Smishing

Le smishing est un type d'attaque de cybersécurité qui se produit via les services de messages courts (SMS) - messages texte. Il peut s'appuyer sur l'ingénierie sociale, les pièces jointes malveillantes et les sites web frauduleux pour arnaquer les gens.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Qu'est-ce que le smishing? 

Le terme « smishing » peut sembler ridicule, mais la signification du smishing est moins amusante qu'elle n'y paraît. Une attaque de smishing est un type d' attaque de phishing qui utilise les messages texte comme vecteur d'attaque. Elle peut s'appuyer sur l'ingénierie sociale, les pièces jointes malveillantes et les sites frauduleux pour escroquer les gens.

Une escroquerie smishing peut être facile à exécuter, difficile à tracer et dangereuse dans ses conséquences. Une attaque de smishing réussie peut potentiellement exposer vos mots de passe, photos, vidéos et autres données sensibles à un escroc et servir de vecteur d'infection pour un logiciel malveillant déposé sur votre smartphone.

Chacun des milliards d'utilisateurs de smartphones dans le monde est une cible potentielle pour le smishing. Rien qu'aux États-Unis, la Federal Trade Commission a noté près de 400 000 plaintes concernant des textos non voulus, y compris des attaques de smishing en 2021. Les consommateurs ont signalé une perte de plus de 80 millions de dollars aux régulateurs la même année.

Ce guide vous aidera à éviter les attaques de smishing et à apprendre comment prévenir le smishing. Lisez la suite pour plus de détails sur les points suivants :

  • Définition du smishing : qu'est-ce qu'une attaque de smishing en cybersécurité ?
  • Exemples de smishing
  • Smishing vs phishing
  • Que faire en cas d'attaque de smishing
  • Comment se protéger du smishing

Définition et explication du smishing

Voici une définition rapide du smishing : le smishing est un type d'attaque de cybersécurité qui se produit via les services de messages courts (SMS), aussi connus sous le nom de textos. Certains experts peuvent également définir le smishing comme une attaque via n'importe quel type de message texte, et pas seulement les systèmes de messagerie texte natifs pour mobile, comme les messages sur les plateformes de médias sociaux.

Une manière plus simple de définir le smishing est de l'appeler un message texto de phishing. Cela amène à se poser la question : qu'est-ce que le phishing ? Eh bien, le phishing c'est quand un acteur de menace se fait passer pour une entité de confiance afin de tromper une cible en la poussant à commettre une erreur de cybersécurité, comme partager des informations confidentielles, généralement par email. Un message texto de phishing, aussi connu sous le nom de smishing, est du phishing par texto.

Qu'est-ce qu'une attaque de smishing ?

On parle d'attaque smishing lorsqu'un acteur de la menace utilise des messages textuels malveillants pour porter atteinte à la cybersécurité d'une cible. L'objectif d'une attaque smishing est généralement d'obtenir les informations confidentielles suivantes à des fins d'usurpation d'identité ou de délits financiers :

  • Noms
  • Adresses
  • Identifiants
  • Mots de passe
  • Numéros de cartes de crédit
  • Codes des cartes de crédit
  • Données bancaires

Une attaque de message texte de phishing peut également être hautement ciblée. Lorsqu'un acteur de menace connaît le numéro de téléphone d'une victime, il peut concevoir une attaque convaincante. Par exemple, si un escroc cible le numéro de téléphone mobile d'un cadre financier, il peut lancer une attaque de smishing qui semble provenir d'un contact commercial potentiel.

Vous pouvez consulter lesite phishing vs spear phishing vs whaling pour en savoir plus sur les différents types d'attaques d'ingénierie sociale qui utilisent les messages textuels comme vecteur de menace.

Comment fonctionne le smishing ? 

Comme le phishing, le smishing nous piège en nous faisant croire que des messages faux sont légitimes afin que nous interagissions avec eux sans nous inquiéter. Les attaques de smishing fonctionnent en utilisant certaines ou toutes les caractéristiques suivantes :

  • Contexte : Les textos de smishing utilisent le contexte pour paraître authentiques. Un texto de smishing peut sembler provenir de la banque, de votre détaillant préféré, ou de votre gouvernement. Par exemple, les arnaques smishing à thématique IRS qui volent des informations personnelles et financières augmentent parce qu'elles utilisent le contexte de manière efficace pour gagner la confiance d'une victime.
  • Sélection de la cible : Les victimes de smishing peuvent être sélectionnées en fonction des données démographiques et des affiliations locales. Par exemple, un gang d'extorqueurs pourrait envoyer de faux textos d'une institution financière populaire dans une certaine zone géographique, vers les numéros locaux. Alternativement, ils pourraient envoyer des textos d'hameçonnage d'une université à ses étudiants après avoir accédé à des numéros de téléphone.
  • Ingénierie sociale : Une attaque par ingénierie sociale manipule les émotions d'une cible, telles que la peur, l'amour, la luxure, l'avidité, la colère ou la sympathie, afin d'obscurcir son jugement. Par exemple, un message frauduleux semblant provenir d'un proche peut simuler une situation d'urgence pour inciter la victime à envoyer un transfert d'argent.
  • Pièces jointes malveillantes : Un message de phishing peut être accompagné d'une pièce jointe malveillante qui semble être une image, une vidéo ou un document, mais qui est un virus, un logiciel publicitaire, un logiciel espion, un cheval de Troie ou un rançongiciel.
  • Liens malveillants : Les attaques par smishing utilisent souvent des liens malveillants, des programmes malveillants ou des sites frauduleux.

L'Smishing fonctionne également en s'appuyant sur la simplicité des messages textuels. Vous pouvez repérer un courriel d'hameçonnage en surveillant les erreurs grammaticales, les fautes d'orthographe, les problèmes de formatage d'image, les adresses électroniques étranges et d'autres irrégularités. Mais les messages textuels sont généralement plus courts et ne comportent pas d'éléments graphiques tels que des logos d'entreprise.

Par exemple, un texte typique de votre banque peut être composé de quelques phrases et comporter un lien vers un détaillant ou un site financier. Contrairement à un courriel officiel, un tel texte est facile à falsifier.

Hackers sont moins susceptibles de faire des fautes de grammaire lorsqu'ils écrivent une ou deux phrases dans une attaque de smishing . De plus, ils n'ont pas à se soucier de reproduire des logos pour que les textes d'hameçonnage paraissent authentiques. Ils peuvent également utiliser des techniques d'usurpation de l'identité de l'appelant et des téléphones brûleurs pour brouiller les pistes.

Exemples de smishing : Différents types d'attaques de smishing 

  1. Vous avez gagné un concours ou un prix et devez le réclamer.
  2. Quelqu'un vous a envoyé un cadeau ou un coupon que vous devez activer.
  3. Votre institution financière doit confirmer vos informations.
  4. Un virement en attente sur votre compte nécessite votre autorisation.
  5. L'achat coûteux que vous avez effectué nécessite une vérification.
  6. Un virus a été détecté sur votre téléphone.
  7. Votre compte a été verrouillé en raison d'activités suspectes ou de tentatives de connexion inhabituelles.

Smishing vs phishing : Quelle est la différence entre le smishing et le phishing ? 

smishing

Le Smishing et le phishing peuvent sembler similaires, mais ils ne sont pas tout à fait pareils. Quelle est donc la différence entre le phishing et le smishing? La principale différence entre le smishing et le phishing réside dans le fait que smishing utilise le SMS comme moyen d'attaque, alors que le phishing est un terme générique qui désigne tout courriel, site web, message texte ou message vocal qui utilise la tromperie pour attaquer une cible. En d'autres termes, le smishing est un type d'attaque par hameçonnage qui se produit par le biais d'un message texte. L'objectif de ces deux attaques est de collecter vos informations personnelles en vue d'une activité frauduleuse. Voici donc ce que les deux méthodes ont en commun.

Que faire en cas d'attaque de smishing 

Signalez l'attaque 

La première chose à faire est de signaler l'attaque à l'autorité compétente avec le plus de détails possible. Par exemple, si vous êtes la cible d'une attaque smishing IRS, envoyez un email de l'attaque à phishing@irs.gov avec les détails suivants :

  • Numéro d'identification de l'appelant de phishing.
  • Une capture d'écran de l'attaque.
  • Une copie du message si vous ne pouvez pas prendre de capture d'écran.
  • La date, l'heure, le fuseau horaire et le numéro du destinataire.

D'autres organisations ont également été forcées de réagir à ces escroqueries. Par exemple, les banques et les entreprises de paiement comme PayPal ont ouvert des canaux de signalement pour le phishing. Si vous utilisez PayPal, apprenez à reconnaîtreles emails de phishing PayPal pour protéger votre compte. 

Changez tous vos mots de passe 

Si vous soupçonnez que vous êtes la cible d'une attaque de smishing, changez immédiatement tous vos mots de passe et NIPs. Votre nouveau mot de passe doit être complexe et unique. Vous pouvez lire notre guide pour apprendre comment créer un mot de passe fort.

Geler votre carte 

Un cybercriminel peut tenter d'utiliser votre carte de débit ou de crédit après avoir accédé à vos informations sensibles. Nous vous suggérons qu'après avoir changé vos mots de passe, vous géliez temporairement toutes vos cartes pour prévenir la fraude financière. Vous pouvez geler votre carte en vous connectant à votre compte de carte de crédit ou en appelant votre institution financière.

De plus, informez votre émetteur de carte de crédit de l'attaque de smishing. Ils pourraient désactiver votre carte et en émettre une nouvelle avec un jeu de chiffres différent.

Surveillez les activités futures 

Surveillez vos comptes pour les types d'activités suspectes suivants :

  • Transactions inconnues sur votre compte bancaire ou de carte de crédit.
  • Connexion depuis des lieux inhabituels pour vos comptes.
  • Vos images, vidéos ou messages texte sensibles sont en train de fuiter.
  • Vos amis reçoivent des messages suspects de votre part.
  • Des prêts contractés en votre nom.
  • Inscription à des programmes d'aide financière gouvernementaux

Même si vous ne remarquez aucune activité suspecte immédiate, gardez un œil sur vos comptes à long terme après une attaque de smishing. Une excellente façon de surveiller vos comptes financiers pour des irrégularités est de vérifier vos rapports de crédit.

La loi fédérale vous permet d'accéder à unrapport de crédit gratuit chaque année auprès d'un grand bureau de crédit. Cela équivaut à trois rapports gratuits par an. Et jusqu'en décembre 2023, tout le monde aux États-Unis peut accéder à un rapport de crédit gratuit chaque semaine auprès des trois bureaux.

Comment arrêter les textos smishing 

Après avoir déterminé qu'un texte est frauduleux, vous pouvez le bloquer sur un appareil iOS ou Android ou Android. Sur un iPhone, accédez à la page des contacts et touchez Bloquer cet appelant. Sur un téléphone Android , accédez à la page des contacts et touchez Bloquer le contact.

Les deux systèmes d'exploitation proposent également des filtres qui vous permettent de bloquer les spams et autres textes indésirables.

Comment filtrer les messages texte sur iPhone :

  1. Allez dans Paramètres.
  2. Appuyez sur Messages.
  3. Faites glisser le bouton à côté de Filtrer les expéditeurs inconnus.

Comment filtrer les messages texte sur Android :

  1. Allez dans Messages.
  2. Appuyez sur les trois points pour ouvrir Paramètres.
  3. Appuyez sur Numéros et messages bloqués.
  4. Activez Identification de l'appelant et protection contre le spam.

Votre opérateur mobile propose peut-être aussi des outils anti-smishing :

- Verizon

- AT&T

- T-Mobile

Comment se protéger du smishing 

Les attaques de smishing peuvent être complexes, utilisant un langage alarmiste, des pièces jointes malveillantes, des liens dangereux, et des sites frauduleux pour compromettre notre cybersécurité. Se protéger contre le smishing nécessite de la préparation sur plusieurs fronts.

Méfiez-vous des messages urgents 

Les messages d'hameçonnage peuvent sembler urgents pour vous empêcher de réfléchir clairement avant de réagir. La première chose à faire après avoir reçu un message urgent est de respirer profondément. Évaluez la situation avant de répondre. Il est peu probable qu'une entité légitime vous demande des informations sensibles ou un paiement par SMS. Si vous avez des doutes, recherchez le numéro public de l'entité sur son site web officiel et appelez-la directement.

Confirmer les numéros de téléphone 

Vérifiez l'identifiant de l'appelant. Cherchez le numéro sous l'identifiant et recherchez-le en ligne pour voir s'il correspond au contexte de l'appel.

Authentification multi-facteurs 

Activez l'authentification multifactorielle (AMF) sur vos comptes pour les protéger contre les hackers qui pourraient avoir accès à vos identifiants de connexion. L'authentification multifactorielle oblige les utilisateurs à authentifier leur identité d'une autre manière en cas d'activité suspecte lors d'une tentative de connexion.

Les attaques de smishing peuvent vous demander d'ouvrir de toute urgence un lien pour profiter d'une offre exceptionnelle ou pour payer des impôts à l'IRS et éviter une arrestation. Ces liens peuvent vous diriger vers des sites malveillants qui volent vos données de carte bancaire ou d'autres informations confidentielles. Il vaut mieux éviter de cliquer sur les liens dans les messages texte. Vérifiez plutôt la source du message.

Ne répondez pas aux numéros inconnus. 

Filtrer les appels peut vous protéger des attaques de smishing. Un message provenant d'un numéro inconnu pourrait faire partie d'une escroquerie.

Évitez de conserver les informations de votre carte de crédit sur votre téléphone. 

Évitez de stocker vos données de carte de crédit sur votre téléphone sous la forme de formulaires web, de fichiers texte ou même de captures d'écran. Une attaque smishing qui installe un cheval de Troie ou un logiciel espion sur votre appareil pourrait facilement voler ces informations. Repérez lessignes d' une telle attaque sur malware. En outre, utilisez unantivirus gratuit téléchargé sur pour analyser régulièrement votre système à la recherche de virus, de ransomwares, de spywares, d'adwares et de chevaux de Troie.

Appelez les banques avant d'agir suite à une demande bancaire. 

Il n'est pas rare que les banques vous envoient un SMS à propos d'achats récents et de plafonds de crédit. Mais il est peu probable que votre banque vous demande par SMS des informations sensibles pour un transfert. Appelez toujours votre banque pour vérifier toute demande par SMS ou email.

Évitez de partager des informations de mot de passe. 

Ne partagez jamais des noms d'utilisateur et des mots de passe par SMS, même si vous faites confiance à la source. Les pirates peuvent être capables de trouver ces informations dans le dossier des messages envoyés de votre appareil. 

Investir dans des solutions anti-malware 

Téléchargez un outil de cybersécurité pour votre téléphone afin de vous protéger contre différents types d'attaques. Par exemple, Malwarebytes pour Android protège les utilisateurs d'Android contre tous les types de logiciels malveillants. Il fournit également une protection contre les liens/sites web malveillants et le phishing. De même, Malwarebytes pour iOS protège les utilisateurs d'iPhone et d'iPad contre les logiciels malveillants, les appels de spam, les publicités, les sites web frauduleux et les sites de phishing.

La montée en puissance du smishing 

Comme mentionné précédemment, il y a une hausse notable du phishing par SMS. Le smishing est un vecteur d'attaque facile pour les escrocs qui ciblent des millions de personnes communiquant par messages texte.

Les crimes de smishing peuvent entraîner divers problèmes de sécurité et de confidentialité, y compris le vol d'identité. Les experts disent que les conséquences du vol d'identité peuvent durer plusieurs années, allant de la perte de temps et d'argent, à une dette fiscale et un crédit endommagé, jusqu'à un casier judiciaire.

Une approche proactive de la cybersécurité peut prévenir les attaques par smishing . Traitez les messages suspects avec prudence et équipez votre appareil d'un logiciel de sécurité qui atténue le risque d'une attaque par hameçonnage.

À lire aussi : Qu'est-ce que la messagerie RCS ?