Les attaques de phishing deviennent de plus en plus ciblées – et sophistiquées ! De plus en plus de criminels ciblent les utilisateurs mobiles en envoyant du contenu malveillant via SMS. De quoi il s’agit et comment vous pouvez le mieux vous protéger contre cela – continuez simplement à lire.

Avez-vous déjà reçu un de ces SMS disant qu’un colis que vous auriez prétendument commandé ne pouvait pas être livré et que vous devriez télécharger l’application du fournisseur via le lien contenu dans le message pour finalement le recevoir ? Tu n’avais rien commandé… Si vous n’avez pas suivi les instructions de ce message, vous avez tout fait correctement ! C’est parce qu’il s’agit de ce qu’on appelle du smishing, c’est-à-dire du phishing via SMS. Et ce scénario n’est qu’un parmi tant d’autres.

Le phishing repensé et rendu mobile

Malgré les nombreux services de messagerie qui ont émergé comme des champignons ces dernières années, le SMS reste un type de conversation fréquemment utilisé sur le smartphone. Surtout en période de télétravail et de télétravail, où des appareils privés sont utilisés au quotidien, une grande partie de la communication se fait via des téléphones mobiles et est perçue comme largement sécurisée. C’est précisément cette hypothèse dont les criminels profitent. L’objectif des fraudeurs est d’utiliser des SMS trompeurs pour accéder à des données sensibles et à des informations précieuses.

Actuellement, les attaques de smishing peuvent être divisées en trois catégories différentes :

Distribution des logiciels malveillants

Le scénario décrit ci-dessus est l’un des nombreux et repose sur le classique phishing par email. Le lien dans le SMS mène à un site web où une application est disponible en téléchargement. Cela ressemble étrangement à ceux des fournisseurs de services de colis ou d’autres prestataires de services – voir Factbox – mais c’est un faux et contient un cheval de Troie bancaire. Elle est activée lors du téléchargement de l’application supposée et peut accéder ou utiliser toutes les données personnelles, telles que les numéros de téléphone, les adresses e-mail et les coordonnées bancaires après l’installation. De plus, l’accès peut ensuite envoyer d’autres SMS malveillants aux contacts du téléphone mobile – une réaction en chaîne aux conséquences fatales.

Les chevaux de Troie bancaires les plus répandus de ce type sont actuellement FluBot et TeaBot. Les appareils Android en particulier sont affectés par ce scénario d’attaque, car le système d’exploitation permet d’installer des applications à partir de sources inconnues.

Smishing bancaire

Les données d’accès pour la banque en ligne intéressent particulièrement les cybercriminels. La propagation de la peur est une méthode particulièrement populaire pour les hackers afin d’accéder aux dépôts d’argent de leurs victimes : ils envoient des SMS depuis la banque supposée de la victime avec l’information que le compte bancaire a été piraté et fournissent un numéro de téléphone ou un lien pour éviter d’autres dommages présumés. Le numéro de téléphone mène souvent directement aux criminels, le lien du message vers un faux site web. Dans les deux cas, les victimes doivent être persuadées de divulguer leurs données d’accès – pour ensuite découvrir un compte bancaire pillé. Souvent, le numéro de l’expéditeur peut être caché, de sorte que de nombreuses victimes ne peuvent pas savoir de quelle source provient le message.

Le tour du petit-enfant en SMS

Ce type de smishing touche principalement les personnes moins à l’aise avec la technologie. Dans ce cas, les escrocs prétendent être des connaissances de la victime – les noms sont souvent appris via les réseaux sociaux – et promettent un avantage financier si vous effectuez un dépôt à l’avance sur un certain compte bancaire.

Comment vous pouvez le mieux protéger vous-même et les autres contre les smishings

1. Ne cliquez sur aucun des liens et bloquez le numéro de téléphone de l’expéditeur. Si vous attendez réellement un envoi et que vous n’êtes pas sûr que le SMS de votre livreur de colis fonctionnera, contactez-le directement. Il en va de même pour votre compte bancaire : connectez-vous directement via le navigateur pour obtenir plus d’informations.
2. Utilisez uniquement des applications provenant de sources fiables, c’est-à-dire des boutiques officielles ou du site web du fournisseur, pour télécharger des applications.
3. Sur Android, il y a l’option de désactiver l’élément de menu « Installer des applications à partir de sources inconnues » dans les paramètres. C’est ainsi que vous vous protégez – ainsi que les autres.
4. Signalez l’incident de smishing au centre de conseils aux consommateurs. Cela vous protégera non seulement vous-même, mais aussi les autres.
   Si un tel incident se produit sur votre téléphone professionnel, informez-en les membres de votre organisation.
5. Sensibilisez-vous à ce type d’attaques : posez-vous la question de savoir si votre banque ou votre société de livraison de colis vous enverrait de tels messages. Auraient-ils même votre numéro de téléphone portable pour le faire ? Aucune banque n’appelle ses clients pour leur demander des informations personnelles par téléphone. Si vous recevez un appel de ce type, interrompez immédiatement la conversation.
6. Faites attention aux liens cryptiques et à l’orthographe dans le texte principal. Au final, ce qui suit s’applique toujours : mieux vaut prévenir que guérir….

Déjà compris – comment gérer les dégâts

1. Si vous soupçonnez avoir été victime d’une attaque par smishing, mettez votre téléphone portable en mode avion. Cela empêche que les logiciels malveillants ne soient envoyés à vos contacts.
2. Informez votre opérateur mobile de l’incident – et votre banque si vous avez déjà divulgué vos informations bancaires.
3. Réinitialisez votre smartphone aux paramètres d’usine pour effacer les données installées et sauvegardées.

Avez-vous d’autres questions sur le phishing ou souhaitez-vous savoir comment vous pouvez aussi rendre votre entreprise cybersécurisée ? Nos experts de Perseus Technologies prendront en charge vos préoccupations et seront heureux de vous conseiller plus en détail.