L’hameçonnage par message texte (ou smishing) est un cybercrime ayant pour but de dérober des informations personnelles et corporatives confidentielles via l’utilisation de message texte.
Dans ce type de fraude, les cybercriminels transmettent à leurs victimes des messages textes rédigés avec soin, les incitant à répondre ou à passer à l’action. Le message peut, par exemple, demander à la victime de confirmer la livraison d’une commande passée sur Amazon ou encore de cliquer sur un lien pour compléter l’inscription à un nouveau programme gouvernemental.
Le but ultime de toute tactique d'hameçonnage reste le même : voler des informations confidentielles.
L’hameçonnage par message texte est-il fréquent ?
Bien qu’il ne soit pas aussi médiatisé que le courriel d’hameçonnage et l’ingénierie sociale, l’hameçonnage par message texte cause des millions de dollars de pertes aux organisations du monde entier. Selon le Centre de plaintes pour les crimes sur Internet du FBI, l’hameçonnage par message texte faisait partie des principales catégories de crimes par nombre de victimes, avec plus de 240 000 incidents individuels rapportés. Ce pic de fraudes aurait entraîné des pertes de plus de 50 millions $ pour les organisations américaines seulement — un chiffre qui devrait augmenter significativement dans les années à venir. En effet, quatre fois plus de messages textes que de courriels sont envoyés chaque jour à partir des téléphones cellulaires.
À cela s’ajoute le fait que les ventes de téléphones intelligents continuent de croître de manière exponentielle année après année, laissant présager que la cybermenace ne fera que gagner en importance au cours de la prochaine décennie. Et alors que nous vivons une transformation numérique sans précédent dont l’impact se fait sentir sur de nombreux secteurs d’activité autour du globe, toutes les organisations auront à renforcer leurs initiatives en sensibilisation à l’hameçonnage en proposant notamment des simulations et des formations actualisées et multidimensionnelles.
Pour plus d’information sur la dernière analyse comparative sur l’hameçonnage issue du Gone Phishing Tournament, ainsi que pour des conseils d’experts sur les façons de minimiser les risques d’hameçonnage par courriel et par message texte, téléchargez votre copie gratuite du rapport complet.
L’hameçonnage par message texte repose sur l’ingénierie sociale
Le message texte, rédigé sur un ton urgent, peut menacer la victime de conséquences graves si elle refuse d’agir ou la convaincre qu’elle aide l’expéditeur en fournissant les renseignements demandés.
Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale est une technique utilisée par les cybercriminels pour inciter des individus à partager leurs informations confidentielles. Elle repose sur l’instinct des êtres humains à faire confiance et à vouloir aider leur prochain pour dérober des informations personnelles et corporatives, qui peuvent ensuite être utilisées pour commettre d’autres cybercrimes.
Comment l’hameçonnage par message texte se produit-il ?
L’hameçonnage par message texte survient lorsqu’une victime répond favorablement à la demande contenue dans le message reçu. Et pour parvenir à ses fins, le cybercriminel sait motiver ses victimes par un langage persuasif misant sur l’urgence ou la perte d’une opportunité tel que « Agissez maintenant », « Urgent ! » ou « Ne ratez pas cette chance ! ».
L’être humain étant curieux de nature, beaucoup se laisseront duper pour en savoir plus sur la récompense promise, la livraison inattendue d’un colis ou encore le nouveau programme d’aide financière du gouvernement. En règle générale, les victimes d’hameçonnage par message texte répondent instantanément, sans prendre le temps de lire le message attentivement. Les cybercriminels profitent de leur distraction pour les prendre au dépourvu. Elles passent ainsi à côté des indices qui leur permettraient d’identifier la fraude.
Quelles sont les différentes tactiques d’hameçonnage par message texte ?
1. La tactique du faux lien
L’expéditeur du message texte prétend représenter une entreprise réelle et joint un lien qui ressemble à la véritable adresse URL de cette entreprise. Il demande alors au destinataire de cliquer sur le lien afin d’accomplir une action : mettre à jour des renseignements personnels, confirmer la livraison d’un colis ou participer à un tirage.
L’expéditeur du message texte prétend représenter une entreprise réelle et joint un lien qui ressemble à la véritable adresse URL de cette entreprise. Il demande alors au destinataire de cliquer sur le lien afin d’accomplir une action : mettre à jour des renseignements personnels, confirmer la livraison d’un colis ou participer à un tirage.
2. L’appel téléphonique convaincant
Cette méthode consiste à faire parvenir à la victime un message texte l’invitant à rappeler l’expéditeur. Dans ce genre de fraude, le message texte semble souvent provenir d’une organisation gouvernementale ou municipale et a pour but de convaincre la victime d’appeler immédiatement pour éviter des conséquences graves. Lorsque la victime appelle le numéro, elle parle avec une personne aimable et rassurante, semblant avoir la légitimité pour traiter le problème. La victime croit ainsi qu’elle a bien agi en partageant les informations demandées.
Cette méthode consiste à faire parvenir à la victime un message texte l’invitant à rappeler l’expéditeur. Dans ce genre de fraude, le message texte semble souvent provenir d’une organisation gouvernementale ou municipale et a pour but de convaincre la victime d’appeler immédiatement pour éviter des conséquences graves. Lorsque la victime appelle le numéro, elle parle avec une personne aimable et rassurante, semblant avoir la légitimité pour traiter le problème. La victime croit ainsi qu’elle a bien agi en partageant les informations demandées.
3. L’attaque de maliciel
Dans ce cas, le message texte contient un lien vers un fichier exécutable, qui installe un logiciel malveillant sur l’appareil mobile de la victime lorsque celle-ci clique dessus. Généralement, les cybercriminels installent un cheval de Troie qui va ensuite capturer et enregistrer la frappe sur le clavier, permettant de dérober des mots de passe, des listes de contacts, des informations bancaires, etc.
Dans ce cas, le message texte contient un lien vers un fichier exécutable, qui installe un logiciel malveillant sur l’appareil mobile de la victime lorsque celle-ci clique dessus. Généralement, les cybercriminels installent un cheval de Troie qui va ensuite capturer et enregistrer la frappe sur le clavier, permettant de dérober des mots de passe, des listes de contacts, des informations bancaires, etc.
4. L’harponnage par message texte
Ce type d’hameçonnage par exige plus de travail et de recherche de la part du cybercriminel. En effet, pour pouvoir piéger sa victime, celui-ci doit recueillir des renseignements la concernant sur les médias sociaux, comme Facebook et LinkedIn. Il les utilise ensuite pour lancer une attaque d’hameçonnage ciblée et spécifique, semblant légitime. En raison de la nature personnelle du message texte d’hameçonnage, la victime ne se méfie pas et répond sans hésiter.
Ce type d’hameçonnage par exige plus de travail et de recherche de la part du cybercriminel. En effet, pour pouvoir piéger sa victime, celui-ci doit recueillir des renseignements la concernant sur les médias sociaux, comme Facebook et LinkedIn. Il les utilise ensuite pour lancer une attaque d’hameçonnage ciblée et spécifique, semblant légitime. En raison de la nature personnelle du message texte d’hameçonnage, la victime ne se méfie pas et répond sans hésiter.
Quelles sont les différences entre l’hameçonnage par texto, l’hameçonnage vocal et l’hameçonnage ?
Bien que l’hameçonnage par message texte, l’hameçonnage vocal misent sur l’ingénierie sociale pour amener les victimes à agir, il existe quelques différences majeures entre ces techniques de cyberattaque.
Comment prévenir les attaques d’hameçonnage par message texte ?
1. Informez vos employés des risques que peuvent représenter les messages textes. Utilisez des formations en sensibilisation à la sécurité et des simulations d’hameçonnage réalistes pour éduquer les employés.
2. Rappelez aux employés de ne jamais répondre ou cliquer sur un lien contenu dans un message texte provenant d’un expéditeur et d’un numéro de téléphone inconnu. Les employés devraient bloquer le contact et supprimer le message texte de leur appareil.
3. Lancez des campagnes de sensibilisation à la sécurité pour alerter les employés sur l’ingénierie sociale et les informer des stratégies utilisées par les cybercriminels pour obtenir la coopération de leur victime.
4. Demandez aux leaders en sécurité et aux employés formés en sensibilisation de votre organisation d’évaluer régulièrement la sensibilisation des employés à l’hameçonnage par message texte. Précisez aux employés qu’ils doivent lire chaque message reçu avec attention et qu’en cas de doute, ils ne doivent pas y répondre.
5. Utilisez la formation en sensibilisation à la sécurité et les simulations pour amener les employés à prendre conscience du risque que représente le fait de cliquer sur des liens et de télécharger des pièces jointes dans un message texte. Profitez des formations qui utilisent la ludification (gamification) et des modules d’apprentissage éclair pour offrir une formation interactive et engageante.
6. Installez des logiciels de protection contre les maliciels et les virus sur les appareils mobiles de tous les employés. Cette mesure est particulièrement importante pour les entreprises qui fonctionnent en mode hybride ou à distance.
7. Prévoyez des campagnes de communication et de sensibilisation régulières en continu sur l’hameçonnage, l’ingénierie sociale et la cybersécurité. Répétez aux employés qu’ils ne devraient jamais cliquer sur un lien provenant d’un expéditeur inconnu ni lui répondre.
À éviter lors de la réception d’un message texte d’hameçonnage
- Ne PAS répondre au message
- Ne PAS appeler le numéro de téléphone de l’expéditeur
- Ne PAS cliquer sur des liens
- Ne PAS envoyer un message ARRÊT (STOP)
Qu’est-ce qu’une simulation d’hameçonnage ?
Une simulation d’hameçonnage est la meilleure façon de sensibiliser les utilisateurs sur les risques posés par l’hameçonnage. Souvenez-vous que l’hameçonnage par message texte est un type d’hameçonnage et que bien souvent, les cybercriminels utilisent différentes tactiques simultanément.
Les simulations d’hameçonnage aident d’une part à identifier les employés qui sont les plus à risque d’être victime des cyberattaques par messages textes et par courriels. Accompagnées de formation en sensibilisation à la sécurité, les simulations d’hameçonnage contribuent à la compréhension des mécanismes de l’hameçonnage par message texte et permettent ainsi d’augmenter les niveaux d’alertes de vos employés face aux menaces de cybersécurité.
Comment les simulations peuvent-elles aider à prévenir les attaques d’hameçonnage par message texte ?
Les simulations d’hameçonnage aident vos employés à comprendre comment les cybercriminels utilisent les messages textes pour dérober des informations personnelles et commettre des cybercrimes. Elles permettent donc de :
1. Augmenter les niveaux d’alerte à l’égard du langage utilisé par les cybercriminels dans les messages textes.
2. Changer le comportement humain pour éliminer le réflexe de confiance automatique.
3. Créer de la sensibilisation pour réduire le niveau des cybermenaces.
4. Mesurer et surveiller le degré de vulnérabilité de l’entreprise et des employés.
5. Déployer des solutions ciblées pour lutter contre l’hameçonnage par message texte.
6. Évaluer l’efficacité de la formation en sensibilisation à la cybersécurité.
7. Maintenir un niveau élevé de vigilance face à l’hameçonnage par message texte parmi les employés.
8. Protéger les informations corporatives et personnelles confidentielles.
9. Instaurer une culture de cybersécurité au sein de l’entreprise et former des héros de la cybersécurité.
10. Répondre aux exigences de l’industrie en matière de formation en sécurité.
Le Hub de Cybersécurité
Inscrivez-vous maintenant pour accéder à du contenu de sensibilisation à la cybersécurité engageant, facile à partager et disponible en plusieurs formats.