Smishing

Le smishing est une variante de l’hameçonnage qui prend la forme de messages textuels – SMS – envoyés sur les téléphones portables. Ces messages visent à inciter les victimes potentielles à cliquer sur un lien et à envoyer ainsi des informations sensibles aux pirates, à télécharger des logiciels malveillants ou à tomber dans une escroquerie classique.

Que signifie le smishing en détail ?

Le SMS est encore un mode de conversation très utilisé sur les smartphones et est perçu comme largement sécurisé. C’est justement cette présomption que les criminels exploitent pour obtenir des informations sensibles ou installer des logiciels malveillants et s’enrichir aux dépens des victimes. Les variantes suivantes sont fréquemment observées :

• Diffusion de logiciels malveillants : cette variante ressemble à l’e-mail d’hameçonnage classique. Les victimes reçoivent un message texte contenant un lien et sont incitées à cliquer dessus. L’une des astuces préférées des malfaiteurs est de se faire passer dans le SMS pour un prestataire de services connu – par exemple DPD, Amazon, etc. – et d’informer sur l’endroit où se trouve un envoi. Le lien dans le SMS mène à un site web sur lequel une application est disponible au téléchargement. Celle-ci ressemble à s’y méprendre à celle des prestataires de services, mais elle est fausse et contient un cheval de Troie bancaire. Il est activé lors du téléchargement de la prétendue application et peut, une fois installé, accéder à toutes les données personnelles, telles que les numéros de téléphone, les adresses e-mail et les données bancaires, ou les utiliser. De plus, l’accès peut ensuite envoyer d’autres SMS malveillants aux contacts du téléphone portable – une réaction en chaîne aux conséquences fatales.
  Les terminaux Android sont particulièrement concernés par ce scénario d’attaque, car le système d’exploitation permet d’installer des applications provenant de sources inconnues.

• Smishing bancaire: les données d’accès aux services bancaires en ligne sont particulièrement intéressantes pour les cybercriminels afin de voler des sommes d’argent. Par exemple, les pirates envoient un SMS de la banque présumée de la victime. Ce message contient l’information que le compte bancaire a été piraté et fournit un numéro de téléphone ou un lien afin d’éviter d’autres dommages supposés. Le numéro de téléphone mène souvent directement aux criminels, tandis que le lien dans le message renvoie à un faux site web. Dans les deux cas, l’objectif est d’inciter les victimes à fournir leurs données d’accès – pour ensuite se retrouver avec un compte bancaire pillé. Souvent, le numéro de l’expéditeur est masqué, de sorte que de nombreuses victimes ne peuvent pas savoir d’où provient le message texte.

Où est-ce que je rencontre le smishing dans mon travail quotidien ?

Vous pouvez être confronté à l’usurpation d’identité si vous utilisez un téléphone portable à des fins professionnelles, qu’il s’agisse d’un téléphone personnel ou d’un téléphone professionnel.

Que puis-je faire pour améliorer ma sécurité ?

• Faites attention aux liens cryptés, à l’orthographe ou aux caractères spéciaux dans les messages texte. S’ils se multiplient de manière suspecte dans un message, ne cliquez sur aucun des liens qu’il contient et bloquez le numéro de téléphone de l’expéditeur. Si vous recevez un SMS au nom d’un livreur de colis ou de votre banque, connectez-vous sur le site officiel de l’opérateur pour vérifier les messages qui vous sont destinés.
• N’utilisez que des applications provenant de sources légitimes, c’est-à-dire des app stores officiels ou du site web du fournisseur, pour télécharger des applications. Sur Android, il est possible de désactiver l’option « Installer des applications provenant de sources inconnues » dans les paramètres.
• Informez les membres de votre organisation afin qu’ils soient avertis en conséquence et qu’ils soient attentifs aux messages texte suspects.
• Signalez l’incident de smishing à l’association de consommateurs. Vous vous protégerez ainsi vous-même et les autres.
• Sensibilisez-vous à ce type d’attaques : posez-vous la question de savoir si votre banque ou votre société de livraison de colis vous enverrait de tels messages. Auraient-ils même votre numéro de téléphone portable pour le faire ? Aucune banque n’appelle ses clients pour leur demander des informations personnelles par téléphone. Si vous recevez un appel de ce type, interrompez immédiatement la conversation.