Qu’est-ce que le smishing ?
Le smishing (l’hameçonnage par SMS) est un cybercrime ayant pour but de dérober des informations personnelles et corporatives confidentielles via l’utilisation de SMS.
Dans ce type de fraude, les cybercriminels transmettent à leurs victimes des SMSs rédigés avec soin, les incitant à répondre ou à passer à l’action. Le message peut, par exemple, demander à la victime de confirmer la livraison d’une commande passée sur Amazon ou encore de cliquer sur un lien pour compléter l’inscription à un nouveau programme gouvernemental.
Le but ultime de toute tactique d'hameçonnage reste le même : voler des informations confidentielles.
Le Hub de Cybersécurité
Inscrivez-vous dès maintenant et accéder à du contenu de sensibilisation à la cybersécurité attrayant et partageable, disponible en plusieurs formats.
Bien qu’il ne soit pas aussi médiatisé que le phishing et l’ingénierie sociale, le smishing cause des millions de dollars de pertes aux organisations du monde entier. Selon le Centre de plaintes pour les crimes sur Internet du FBI, le smishing faisait partie des principales catégories de crimes par nombre de victimes, avec plus de 240 000 incidents individuels rapportés. Ce pic de fraudes aurait entraîné des pertes de plus de 50 millions $ pour les organisations américaines seulement — un chiffre qui devrait augmenter significativement dans les années à venir. En effet, quatre fois plus de SMS que d’emails sont envoyés chaque jour via des téléphones portables.
À cela s’ajoute le fait que les ventes de smartphones continuent de croître de manière exponentielle année après année, laissant présager que la cybermenace ne fera que gagner en importance au cours de la prochaine décennie. Et alors que nous vivons une transformation numérique sans précédent dont l’impact se fait sentir sur de nombreux secteurs d’activité autour du globe, toutes les organisations auront à renforcer leurs initiatives en sensibilisation à l’hameçonnage en proposant notamment des simulations et des formations actualisées et multidimensionnelles.
Pour plus d’information sur le dernier benchmark sur l’hameçonnage issue du Gone Phishing Tournament, ainsi que pour des conseils d’experts sur les façons de minimiser les risques liés au phishing et au smishing, téléchargez votre copie gratuite du rapport.
Le smishing repose sur l’ingénierie sociale
Le SMS, rédigé sur un ton urgent, peut menacer la victime de conséquences graves si elle refuse d’agir ou la convaincre qu’elle aide l’expéditeur en fournissant les renseignements demandés.
Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale est une technique utilisée par les cybercriminels pour inciter des individus à partager leurs informations confidentielles. Elle repose sur l’instinct des êtres humains à faire confiance et à vouloir aider leur prochain pour dérober des informations personnelles et corporatives, qui peuvent ensuite être utilisées pour commettre d’autres cybercrimes.
Comment le smishing se produit-il ?
Le smishing survient lorsqu’une victime répond favorablement à la demande contenue dans le message reçu. Et pour parvenir à ses fins, le cybercriminel sait motiver ses victimes par un langage persuasif misant sur l’urgence ou la perte d’une opportunité tel que « Agissez maintenant », « Urgent ! » ou « Ne ratez pas cette chance ! ».
L’être humain étant curieux de nature, beaucoup se laisseront duper pour en savoir plus sur la récompense promise, la livraison inattendue d’un colis ou encore le nouveau programme d’aide financière du gouvernement. En règle générale, les victimes de smishing répondent instantanément, sans prendre le temps de lire le message attentivement. Les cybercriminels profitent de leur distraction pour les prendre au dépourvu. Elles passent ainsi à côté des indices qui leur permettraient d’identifier la fraude.
1. La tactique du faux lien
L’expéditeur du SMS prétend représenter une entreprise réelle et joint un lien qui ressemble à la véritable adresse URL de cette entreprise. Il demande alors au destinataire de cliquer sur le lien afin d’accomplir une action : mettre à jour des renseignements personnels, confirmer la livraison d’un colis ou participer à un tirage.
2. Le vishing (hameçonnage par téléphone)
Cette méthode consiste à faire parvenir à la victime un SMS l’invitant à rappeler l’expéditeur. Dans ce genre de fraude, le SMS semble souvent provenir d’une organisation gouvernementale ou municipale et a pour but de convaincre la victime d’appeler immédiatement pour éviter des conséquences graves. Lorsque la victime appelle le numéro, elle parle avec une personne aimable et rassurante, semblant avoir la légitimité pour traiter le problème. La victime croit ainsi qu’elle a bien agi en partageant les informations demandées.
3. Le malware
Dans ce cas, le SMS contient un lien vers un fichier exécutable, qui installe un logiciel malveillant sur l’appareil mobile de la victime lorsque celle-ci clique dessus. Généralement, les cybercriminels installent un cheval de Troie qui va ensuite capturer et enregistrer la frappe sur le clavier, permettant de dérober des mots de passe, des listes de contacts, des informations bancaires, etc.
4. Le spear phishing ou le harponnage par SMS
Ce type d’hameçonnage par exige plus de travail et de recherche de la part du cybercriminel. En effet, pour pouvoir piéger sa victime, celui-ci doit recueillir des renseignements la concernant sur les médias sociaux, comme Facebook et LinkedIn. Il les utilise ensuite pour lancer une attaque ciblée et spécifique, semblant légitime. En raison de la nature personnelle du SMS, la victime ne se méfie pas et répond sans hésiter.
Quelles sont les différences entre le smishing, le vishing et le phishing ?
Bien que le smishing, l’hameçonnage vocal misent sur l’ingénierie sociale pour amener les victimes à agir, il existe quelques différences majeures entre ces techniques de cyberattaque.
Le smishing
Utilise des SMS pour dérober des informations qui serviront à commettre d’autres cybercrimes.
Le vishing
Utilise des appels et des messages vocaux intimidants pour voler les victimes et les convaincre de partager des renseignements personnels.
Le phishing
Comprends un vaste éventail de stratégies d’attaque, comprenant des mails, des SMS, des appels vocaux et des faux sites Web pour récolter des informations confidentielles. Le smishing et le vishing sont donc tous deux des types de phishing.
Comment prévenir les attaques de smishing
1. Informez vos employés des risques que peuvent représenter les SMS. Utilisez des formations en sensibilisation à la sécurité et des simulations d’hameçonnage réalistes pour éduquer les employés.
2. Rappelez aux employés de ne jamais répondre ou cliquer sur un lien contenu dans un SMS provenant d’un expéditeur et d’un numéro de téléphone inconnu. Les employés devraient bloquer le contact et supprimer le SMS de leur appareil.
3. Lancez des campagnes de sensibilisation à la sécurité pour alerter les employés sur l’ingénierie sociale et les informer des stratégies utilisées par les cybercriminels pour obtenir la coopération de leur victime.
4. Demandez aux leaders en sécurité et aux employés formés en sensibilisation de votre organisation d’évaluer régulièrement la sensibilisation des employés à le smishing. Précisez aux employés qu’ils doivent lire chaque message reçu avec attention et qu’en cas de doute, ils ne doivent pas y répondre.
5. Utilisez la formation en sensibilisation à la sécurité et les simulations pour amener les employés à prendre conscience du risque que représente le fait de cliquer sur des liens et de télécharger des pièces jointes dans un SMS. Profitez des formations qui utilisent la ludification (gamification) et des modules d’apprentissage éclair pour offrir une formation interactive et engageante.
6. Installez des logiciels de protection contre les maliciels et les virus sur les appareils mobiles de tous les employés. Cette mesure est particulièrement importante pour les entreprises qui fonctionnent en mode hybride ou à distance.
7. Prévoyez des campagnes de communication et de sensibilisation régulières en continu sur l’hameçonnage, l’ingénierie sociale et la cybersécurité. Répétez aux employés qu’ils ne devraient jamais cliquer sur un lien provenant d’un expéditeur inconnu ni lui répondre.
À éviter lors de la réception d’un SMS d’hameçonnage
- Ne PAS répondre au message
- Ne PAS appeler le numéro de téléphone de l’expéditeur
- Ne PAS cliquer sur des liens
- Ne PAS envoyer un SMS ARRÊT (STOP)
Une simulation d’hameçonnage est la meilleure façon de sensibiliser les utilisateurs sur les risques posés par l’hameçonnage. Souvenez-vous que le smishing est un type d’hameçonnage et que bien souvent, les cybercriminels utilisent différentes tactiques simultanément.
Les simulations d’hameçonnage aident d’une part à identifier les employés qui sont les plus à risque d’être victime de cyberattaques par SMS et par mails. Accompagnées de formation en sensibilisation à la sécurité, les simulations d’hameçonnage contribuent à la compréhension des mécanismes de le smishing et permettent ainsi d’augmenter les niveaux d’alertes de vos employés face aux menaces de cybersécurité.
Co-présenté par
Comparez votre taux de clics avec celui de vos pairs!
Réservez le rapport du Gone Phishing Tournament 2021 dès maintenant
Comment les simulations peuvent-elles aider à prévenir les attaques de smishing ?
Les simulations d’hameçonnage aident vos employés à comprendre comment les cybercriminels utilisent les SMS pour dérober des informations personnelles et commettre des cybercrimes. Elles permettent donc de :
1. Augmenter les niveaux d’alerte à l’égard du langage utilisé par les cybercriminels dans les SMS.
2. Changer le comportement humain pour éliminer le réflexe de confiance automatique.
3. Créer de la sensibilisation pour réduire le niveau des cybermenaces.
4. Mesurer et surveiller le degré de vulnérabilité de l’entreprise et des employés.
5. Déployer des solutions ciblées pour lutter contre le smishing.
6. Évaluer l’efficacité de la formation en sensibilisation à la cybersécurité.
7. Maintenir un niveau élevé de vigilance face à le smishing parmi les employés.
8. Protéger les informations corporatives et personnelles confidentielles.
9. Instaurer une culture de cybersécurité au sein de l’entreprise et former des héros de la cybersécurité.
10. Répondre aux exigences de l’industrie en matière de formation en sécurité.
Pour en apprendre davantage sur le smishing et sur comment garder vos employés et votre organisation en cybersécurité, consultez ces ressources gratuites sur la sensibilisation à la cybersécurité :
Contactez nous au 1-866-889-5806 ou sur [email protected] pour en apprendre d'avantage sur la façon de protéger votre organisation contre le smishing.
Terranova Security s'engage à fournir une formation centrée sur les personnes qui sensibilise votre entreprise à la cybersécurité.