Rien qu’en 2020, on estime que 2,1 billions de messages textes ont été échangés dans le monde, ce qui en fait l’une des méthodes de communication les plus omniprésentes. Malheureusement, cela signifie aussi que les cybercriminels se sont emparés des messages textes comme d’un nouveau moyen de mener des cyberattaques.
L’hameçonnage par message texte ou smishing est une attaque d’hameçonnage au même titre que les attaques par courriel. Les pirates envoient automatiquement des liens frauduleux sur lesquels cliquer à des milliers de numéros pour convaincre leurs victimes de divulguer des informations personnelles ou d’installer un logiciel malveillant sur leurs appareils.
Les différents types d’hameçonnage par message texte sont davantage déterminés par le contexte et les victimes ciblés. Découvrez dans cet article, sept méthodes parmi les plus utilisées par les cybercriminels pour commettre des attaques d’hameçonnage par message texte.
1. L’avis de livraison
Avec l’essor du commerce électronique, nombreux sont les clients à vouloir vérifier l’état d’avancement d’une livraison. Et comme la plupart des entreprises proposent désormais des mises à jour de livraison par message texte, les pirates s’inspirent de noms de domaine existant ou utilisent des URL raccourcies pour faire parvenir des liens frauduleux à leurs victimes. La victime reçoit alors par message texte un lien qu’elle croit légitime sans avoir vérifié au préalable l’URL fournie.
2. Les messages textes d’institutions financières
Les institutions financières sont souvent utilisées par les cybercriminels dans le cadre d’attaques d’hameçonnage par message texte, car les notifications concernant un manque de fonds ou des factures impayées requièrent une attention urgente. Stressée par le message, la victime cherchera à régler le problème rapidement en cliquant sur le lien frauduleux.
Pourtant, si les banques envoient des messages textes à leurs clients, elles n’incluent jamais de liens. Il s’agira toujours d’un simple message décrivant vaguement la nature du problème avec une invitation à se connecter à son compte pour s’assurer que les clients utilisent le site légitime pour se connecter.
3. La participation à des concours
La plupart des gens identifient rapidement les messages indiquant un gain à un concours comme du spam, en particulier s’ils n’y participent jamais. Toutefois, les pirates sont à l’affût de concours permettant d’identifier les participants comme c’est le cas sur les réseaux sociaux. Les messages envoyés aux participants leur indiquant un gain peuvent facilement conduire au partage d’information personnelle ou à l’installation de logiciels malveillants sur leurs appareils.
Il est donc important de se rappeler que tous les gains légitimes de concours sont généralement communiqués par courriel, un moyen beaucoup plus facile de communiquer les informations nécessaires aux gagnants pour l’envoi du gain.
4. La réinitialisation du mot de passe
Avec l’augmentation des violations de mots de passe de plusieurs sites bien connus, de nombreux utilisateurs se tournent vers l’authentification à deux facteurs pour protéger leurs informations. Un engouement qui a toutefois donné naissance à un nouveau type de fraude avec laquelle les pirates utilisent les messages textes pour voler les mots de passe.
Après avoir obtenu le numéro de téléphone et l’adresse courriel d’une victime, le pirate envoie un message texte d’hameçonnage à l’utilisateur pour l’informer que son compte a été piraté. En général, son adresse courriel a été compromise. Le pirate utilise ensuite la fonction « J’ai oublié mon mot de passe » du site Web pour envoyer un code 2FA sur le téléphone de la victime.
Le message d’hameçonnage par message texte demande à l’utilisateur de donner au cybercriminel le code qu’il a reçu par message texte pour sécuriser son compte. Au lieu de cela, il utilisera le code pour prendre le contrôle du compte. Un code 2FA ne devrait jamais être donné à quiconque et devrait être utilisé uniquement pour se connecter. L’idéal est d’utiliser une application d’authentification, beaucoup plus sûre, car ne pouvant pas être falsifié.
5. L’arnaque de la saison fiscale
La saison des impôts est riche en arnaques en tout genre. Une des plus courantes consiste à convaincre les victimes qu’elles doivent de l’argent après avoir soumis leur déclaration d’impôt. Elles sont alors redirigées vers un site Web frauduleux afin de payer le montant requis. À l’inverse, une autre tactique consiste à dire à la victime qu’elle a droit à un important remboursement, l’invitant ainsi à cliquer sur un lien pour réclamer son argent.
Une fois encore, il est important de rappeler que les organisations gouvernementales ne contactent jamais leurs usagers par SMS. Les paiements et remboursements d’impôts ne se font que par chèque ou virement bancaire tandis que les notifications ne se font que par courriel ou par lettre.
6. Fraude du Président
Tout le monde veut impressionner son supérieur. Alors, lorsque le PDG de l’entreprise envoie un message texte demandant instantanément de l’aider, il est normal de sauter sur l’occasion. C’est sur ce sentiment que s’appuient les pirates utilisant cette technique.
Dans le cadre de ces attaques, les messages textes sont habilement rédigés pour créer un sentiment d’urgence et inciter l’utilisateur à accomplir une tâche immédiatement. Ils sont d’ailleurs souvent envoyés juste avant la fin de la journée de travail avant que la victime ne quitte le bureau. Il est important de rappeler que le PDG de l’entreprise utilisera toujours les canaux appropriés pour s’adresser à ses employés.
7. Le message ridicule
Si la plupart des escroqueries que nous avons mentionnées ici sont souvent bien conçues, certaines en sont à l’opposé. Pensez à la tristement célèbre escroquerie du prince nigérian, toujours accompagné de revendications farfelues et truffée de fautes d’orthographe et de grammaire.
Conçues pour écarter les personnes qui ne se laisseraient pas prendre à ce type d’escroquerie, ces arnaques usent de la crédulité et de l’inexpérience des utilisateurs de messageries électroniques. Ces tentatives d’hameçonnage par message texte prétendent souvent être des membres de la famille disparus depuis longtemps et demandent de l’argent pour se sortir d’un mauvais pas.
Si vous n’êtes pas la cible de cette escroquerie, vos parents âgés peuvent en être la proie. Soyez toujours sur vos gardes s’ils vous disent devoir envoyer de l’argent à un oncle dont vous n’avez jamais entendu parler ou même s’ils mentionnent un nouvel ami.
Ignorer et passer à autre chose
La meilleure défense contre l’hameçonnage par message texte est ironiquement d’ignorer ces messages. Si quelque chose ne vous semble pas normal lorsque vous recevez un message texte, n’y répondez pas. N’oubliez pas que toutes les entités gouvernementales et les institutions financières vous contacteront par les voies officielles s’il y a vraiment un problème qui mérite votre attention.
En outre, ne donnez jamais à personne des informations telles que des mots de passe ou des codes 2FA, et saisissez-les vous-même, même si vous avez besoin de l’aide du support technique. Ces mesures sont relativement simples à respecter et vous protègent contre l’hameçonnage par message texte.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Inscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.