Le Smishing - Qu'est-ce donc, et comment le repérer ?
Le smishing, qu'est-ce que c'est ?
Le smishing, forme abrégée de "SMS phishing", est une des nombreuses variantes des techniques d'arnaque par message frauduleux qui utilise cette fois les SMS comme vecteur d'attaque.
Contrairement aux e-mails de phishing, qui peuvent parfois être repérés grâce à leurs mises en forme douteuses, le smishing tire parti de la nature personnelle et instantanée des SMS pour duper ses victimes.
En effet, le smishing imite souvent des notifications légitimes ou urgentes, exploitant notre réaction instinctive à répondre rapidement aux textos.
L'exemple parfait de ce type d'attaque ?
La tendance actuelle est au message particulièrement insidieux qui commence par "Coucou papa/maman, c’est moi. J’ai un changé de numéro, tu peux supprimer l'ancien". Ce type de message cherche à exploiter la confiance et l'affection entre parents et enfants, impliquant parfois de fausses situations d'urgence, pour inciter les destinataires à répondre ou à cliquer sur un lien inclus dans le SMS.
Le smishing, une menace sérieuse ?
Les conséquences d'une attaque par smishing peuvent être lourdes : vol d'identité, accès non autorisé à des comptes personnels ou professionnels, et pertes financières substantielles.
Les cybercriminels donnent à leurs messages une apparence authentique afin de pousser les victimes, le plus souvent, à cliquer sur des liens frauduleux destinés à voler des informations personnelles ou à installer des logiciels malveillants sur l'appareil de la victime.
Quelles astuces pour distinguer les SMS légitimes des faux ?
La clé pour se protéger contre le smishing est sans conteste la vigilance (pour ne pas dire la paranoïa !). Voici quelques conseils pratiques pour repérer ces SMS malveillants :
- Expéditeur suspect :
- Les SMS de smishing peuvent provenir de numéros qui semblent aléatoires ou inhabituels (une suite de chiffres similaires, un numéro très court, un numéro qui ressemble étrangement à un autre numéro, ...).
- Si vous recevez un sms d'une soi-disant administration, mais que le numéro de l'expéditeur commence par 06 ou 07 : prudence, il s'agit probablement d'un SMS de phishing.
- 💡 Vérifiez toujours l'origine du message, surtout s'il semble sortir de nulle part.
- Urgence exagérée :
- Les escrocs peuvent créer un sentiment d'urgence pour provoquer une réponse rapide.
- Dans la précipitation, il est en effet plus difficile de repérer les pièges.
- 💡 Méfiez-vous des messages qui exigent une action immédiate, surtout s'ils concernent vos finances ou votre santé.
- Offres irréalistes :
- Ignorez les promesses d'argent facile ou les récompenses improbables.
- 💡 Si un message semble trop beau pour être vrai, il l'est probablement.
- Demandes de données personnelles :
- Le principe est de ne jamais divulguer d'informations personnelles par SMS.
- Soyez sceptique envers tout SMS vous demandant de confirmer, de vérifier ou de fournir ce type de renseignements.
- 💡 Les entreprises légitimes ne demandent jamais de telles informations via ce canal.
- Liens douteux :
- Ne cliquez pas sur les liens sans les avoir vérifiés.
- des fautes de frappes, ou des remplacements de lettres par d'autres symboles peuvent être le signe d'un lien malveillant (un 0 au lieu d'un o, un l au lieu d'un i, ...)
- Pour vérifier un lien, survolez-le (si possible) pour voir l'URL de destination, ou copiez-le et vérifiez-le via un outil en ligne de vérification des liens.
- 💡 Plusieurs outils gratuits en ligne permettent de vérifier la réputation et la sécurité d'un lien avant de l'ouvrir. A titre d'exemple, NordVPN fournit gratuitement ce type de services.
- Erreurs de langage :
- Des fautes d'orthographe, une grammaire approximative, ou un ton qui ne semble pas correspondre à celui normalement utilisé par l'expéditeur peuvent être des indices d'une tentative de smishing.
- Attention cependant, les fautes de langage sont aujourd'hui bien plus rares, car les textes peuvent être générés par une IA.
- 💡 Lisez attentivement chaque message et soyez attentif à son ton général.
- Vérification par un autre canal :
- 💡 En cas de doute, vous pouvez contacter directement la personne ou l'organisme via un numéro de téléphone ou une adresse email officiels pour confirmer la véracité du message.
✨ La petite astuce utile : ✨
Un simple coup d'oeil peut parfois vous aider à démêler le vrai du faux lorsque l'usage du sms est une pratique courante (pour la livraison d'un colis, par exemple) :
- Les numéros d'expéditeurs connus et vérifiés, tels que Colissimo, La Poste, ou encore Orange, sont parfois directement identifiés par votre téléphone en tant que tels.
- Si le nom de l'expéditeur s'affiche directement à la place du numéro de téléphone (en "nom" de contact), celui-ci a alors beaucoup plus de chance d'être légitime.
- En revanche, si le nom de l'expéditeur est précisé directement DANS le SMS, alors prudence ! Il s'agit très probablement d'un faux !
⚠️ Attention cependant : ⚠️
Malheureusement, cette dernière méthode n'est pas infaillible. En plus du phishing, une autre méthode est de plus en plus utilisée aujourd'hui : le "SMS spoofing".
Il s'agit d'une technique par laquelle une personne envoie des messages SMS qui semblent provenir d'un autre numéro de téléphone que le sien, souvent dans le but de tromper le destinataire du message.
Pour cela, le fraudeur utilise des logiciels ou des services qui permettent de modifier l'information de l’expéditeur affichée sur le téléphone du destinataire.
Dès lors, la paranoïa reste de mise : ne cliquez JAMAIS sur les liens contenus dans les SMS, même si l'expéditeur semble vérifié ! A la place, rendez vous directement sur le site désiré, depuis votre moteur de recherche.
Que faire si je me suis fait piéger ?
Si vous avez malheureusement cliqué sur un lien suspect ou divulgué des informations personnelles, agissez immédiatement pour limiter les dommages :
- 🔒 Changez vos mots de passe :
- Modifiez immédiatement les mots de passe de tous vos comptes en ligne touchés pour empêcher les accès non autorisés.
- 💸 Alertez votre banque :
- Informez votre banque si des informations financières ont été partagées afin qu'elle puisse prendre des mesures pour protéger vos comptes.
- 🧼 Nettoyez votre appareil :
- Si vous avez téléchargé un fichier ou une application malveillante, envisagez de restaurer votre appareil aux réglages d'usine après avoir effectué une sauvegarde de vos données importantes.
- 📣 Sensibilisez votre entourage :
- Partagez votre expérience pour éduquer vos amis et votre famille sur les risques de smishing. Enseigner les signaux d'alerte et les réflexes à avoir peut les aider à se protéger contre de telles attaques.
💡 Vous avez la possibilité de signaler un SMS frauduleux en le transférant au numéro 33700. Ce dispositif d'alerte a été mis en place par les opérateurs de télécommunications, les fournisseurs de services et les hébergeurs, en collaboration avec le Secrétariat d'État chargé de l'Industrie et de la Consommation.
Une fois le SMS transféré, vous recevrez une demande de renvoyer au 33700 le numéro de l'expéditeur du SMS frauduleux. Ces détails seront communiqués aux opérateurs télécoms, y compris le vôtre, qui prendront les mesures nécessaires contre les auteurs de ces envois.
Pour les clients de Bouygues Telecom, Orange et SFR, l'envoi de SMS au 33700 est gratuit. Pour les clients d'autres opérateurs, l'envoi est facturé au tarif standard d'un SMS.
______________________________________________
Article rédigé par Ninon MAIRE le 19/04/24
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
