement. Par exemple, les arnaques smishing à thématique IRS qui volent des informations personnelles et financières augmentent parce qu'elles utilisent le contexte de manière efficace pour gagner la confiance d'une victime.
  • Sélection de la cible : Les victimes de smishing peuvent être sélectionnées en fonction des données démographiques et des affiliations locales. Par exemple, un gang d'extorqueurs pourrait envoyer de faux textos d'une institution financière populaire dans une certaine zone géographique, vers les numéros locaux. Alternativement, ils pourraient envoyer des textos d'hameçonnage d'une université à ses étudiants après avoir accédé à des numéros de téléphone.
  • Ingénierie sociale : Une attaque d'ingénierie sociale manipule les émotions d'une cible, comme la peur, l'amour, la convoitise, la cupidité, la colère ou la sympathie, pour troubler son jugement. Par exemple, un message frauduleux prétendant venir d'un proche peut simuler une urgence pour inciter la victime à envoyer un virement d'argent.
  • Pièces jointes malveillantes : Un message de phishing peut être accompagné d'une pièce jointe malveillante semblant être une image, une vidéo ou un document, mais qui est en fait un virus, un adware, un spyware, un cheval de Troie ou un ransomware.
  • Liens malveillants : Les attaques par smishing utilisent souvent des liens malveillants, des programmes malveillants ou des sites frauduleux.

Le smishing fonctionne également en s'appuyant sur la simplicité des messages texte. Vous pouvez repérer un email de phishing en surveillant les erreurs grammaticales, les fautes d'orthographe, les problèmes de mise en forme d'images, les adresses email étranges, et d'autres irrégularités. Mais les messages texte sont habituellement plus courts et ne comportent pas de graphiques comme les logos d'entreprise.

Par exemple, un message typique de votre banque peut comporter deux ou trois phrases et inclure un lien vers un site de vente ou un site financier. Contrairement à un email officiel, un tel message texte est facile à usurper.

Les pirates sont moins susceptibles de faire des erreurs grammaticales lorsqu'ils rédigent une ou deux phrases dans une attaque de smishing. Et ils n'ont pas à se soucier de reproduire des logos pour faire paraître les textos de phishing authentiques. Ils peuvent également utiliser des techniques de spoofer d'identifiant d'appelant et des téléphones jetables pour brouiller les pistes.

Exemples de smishing : Différents types d'attaques de smishing 

  1. Vous avez gagné un concours ou un prix et devez le réclamer.
  2. Quelqu'un vous a envoyé un cadeau ou un coupon que vous devez activer.
  3. Votre institution financière doit confirmer vos informations.
  4. Un virement en attente sur votre compte nécessite votre autorisation.
  5. L'achat coûteux que vous avez effectué nécessite une vérification.
  6. Un virus a été détecté sur votre téléphone.
  7. Votre compte a été verrouillé en raison d'activités suspectes ou de tentatives de connexion inhabituelles.

Smishing vs phishing : Quelle est la différence entre le smishing et le phishing ? 

smishing-vs-phishing

Le smishing et le phishing peuvent sembler similaires, mais ils ne sont pas tout à fait identiques. Alors, quelle est la différence entre le phishing et le smishing ? La plus grande différence dans la comparaison smishing vs phishing est que le smishing utilise les SMS comme support d'attaque, tandis que le phishing est un terme général pour tout email, site web, message texte ou message vocal qui utilise la tromperie pour attaquer une cible. En d'autres termes, le smishing est un type d'attaque de phishing qui se produit via un message texte. Les objectifs des deux attaques est de collecter vos informations personnelles pour des activités frauduleuses. Ceci est ce que les deux méthodes ont en commun.

Que faire en cas d'attaque de smishing 

Signalez l'attaque 

La première chose à faire est de signaler l'attaque à l'autorité compétente avec le plus de détails possible. Par exemple, si vous êtes la cible d'une attaque smishing IRS, envoyez un email de l'attaque à phishing@irs.gov avec les détails suivants :

  • Numéro d'identification de l'appelant de phishing.
  • Une capture d'écran de l'attaque.
  • Une copie du message si vous ne pouvez pas prendre de capture d'écran.
  • La date, l'heure, le fuseau horaire et le numéro du destinataire.

D'autres organisations ont également été forcées de réagir à ces escroqueries. Par exemple, les banques et les entreprises de paiement comme PayPal ont ouvert des canaux de signalement pour le phishing. Si vous utilisez PayPal, apprenez à reconnaîtreles emails de phishing PayPal pour protéger votre compte. 

Changez tous vos mots de passe 

Si vous soupçonnez que vous êtes la cible d'une attaque de smishing, changez immédiatement tous vos mots de passe et NIPs. Votre nouveau mot de passe doit être complexe et unique. Vous pouvez lire notre guide pour apprendre comment créer un mot de passe fort.

Geler votre carte 

Un cybercriminel peut tenter d'utiliser votre carte de débit ou de crédit après avoir accédé à vos informations sensibles. Nous vous suggérons qu'après avoir changé vos mots de passe, vous géliez temporairement toutes vos cartes pour prévenir la fraude financière. Vous pouvez geler votre carte en vous connectant à votre compte de carte de crédit ou en appelant votre institution financière.

De plus, informez votre émetteur de carte de crédit de l'attaque de smishing. Ils pourraient désactiver votre carte et en émettre une nouvelle avec un jeu de chiffres différent.

Surveillez les activités futures 

Surveillez vos comptes pour les types d'activités suspectes suivants :

  • Transactions inconnues sur votre compte bancaire ou de carte de crédit.
  • Connexion depuis des lieux inhabituels pour vos comptes.
  • Vos images, vidéos ou messages texte sensibles sont en train de fuiter.
  • Vos amis reçoivent des messages suspects de votre part.
  • Des prêts contractés en votre nom.
  • Inscription à des programmes d'aide financière gouvernementaux

Même si vous ne remarquez aucune activité suspecte immédiate, gardez un œil sur vos comptes à long terme après une attaque de smishing. Une excellente façon de surveiller vos comptes financiers pour des irrégularités est de vérifier vos rapports de crédit.

La loi fédérale vous permet d'accéder à unrapport de crédit gratuit chaque année auprès d'un grand bureau de crédit. Cela équivaut à trois rapports gratuits par an. Et jusqu'en décembre 2023, tout le monde aux États-Unis peut accéder à un rapport de crédit gratuit chaque semaine auprès des trois bureaux.

Comment arrêter les textos smishing 

Après avoir déterminé qu'un message texte est frauduleux, vous pouvez le bloquer sur un téléphone iOS ou Android. Sur un iPhone, allez sur la page de contact et appuyez sur Bloquer cet appelant. Sur un téléphone Android, allez sur la page de contact et appuyez sur Bloquer le contact.

Les deux systèmes d'exploitation offrent également des filtres qui vous permettent de bloquer le spam et d'autres messages indésirables.

Comment filtrer les messages texte sur iPhone :

  1. Allez dans Paramètres.
  2. Appuyez sur Messages.
  3. Faites glisser le bouton à côté de Filtrer les expéditeurs inconnus.

Comment filtrer les messages texte sur Android :

  1. Allez dans Messages.
  2. Appuyez sur les trois points pour ouvrir Paramètres.
  3. Appuyez sur Numéros et messages bloqués.
  4. Activez Identification de l'appelant et protection contre le spam.

Votre opérateur mobile propose peut-être aussi des outils anti-smishing :

- Verizon

- AT&T

- T-Mobile

Comment se protéger du smishing 

Les attaques de smishing peuvent être complexes, utilisant un langage alarmiste, des pièces jointes malveillantes, des liens dangereux, et des sites frauduleux pour compromettre notre cybersécurité. Se protéger contre le smishing nécessite de la préparation sur plusieurs fronts.

Méfiez-vous des messages urgents 

Les messages de phishing peuvent sembler urgents pour vous empêcher de réfléchir clairement avant de réagir. La première chose que vous devez faire après avoir reçu un message urgent est de prendre une grande respiration. Évaluez la situation avant de répondre. Il est peu probable qu'une entité légitime vous demande des informations sensibles ou un paiement par message texte. Si vous avez des doutes, trouvez le numéro public de l'entité sur son site officiel et appelez-la directement.

Confirmer les numéros de téléphone 

Vérifiez l'identifiant de l'appelant. Cherchez le numéro sous l'identifiant et recherchez-le en ligne pour voir s'il correspond au contexte de l'appel.

Authentification multi-facteurs 

Activez l'authentification multi-facteurs (AMF) sur vos comptes pour les protéger des pirates qui pourraient avoir accès à vos identifiants de connexion. L'AMF oblige les utilisateurs à authentifier leur identité d'une autre manière lorsqu'il y a une activité suspecte lors d'une tentative de connexion.

Les attaques de smishing peuvent vous demander d'ouvrir de toute urgence un lien pour profiter d'une offre exceptionnelle ou pour payer des impôts à l'IRS et éviter une arrestation. Ces liens peuvent vous diriger vers des sites malveillants qui volent vos données de carte bancaire ou d'autres informations confidentielles. Il vaut mieux éviter de cliquer sur les liens dans les messages texte. Vérifiez plutôt la source du message.

Ne répondez pas aux numéros inconnus. 

Filtrer les appels peut vous protéger des attaques de smishing. Un message provenant d'un numéro inconnu pourrait faire partie d'une escroquerie.

Évitez de conserver les informations de votre carte de crédit sur votre téléphone. 

Évitez de stocker les données de votre carte de crédit sur votre téléphone sous forme de formulaires web, de fichiers texte ou même de captures d'écran. Une attaque de smishing qui installe un cheval de Troie ou un logiciel espion sur votre appareil pourrait facilement voler ces informations. Repérez les signes de logiciels malveillants de ce type d'attaque. De plus, utilisez un téléchargement gratuit d'antivirus pour scanner régulièrement votre système à la recherche de virus, rançongiciels, logiciels espions, publiciels et chevaux de Troie.

Appelez les banques avant d'agir suite à une demande bancaire. 

Il n'est pas rare que les banques vous envoient un SMS à propos d'achats récents et de plafonds de crédit. Mais il est peu probable que votre banque vous demande par SMS des informations sensibles pour un transfert. Appelez toujours votre banque pour vérifier toute demande par SMS ou email.

Évitez de partager des informations de mot de passe. 

Ne partagez jamais des noms d'utilisateur et des mots de passe par SMS, même si vous faites confiance à la source. Les pirates peuvent être capables de trouver ces informations dans le dossier des messages envoyés de votre appareil. 

Investir dans des solutions anti-malware 

Téléchargez un outil de cybersécurité pour votre téléphone afin de vous protéger contre différents types d'attaques. Par exemple, Malwarebytes pour Android protège les utilisateurs d'Android contre tous les types de logiciels malveillants. Il fournit également une protection contre les liens/sites web malveillants et le phishing aux utilisateurs. De même, Malwarebytes pour iOS protège les utilisateurs d'iPhone et d'iPad contre les logiciels malveillants, les appels indésirables, les publicités, les sites web frauduleux et les sites de phishing.

La montée en puissance du smishing 

Comme mentionné précédemment, il y a une hausse notable du phishing par SMS. Le smishing est un vecteur d'attaque facile pour les escrocs qui ciblent des millions de personnes communiquant par messages texte.

Les crimes de smishing peuvent entraîner divers problèmes de sécurité et de confidentialité, y compris le vol d'identité. Les experts disent que les conséquences du vol d'identité peuvent durer plusieurs années, allant de la perte de temps et d'argent, à une dette fiscale et un crédit endommagé, jusqu'à un casier judiciaire.

Une approche proactive de la cybersécurité peut prévenir les attaques de smishing. Traitez les messages texte suspects avec prudence et équipez votre appareil de logiciels de sécurité qui réduisent le risque d'une attaque par phishing.

À lire aussi : Qu'est-ce que la messagerie RCS ?