Le « Smishing » (phishing) par SMS

Vous recevez un SMS qui semble émaner d’une administration, de votre banque, d’un service de livraison ou d’une autre entité commerciale ou organisation. Ce message, généralement alarmant, vous presse d’agir rapidement, que ce soit en vous connectant, en confirmant des informations, en effectuant une mise à jour ou en effectuant un paiement, sous peine de voir des restrictions de service appliquées ou de devoir supporter des frais supplémentaires.

Il est essentiel de faire preuve de prudence, car vous pourriez être confronté à une tentative d’hameçonnage par SMS, également connue sous le nom de « smishing » !

1. Qu’est-ce que l’hameçonnage par SMS ou smishing ?

Le smishing, également connu sous le nom d’hameçonnage ou de phishing par SMS, est une technique utilisée par les cybercriminels pour tromper leurs victimes en usurpant l’identité de tiers connus, tels que des administrations, des banques, des services de livraison ou des services en ligne. Le terme “smishing” est une contraction de “SMS” et de “phishing” en anglais.

L’hameçonnage par SMS, sous une fausse identité et avec un prétexte trompeur, implique l’envoi d’un message court visant généralement à inciter les victimes à divulguer des informations personnelles, telles que des données de carte bancaire ou des identifiants de connexion (mots de passe). Les cybercriminels peuvent également chercher à infecter le smartphone de la victime avec une application malveillante (virus) afin de voler des données personnelles et bancaires ou de prendre le contrôle de l’appareil. Une autre forme de smishing consiste à inciter la victime à rappeler un numéro mentionné dans le message pour commettre une escroquerie. L’objectif des cybercriminels est d’utiliser frauduleusement les informations volées et les accès aux comptes ou aux téléphones compromis.

De nombreux cas d’hameçonnage, qui étaient historiquement réalisés par courrier électronique (e-mail), sont désormais massivement transposés aux SMS avec les mêmes objectifs. Cela inclut les faux messages prétendant être des organismes fiscaux, l’Assurance Maladie, les banques, les services de livraison de colis, et autres.

2. Pourquoi l’hameçonnage par SMS se développe-t-il ?

Les cybercriminels profitent du développement des services d’information par SMS adoptés par les administrations, banques, sociétés de livraison, services en ligne ou autres organismes et entreprises, pour usurper leur identité en s’inspirant de leurs pratiques via ce canal de communication.

L’intérêt des cybercriminels pour le smishing réside particulièrement dans le fait qu’il est plus difficile d’identifier les SMS frauduleux par rapport aux mails d’hameçonnage. En effet, ils permettent aux cybercriminels de s’exprimer brièvement, avec un langage moins « rédigé » et plus lapidaire souvent propre à ce type de messages, en prenant moins de risques de faire des fautes d’orthographe ou de syntaxe qui pourraient éveiller des soupçons. De plus, l’expéditeur est seulement identifiable par un numéro de téléphone standard (français ou étranger), un numéro court ou encore un intitulé sommaire qui ne permettent pas de déterminer simplement l’authenticité de l’émetteur des messages. En outre, la méfiance est généralement moindre en raison de la nouveauté relative du smishing par rapport à l’hameçonnage classique par mail. De même, les victimes pourront à tort penser qu’un SMS reçu est légitime par essence car elles considèrent que leur numéro de téléphone ne peut être utilisé que par des tiers connus.

La brièveté des SMS, leur caractère crédible, la difficulté à identifier facilement leur auteur et le phénomène assez récent du smishing tendent plus à attiser la curiosité qu’à susciter la méfiance.

Par ailleurs, il est plus difficile d’identifier un site Internet malveillant sur un téléphone mobile après avoir cliqué sur un lien reçu par SMS. En effet, en raison de la taille réduite de l’écran et selon le navigateur Internet utilisé, les informations du site sur lequel on se trouve ne sont pas immédiatement et entièrement visibles et l’adresse du site est généralement tronquée.

Avec leurs campagnes de smishing, les cybercriminels se sont adaptés à notre usage croissant du téléphone portable. Il est en effet devenu l’un de nos principaux moyens d’accès à Internet et à tous nos services en ligne, est généralement à portée de main, regroupe de nombreuses informations et données personnelles sensibles et nous permet de les gérer à tout instant avec une forte réactivité et une moindre défiance.

Enfin, le smishing exploite nos habitudes de recevoir sur nos téléphones mobiles des notifications de tout type, des messages de validation, de confirmation ou autres alertes… Et, en général, d’y réagir instantanément.

3. Comment se déroule l’hameçonnage par SMS ?

Les victimes reçoivent des SMS qui semblent provenir d’administrations (Assurance Maladie/Ameli, DGFIP/Impots.gouv.fr, vignette Crit’Air, ANTAI/Amendes.gouv.fr…), d’entreprises de livraison de colis (Chronopost, La Poste…), de banques, d’opérateurs téléphoniques, de fournisseurs de services en ligne (messagerie, réseaux sociaux, VOD…), de sites de commerce électronique, et d’autres encore.

Le contenu de ces messages incite systématiquement les victimes à effectuer une action sous différents prétextes. Il peut s’agir de résoudre un problème tel que le blocage d’un compte en ligne ou bancaire, un incident de paiement, une mise en conformité réglementaire, l’annulation d’une commande que la victime n’aurait pas passée, obtenir un remboursement d’une administration, finaliser la livraison d’un colis, mettre à jour ou confirmer des informations personnelles, et ainsi de suite.

Ces messages sont généralement alarmants, voire anxiogènes ou énigmatiques. Ils mentionnent souvent qu’une action doit être entreprise rapidement, sous peine de suspension de compte, de paiement d’une pénalité ou de prélèvement d’un paiement indu, etc. La brièveté du message et le manque d’informations qu’il contient ajoutent également à son caractère inquiétant, incitant ainsi la victime à y répondre sans tarder.

Exemples de SMS frauduleux :

Les messages de smishing peuvent avoir divers objectifs :

  • Vol d’informations personnelles et de carte bancaire, ainsi que d’identifiants de connexion :

Dans cette situation, le SMS frauduleux contient un lien vers lequel la victime est invitée à cliquer pour donner suite au message. Elle est ensuite redirigée vers un site Internet trompeur créé par des escrocs qui imite l’apparence de l’organisme dont l’identité est usurpée. Sur ce site, la victime est sollicitée pour fournir des informations personnelles telles que son nom, ses adresses e-mail et postale, sa date de naissance, son numéro de téléphone portable, ses coordonnées bancaires, voire ses identifiants et mots de passe, etc.

  • L’infection par un virus

Certaines campagnes de smishing ont pour objectif d’infecter le téléphone mobile des victimes par un virus. Dans ces cas, les SMS frauduleux contiennent un lien qui affiche une alerte incitant la victime à installer une application ou une mise à jour d’une application déjà présente sur son téléphone, comme le navigateur Internet par exemple. Cependant, cette application contient en réalité un virus. Une fois installée, cette application piégée permet aux cybercriminels de mener diverses actions malveillantes, telles que le vol des mots de passe utilisés sur le téléphone (comme les applications bancaires, les e-mails ou les comptes de gestion du téléphone), l’interception des SMS de double authentification, l’envoi de SMS frauduleux, l’émission d’appels via la ligne téléphonique de l’appareil, et bien d’autres actions nuisibles.

5. Que faire si vous recevez un message d’hameçonnage par SMS?

  1. Ne divulguez jamais d’informations sensibles en réponse à un SMS, car aucune administration ou entreprise sérieuse ne vous demandera vos informations personnelles, données bancaires ou mots de passe par ce moyen de communication.
  2. En cas de doute, vérifiez l’information du message vous-même en contactant directement l’organisme concerné ou en accédant à votre espace personnel sur son site Internet ou son application mobile officiels.
  3. Avant de cliquer sur un lien suspect, vérifiez sa légitimité. Si vous avez le moindre doute ou par précaution, rendez-vous directement sur le site de l’organisme en utilisant vos moyens habituels, comme un lien favori que vous avez créé ou son application mobile officielle.
  4. Si vous avez déjà cliqué sur le lien, vérifiez l’adresse affichée dans votre navigateur. Si elle ne correspond pas exactement au site concerné, il s’agit très probablement d’un site frauduleux. Parfois, un simple caractère peut être modifié dans l’adresse pour vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page correspondante.
  5. N’installez jamais d’application en dehors des sites ou des magasins officiels. Si, après avoir cliqué sur un lien dans un SMS, vous recevez une alerte vous invitant à télécharger ou mettre à jour une application, ne donnez pas suite et fermez la page.
  6. Signalez le message frauduleux sur la plateforme 33700 ou transférez-le par SMS au 33700 (envoi gratuit). Ce service permettra de bloquer l’émetteur du message.

6. Vous êtes victime d’hameçonnage par SMS ?

  1. Si vous avez le moindre doute, il est recommandé de contacter directement l’administration ou l’entreprise qui aurait envoyé le SMS suspect afin de confirmer la véracité du message. Vous pourrez trouver leurs coordonnées sur leur site Internet officiel.
  2. En cas de communication d’informations liées à vos moyens de paiement ou si vous constatez des débits frauduleux sur votre compte, il est important d’effectuer immédiatement une opposition auprès de votre établissement bancaire ou financier.
  3. Il est essentiel de conserver toutes les preuves, notamment le message malveillant reçu et les informations concernant le site Internet frauduleux visité (adresse du site, captures d’écran, etc.).
  4. Si vous avez cliqué sur un lien qui aurait pu installer une application malveillante ou si vous remarquez un comportement anormal sur votre téléphone mobile, suivez les conseils fournis dans notre article spécifique sur les virus informatiques.
  5. Si vous avez communiqué un mot de passe, il est recommandé de le modifier immédiatement sur le site ou le service concerné, ainsi que sur tous les autres sites ou services où vous utilisez ce même mot de passe compromis. Consultez nos recommandations pour gérer au mieux vos mots de passe.
  6. En cas de constatation ou de suspicion de piratage de votre compte, suivez les conseils présentés dans notre article dédié à ce sujet.
  7. Si vous remarquez des opérations frauduleuses effectuées avec votre carte bancaire, signalez-les à la plateforme Perceval du ministère de l’Intérieur.
  8. Pour engager des poursuites, vous pouvez déposer une plainte auprès du commissariat de police, de la brigade de gendarmerie ou rédiger une plainte écrite adressée au procureur de la République du tribunal judiciaire compétent. N’oubliez pas de fournir toutes les preuves en votre possession. Si vous êtes un particulier, vous pouvez bénéficier de l’assistance gratuite d’une association de France Victimes en appelant le 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Ce service est disponible 7 jours sur 7, de 9h à 19h.
  9. Si vous avez besoin de conseils concernant vos démarches, vous pouvez contacter la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits). Ce service est ouvert du lundi au vendredi, de 9h à 18h30.
Yani BOUANEM
Yani BOUANEM
Yani, notre chef de projet ISO 27001, joue un rôle central dans la réalisation de nos initiatives liées à la sécurité de l'information. En tant que rédacteur d'articles, il partage son expertise sur les meilleures pratiques en matière de certification ISO 27001. Son travail contribue à sensibiliser et à éduquer notre communauté sur les aspects cruciaux de la gestion de la sécurité de l'information.

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie