Le smishing – contraction des termes SMS et phishing – n’arrive pas par e-mail ou par messages directs sur les réseaux sociaux. Il suit un chemin direct : celui de votre téléphone portable. Le concept est simple : il s’agit d’une technique d’ingénierie sociale qui utilise des SMS pour tromper les victimes et les inciter à
- divulguer des informations sensibles ou
- à effectuer des actions nuisibles.
Le smishing est considéré comme une arnaque récente, mais ce n’est pas le cas : il s’agit en réalité d’une menace informatique qui existe depuis plusieurs années. L’augmentation des livraisons à domicile n’a fait que renforcer sa popularité. Et la diffusion de cette option typique du social engineering peut également devenir un problème au niveau des entreprises. Voici comment vous pouvez vous protéger contre les cybercriminels en suivant également les informations du Garante della Privacy (Commission nationale italienne pour la protection des données personnelles).
Qu’est-ce que le smishing, une définition
Commençons par une explication de base : le smishing est une arnaque qui se fait par SMS et qui fait partie du grand circuit du social engineering. Tout comme le phishing et le vishing, cette option vise également à manipuler les destinataires des messages afin qu’ils commettent des actions malveillantes. Seulement, dans ce cas, l’outil utilisé pour véhiculer la menace est le SMS. Autrement dit, les messages que vous recevez sur votre téléphone portable.
Comment fonctionne cette arnaque ?
L’objectif des criminels, comme pour tout système basé sur le phishing, est d’obtenir des informations personnelles importantes de la victime, en utilisant l’identité d’organismes ou d’entreprises faisant autorité, tels que des banques, des ministères ou de grandes entreprises. Souvent, l’objectif du SMS phishing est d’obtenir un mot de passe ou les détails d’une carte bancaire.
Les fraudeurs envoient des SMS présentant un problème à résoudre : un colis bloqué, une facture impayée ou un compte nécessitant une action spécifique. L’invitation envoyée à de grandes bases de données de numéros de téléphone volés consiste à résoudre un problème urgent. Peut-être en suivant un lien.
Cette action conduit à deux scénarios possibles. Dans le premier, vous donnez accès à un logiciel malveillant qui se fait passer pour une application légitime d’un service quelconque. Dans le second cas, vous atterrissez sur un site qui se fait passer pour un portail officiel et vous incite à saisir des données importantes. Le résultat pour la victime est le même dans les deux cas : une perte d’argent, souvent assez tangible : des milliers de dollars, d’euros ou de livres sterling sont volés aux personnes.
Principales caractéristiques techniques :
Le danger du smishing provient de la plus grande confiance que les utilisateurs accordent aux SMS par rapport aux e-mails et de la capacité limitée à vérifier les sources sur les appareils mobiles. C’est pourquoi le concept d’envoi de logiciels malveillants par SMS via le smishing repose principalement sur l’usurpation de l’identité de l’expéditeur. Il s’agit de la manipulation de l’identifiant de l’expéditeur afin de faire apparaître le message comme provenant de sources légitimes.
De plus, une URL sera raccourcie ou masquée grâce à des services de raccourcissement ou à des domaines similaires à ceux légitimes afin de dissimuler la destination réelle. À tout cela s’ajoutent les éléments typiques de l’ingénierie sociale qui exploitent l’urgence, la peur ou la curiosité pour inciter à une action immédiate.
Comment reconnaître les attaques de smishing
Les menaces de smishing ont des caractéristiques communes qui vous permettent d’éviter les principaux risques. Bien sûr, il faut de l’expérience et une formation pour reconnaître les cas d’escroquerie par téléphone, mais les points essentiels figurent dans cette liste où vous trouverez les signes typiques d’un SMS de smishing.
Messages envoyés à un moment inhabituel
La plupart des commerces sont ouverts entre 8 h et 18 h, donc si vous recevez des messages d’une organisation qui se fait passer pour légitime tard dans la nuit ou très tôt le matin, vous pouvez vous méfier de cet envoi. Il en va de même pour le vishing, le phishing vocal par téléphone.
Faites attention au lien de référence
L’élément à vérifier pour éviter les escroqueries liées au smishing : le lien sur lequel on vous demande de cliquer est-il fiable ? Vérifiez toujours attentivement les réponses et assurez-vous que le lien hypertexte est lié à un domaine réel : méfiez-vous des liens raccourcis, qui ne vous permettent pas de voir le domaine. S’il ne s’agit pas d’un lien court, vérifiez s’il y a des fautes d’orthographe dans le domaine principal et dans l’extension.
Le message semble urgent
Très probablement, votre banque vous appellera directement en cas de demandes importantes. Il en va de même pour d’autres institutions telles que la Poste ou l’Agence des impôts. Si vous recevez un message urgent par SMS, appelez le standard pour vérifier s’il y a un problème.
Fautes d’orthographe et de grammaire
Les organisations et institutions d’un certain niveau engagent des éditeurs et des rédacteurs pour leurs communications officielles. Vérifiez le SMS reçu : s’il contient des fautes d’orthographe ou de grammaire, il s’agit très probablement d’une arnaque.
Types d’attaques de smishing
Comment prévenir le smishing ? Tout d’abord, vous devez connaître les caractéristiques de ces attaques. Il existe différents types de SMS de smishing avec des messages qui prétendent provenir d’une agence gouvernementale ou d’une autre organisation respectable. En réalité, ils véhiculent des liens appâts alimentés par la peur et la désinformation. Comment vérifier ces éléments ? En connaissant les différents types de smishing.
Gift smishing
Un type d’arnaque par hameçonnage qui envoie des messages aux victimes. Le contenu : il affirme que le destinataire a gagné un cadeau et l’invite à suivre le lien. Après avoir cliqué sur le lien, le logiciel malveillant est téléchargé sur l’ordinateur. Parfois, les cybercriminels exploitent l’usurpation d’identité de cadres supérieurs et envoient des messages qui se font passer pour des cadres afin de demander des actions spécifiques grâce à leur niveau de crédibilité et d’autorité supérieur.
Factures et commandes
Une entreprise envoie une facture ou une confirmation de commande par SMS. Un utilisateur saisit ses informations de paiement sur un faux site lorsqu’il clique sur un lien dans un message. L’objectif est de forcer l’utilisateur à télécharger un logiciel malveillant sur son appareil.
Arnaque d’urgence
Il n’y a pas que les notifications de gains fictifs qui demandent des données personnelles ou des paiements pour percevoir des prix inexistants. Souvent, le smishing se manifeste par des messages qui simulent des urgences de la part de membres de la famille ou d’amis afin d’obtenir des transferts d’argent immédiats.
Smishing financier
Les messages sont envoyés aux utilisateurs par leurs banques ou sociétés de cartes de crédit, les avertissant d’activités suspectes sur leurs comptes. Ils pensent vérifier leurs comptes, mais téléchargent en réalité des logiciels malveillants sur leurs appareils. Les faux rabais sur les factures d’électricité, d’eau et de gaz font également partie de ce type d’attaque.
Smishing postal
Les colis périmés/en retard représentent une énorme opportunité pour les fraudeurs. Avec autant d’achats en ligne chaque jour, il est très difficile de garder une trace de tout ce qui entre dans la maison. La combinaison de services de livraison connus et de fausses notifications de frais d’expédition est la clé du succès du smishing.
Comment prévenir le smishing
Anticiper le smishing, tout comme le whaling ou le spear phishing, peut être difficile à gérer car les messages malveillants sont parfois difficiles à identifier. Mais il existe des techniques pour éviter le pire, même au niveau de l’entreprise. Voici quelques conseils utiles.
Méfiez-vous des liens envoyés par SMS
La règle fondamentale pour éviter de tomber dans le piège : ne suivez jamais les liens contenus dans des SMS que vous ne reconnaissez pas ou que vous n’avez pas demandés. La seule exception est la récupération de compte par SMS, que vous avez vous-même demandée. Le reste pourrait être du piratage de compte : des messages qui usurpent l’identité de services populaires (Google, Apple, Microsoft) et demandent une confirmation de mot de passe pour des accès ou des mises à jour prétendument non autorisés.
Si vous recevez un message au contenu douteux, peut-être avec un contournement de l’authentification à deux facteurs qui demande des codes de vérification 2FA en se faisant passer pour des procédures de sécurité légitimes, entrez dans la recherche Google le numéro de téléphone d’où provient le message. Il figure peut-être dans les bases de données des expéditeurs frauduleux.
BYOD (Bring Your Own Device)
Le modèle de gestion des terminaux connu sous le nom de BYOD étend la sécurité de l’entreprise aux appareils qui ne sont pas directement contrôlés par l’organisation. Si vous souhaitez que vos employés utilisent leurs propres appareils, y compris leurs smartphones, pour travailler dans l’entreprise, vous devez mettre en place des contrôles de sécurité et des politiques d’accès avec une vérification de conformité automatique qui inclut le niveau des correctifs, l’antivirus et la détection des jailbreaks.
Restez calme, toujours
Les dommages apparaissent lorsque la pression liée à l’urgence – action typique d’ingénierie sociale – se fait sentir. N’appelez jamais le numéro de téléphone indiqué dans un message suspect. Si ce message provient, par exemple, de votre banque ou de l’INPS, appelez le numéro que vous connaissez ou que vous trouvez sur une source fiable.
Lorsque vous recevez un message qui met vos émotions sous pression, n’agissez pas immédiatement. Calmez-vous et faites le point sur la situation : il peut s’agir de cas de smishing bancaire qui simulent des communications bancaires en demandant un identifiant ou un code PIN pour de prétendues vérifications de sécurité.
Vérifiez les informations
Souvent, ces messages ne sont pas ciblés, parfois le destinataire du SMS frauduleux n’a pas de compte auprès du service en question, mais cela ne pose pas nécessairement de problème à l’expéditeur. Les messages sont envoyés en masse et le fraudeur s’attend à un petit nombre de réponses provenant du réseau étendu. Les profits illicites cumulés provenant des personnes qui sont tombées dans le piège ont probablement largement compensé les coûts initiaux.
Utilisez un VPN
Les réseaux privés virtuels vous permettent de masquer votre adresse IP et d’empêcher des étrangers de voir votre véritable emplacement et vos activités sur le web, même sur votre téléphone. Cela peut vous aider à identifier les messages de smishing, surtout si vous recevez un message faisant référence à la mauvaise position fournie par le VPN.
Comment agir au niveau de l’entreprise ?
Comme indiqué précédemment, les entreprises doivent également apprendre à gérer les menaces liées au smishing. Le premier point à souligner est celui de la sensibilisation : il faut informer les clients et les employés sur la manière de reconnaître les SMS légitimes et ceux qui ne le sont pas. Il faut ensuite veiller à ce que, si des personnes sont trompées, l’infrastructure informatique réagisse de la meilleure façon possible.
À cet égard, nous pouvons vous aider à gérer tous les aspects liés à la cybersécurité, tels que l’activation d’un système de détection et de réponse gérées et d’un SOC (Security Operation Center).