Dé­fi­ni­tion du smishing et meilleurs conseils pour lutter contre le phishing par SMS

Le terme « smishing » est composé de « SMS » et « phishing » (fr. « ha­me­çon­nage »). De manière similaire au phishing, les cy­ber­cri­mi­nels se font passer pour des re­pré­sen­tants d’une société ou d’une or­ga­ni­sa­tion digne de confiance. Dans le cadre du smishing, les pirates utilisent toutefois des SMS (Short Message Service) plutôt que des e-mails et envoient des messages textuels pour pousser leurs victimes à divulguer des in­for­ma­tions sur leur compte ou à installer sans le savoir des pro­grammes mal­veil­lants et des chevaux de Troie.

Même si cette dé­fi­ni­tion du smishing peut donner une im­pres­sion contraire, il n’est pas toujours simple d’iden­ti­fier un SMS de phishing. En appuyant sur des points sensibles, les cy­ber­cri­mi­nels jouent avec les émotions de la victime afin de l’inciter à prendre des décisions ir­ra­tion­nelles. Dans notre guide, nous vous pré­sen­tons la méthode de ces pirates. Nous vous ex­pli­quons à quoi ressemble gé­né­ra­le­ment un SMS de phishing et comment vérifier l’au­then­ti­cité de ce message.

Les smishers ont développé dif­fé­rentes approches pour obtenir des données des uti­li­sa­teurs de smart­phones. Le modèle de base reste toutefois le même : le fraudeur se présente comme le re­pré­sen­tant d’une en­tre­prise ou comme une con­nais­sance et raconte une histoire devant pousser la victime à divulguer des données per­son­nelles ou à té­lé­char­ger des logiciels mal­veil­lants. Cet élément détermine con­si­dé­ra­ble­ment le succès du smishing et est également appelé in­gé­nie­rie sociale. Le pirate essaie d’instaurer une relation de confiance par­ti­cu­lière et d’engager émo­tion­nel­le­ment la victime. Il cherche à donner à cette dernière le sentiment que suivre les ins­truc­tions du fraudeur et ne pas prendre les mesures de pré­cau­tion ha­bi­tuelles est exac­te­ment ce qu’il lui faut à ce moment précis.

Dans les pa­ra­graphes suivants, nous vous pré­sen­tons les prin­ci­paux com­po­sants et contenus de l’ha­me­çon­nage par SMS pour que vous puissiez vous faire une idée de la façon dont fonc­tion­nent ces SMS frau­du­leux et puissiez savoir à quoi faire attention pour vérifier l’au­then­ti­cité d’un message.

Ce grand classique du smishing consiste à envoyer un bref message écrit comme s’il provenait d’un ami. Il doit éveiller la curiosité et demander au des­ti­na­taire de cliquer sur le lien contenu dans le SMS. Lorsque vous cliquez sur le lien, un logiciel – qui permettra au pirate d’accéder au smart­phone – est au­to­ma­ti­que­ment té­lé­chargé en arrière-plan. Si le pirate est compétent, vous n’aurez ab­so­lu­ment pas cons­cience du té­lé­char­ge­ment et donc de la mise en danger de vos données per­son­nelles.

Dans le phishing par e-mail, qui est une méthode ap­pa­ren­tée, un e-mail fal­la­cieux renvoie les personnes à un site internet com­por­tant un for­mu­laire. Cette méthode existe également dans le smishing sous une forme détournée : les criminels incluent un lien renvoyant à un for­mu­laire dans le SMS envoyé. Lorsque vous saisissez vos données per­son­nelles dans ce for­mu­laire, elles sont di­rec­te­ment trans­mises au fraudeur. Cette technique de smishing est tout par­ti­cu­liè­re­ment appréciée des fraudeurs lorsqu’il s’agit d’accéder à des in­for­ma­tions sur un compte bancaire ou des données de carte de crédit. Dans le SMS, le pirate évoque gé­né­ra­le­ment un problème de sécurité qui nécessite que vous trans­met­tiez im­mé­dia­te­ment vos données.

Dans le cadre du spear smishing, les attaques sont dirigées sur les données d’une personne en par­ti­cu­lier. Pour ce faire, les hackers analysent par exemple les profils de la victime sur les réseaux sociaux et s’appuient sur ces in­for­ma­tions pour envoyer un SMS d’ha­me­çon­nage par­fai­te­ment adapté à la victime et contenant déjà des in­for­ma­tions per­son­nelles. De cette façon, le pirate peut augmenter con­si­dé­ra­ble­ment la cré­di­bi­lité de son spear phishing et voler ainsi des données à l’aide d’e-mails per­son­na­li­sés.

Le smishing est également utilisé pour rediriger les victimes vers la hotline supposée d’une en­tre­prise. Un SMS demande au des­ti­na­taire de prendre contact avec une hotline de service client au numéro indiqué. Une fois au bout du fil, le fraudeur essaie alors de soutirer des in­for­ma­tions à son in­ter­lo­cu­teur. Pour le fraudeur, l’avantage de cette méthode réside dans sa plus grande cré­di­bi­lité. De nom­breuses personnes se montrent méfiantes, à juste titre, quand elles doivent saisir des données per­son­nelles dans des for­mu­laires en ligne. Passer par une hotline té­lé­pho­nique donne une image plus sérieuse. Le vishing (voice phishing) est une méthode très similaire dans laquelle les criminels essaient d’accéder à des données sensibles à travers des appels VoIP di­rec­te­ment initiés.

En principe, le smishing consiste toujours à suggérer un problème ou un événement urgent qui nécessite une action immédiate de votre part. C’est pourquoi il est essentiel de ne pas agir dans la pré­ci­pi­ta­tion et de vérifier le SMS dans le détail. Nous avons rassemblé pour vous les prin­ci­paux critères vous per­met­tant de dis­tin­guer un véritable SMS d’un SMS d’ha­me­çon­nage. Dans ce cadre, il convient toujours de se poser la question suivante : le des­ti­na­taire et le contenu du SMS sont-ils au­then­tiques ?

Conseil 1 : vérifiez l’or­tho­graphe et la grammaire des SMS. Les cy­ber­cri­mi­nels opèrent souvent à l’in­ter­na­tio­nal et utilisent des outils de tra­duc­tion au­to­ma­tique. Dans de nombreux cas, vous pouvez iden­ti­fier une telle tra­duc­tion au contenu du message.

Conseil 2 : vérifiez le numéro de téléphone de l’ex­pé­di­teur afin de vous assurer qu’il ap­par­tient bien à l’en­tre­prise supposée. Notez toutefois qu’un numéro qui semble au­then­tique ne signifie pas né­ces­sai­re­ment que le SMS l’est aussi. Les pirates peuvent avoir recours au spoofing pour simuler un autre numéro.

Conseil 3 : demandez-vous dans quelles si­tua­tions un SMS constitue un moyen de com­mu­ni­ca­tion adapté. En cas de problème, votre banque ne vous con­tac­tera jamais par SMS et la pro­ba­bi­lité que l’on vous annonce que vous avez gagné à un jeu-concours par SMS est proche de zéro.

Conseil 4 : n’indiquez jamais vos in­for­ma­tions fi­nan­cières ou de paiement sur un site internet ou dans des for­mu­laires auxquels vous avez accédé depuis un SMS. Par ailleurs, ne cliquez jamais sur des liens d’ex­pé­di­teurs inconnus ou en qui vous n’avez pas confiance. Faites preuve d’une méfiance par­ti­cu­lière envers les messages tra­dui­sant un sentiment d’urgence.

Conseil 5 : installez un programme anti-virus sur votre smart­phone et effectuez ré­gu­liè­re­ment les mises à jour né­ces­saires. Même si un tel logiciel de sécurité ne constitue en aucun cas une pro­tec­tion in­fail­lible contre les in­fec­tions de votre smart­phone par des pro­grammes mal­veil­lants, il permet d’ajouter un niveau de sécurité sup­plé­men­taire dont vous ne devriez pas vous passer.