7 exemples de smishing et ce qu’il faut faire pour y remédier

Rien qu’en 2020, on estime que 2,1 billions de SMS ont été échangés dans le monde, ce qui en fait l’une des méthodes de communication les plus omniprésentes. Malheureusement, cela signifie aussi que les hackers se sont emparés des SMS comme d’un nouveau moyen de mener des cyberattaques.

Le smishing est une attaque de phishing menée par textos. L’objectif du smishing est identique à celui des attaques par e-mail. Les hackers envoient automatiquement un lien frauduleux sur lequel cliquer à des milliers de numéros pour convaincre leurs victimes de divulguer des informations personnelles ou d’installer malware sur leurs appareils.

Les différents types de smishing sont davantage déterminés par le contexte et les victimes ciblés. Découvrez dans cet article, sept méthodes parmi les plus utilisées par les hackers pour commettre des attaques de smishing.

1. L’avis de livraison

Avec l’essor du commerce électronique, nombreux sont les clients à vouloir vérifier l’état d’avancement d’une livraison. Et comme la plupart des entreprises proposent désormais des mises à jour de livraison par SMS, les hackers s’inspirent de noms de domaine existant ou utilisent des URL raccourcies pour faire parvenir des liens frauduleux à leurs victimes. La victime reçoit alors par SMS un lien qu’elle croit légitime sans avoir vérifié au préalable l’URL fournie.

2. Les SMS d’institutions financières

Les institutions financières sont souvent utilisées par les hackers dans le cadre d’attaques de smishing, car les notifications concernant un manque de fonds ou des factures impayées requièrent une attention urgente. Stressée par le message, la victime cherchera à régler le problème rapidement en cliquant sur le lien frauduleux.

Pourtant, si les banques envoient des SMS à leurs clients, elles n’incluent jamais de liens. Il s’agira toujours d’un simple message décrivant vaguement la nature du problème avec une invitation à se connecter à son compte pour s’assurer que les clients utilisent le site légitime pour se connecter.

3. La participation à des concours

La plupart des gens identifient rapidement les messages indiquant un gain à un concours comme du spam, en particulier s’ils n’y participent jamais. Toutefois, les hackers sont à l’affût de concours permettant d’identifier les participants comme c’est le cas sur les réseaux sociaux. Les messages envoyés aux participants leur indiquant un gain peuvent facilement conduire au partage d’information personnelle ou à l’installation de malwares sur leurs appareils.

Il est donc important de se rappeler que tous les gains légitimes de concours sont généralement communiqués par e-mail, un moyen beaucoup plus facile de communiquer les informations nécessaires aux gagnants pour l’envoi du gain.

4. La réinitialisation du mot de passe

Avec l’augmentation des violations de mots de passe de plusieurs sites bien connus, de nombreux utilisateurs se tournent vers l’authentification à deux facteurs pour protéger leurs informations. Un engouement qui a toutefois donné naissance à un nouveau type de fraude avec laquelle les hackers utilisent les SMS pour voler les mots de passe.

Après avoir obtenu le numéro de téléphone et l’adresse électronique d’une victime, le hacker envoie un SMS de phishing à l’utilisateur pour l’informer que son compte a été piraté. En général, son adresse mail a été compromise. Le pirate utilise ensuite la fonction « J’ai oublié mon mot de passe » du site Web pour envoyer un code 2FA sur le téléphone de la victime.

Le message de smishing demande à l’utilisateur de donner au pirate le code qu’il a reçu par SMS pour sécuriser son compte. Au lieu de cela, le hacker utilisa le code pour prendre le contrôle du compte. Un code 2FA ne devrait jamais être donné à quiconque et devrait être utilisé uniquement pour se connecter. L’idéal est d’utiliser une application d’authentification, beaucoup plus sûre, car ne pouvant pas être falsifié.

 5. L’arnaque de la saison fiscale

La saison des impôts est riche en arnaques en tout genre. Une des plus courantes consiste à se faire passer pour un représentant de la Direction Générale des Finances Publiques via un SMS afin d’informer la victime d’un trop-perçu d’impôt et l’inviter à cliquer sur un lien pour obtenir le remboursement.

À l’inverse, les hackers peuvent convaincre leurs victimes qu’elles doivent de l’argent et les diriger vers un site web frauduleux, identique au vrai site de la DGFiP, pour payer le montant requis. Une fois encore, il est important de rappeler que la DGFiP ne contacte jamais les usagers de cette manière. Les paiements et remboursements d’impôts ne se font que par chèque ou virement bancaire. En outre, les notifications ne se font que par e-mail ou par lettre, jamais par SMS.

6. Fraude au Président

Tout le monde veut impressionner son supérieur. Alors, lorsque le PDG de l’entreprise envoie un SMS demandant instantanément de l’aider, il est normal de sauter sur l’occasion. C’est sur ce sentiment que s’appuient les hackers utilisant cette technique.

Dans le cadre de ces attaques, les SMS sont habilement rédigés pour créer un sentiment d’urgence et inciter l’utilisateur à accomplir une tâche immédiatement. Ils sont d’ailleurs souvent envoyés juste avant la fin de la journée de travail avant que la victime ne quitte le bureau. Il est important de rappeler que le PDG de l’entreprise utilisera toujours les canaux appropriés pour s’adresser à ses employés.

7. Le message ridicule

Si la plupart des escroqueries que nous avons mentionnées ici sont souvent bien conçues, certaines en sont à l’opposé. Pensez à la tristement célèbre fraude nigériane ou fraude 419, toujours accompagnée de revendications farfelues et truffée de fautes d’orthographe et de grammaire.

Conçues pour écarter les personnes qui ne se laisseraient pas prendre à ce type d’escroquerie, ces arnaques usent de la crédulité et de l’inexpérience des utilisateurs de messageries électroniques. Ces tentatives de smishing prétendent souvent être des membres de la famille disparus depuis longtemps et demandent de l’argent pour se sortir d’un mauvais pas.

Si vous n’êtes pas la cible de cette escroquerie, vos parents âgés peuvent en être la proie. Soyez toujours sur vos gardes s’ils vous disent devoir envoyer de l’argent à un oncle dont vous n’avez jamais entendu parler ou même s’ils mentionnent un nouvel ami.

Ignorer et passer à autre chose

La meilleure défense contre le smishing est ironiquement d’ignorer ces messages. Si quelque chose ne vous semble pas normal lorsque vous recevez un SMS, n’y répondez pas. N’oubliez pas que toutes les entités gouvernementales et les institutions financières vous contacteront par les voies officielles s’il y a vraiment un problème qui mérite votre attention.

En outre, ne donnez jamais à personne des informations telles que des mots de passe ou des codes 2FA, et saisissez-les vous-même, même si vous avez besoin de l’aide du support technique. Ces mesures sont relativement simples à respecter et vous protègent contre le smishing.