Le smishing est une forme de phishing qui utilise les téléphones portables en tant que plateforme d'attaque. Le criminel exécute l'attaque dans l’intention de rassembler des informations personnelles, notamment le numéro de sécurité sociale et/ou de carte de crédit. Le smishing est envoyé par textos ou SMS, d’où son nom : « SMiShing ».
Les attaques de smishing utilisent des SMS, également connus sous le nom de textos. Cette forme d’attaque est devenue de plus en plus populaire, car les utilisateurs ont plus tendance à faire confiance à un message reçu via une application de messagerie sur leur téléphone plutôt que par email.
Beaucoup de victimes n'associent pas les arnaques de phishing aux SMS personnels, mais en fait, il est plus facile pour les acteurs malveillants de trouver votre numéro de téléphone que votre adresse email. Il existe un nombre limité d'options avec les numéros de téléphone - aux États-Unis, un numéro de téléphone comporte 10 chiffres.
Un email, en revanche, n'est pas limité en taille, bien qu'il y ait un nombre raisonnable de caractères attendus. Les emails peuvent contenir des chiffres, des lettres et des symboles (!, # et %, par exemple). Il est bien plus facile de mettre à la suite dix chiffres aléatoires pour contacter une victime plutôt que de contacter une personne par adresse email.
Le pirate peut simplement envoyer des messages à une combinaison de chiffres de la même longueur qu’un numéro de téléphone. Il peut essayer n'importe quelle combinaison de chiffres sans que cela ne lui porte préjudice. Gartner rapporte que 98 % des textos sont lus et qu’une réponse est envoyée dans 45 % des cas. Il est donc très logique que les pirates les utilisent en tant que vecteur d'attaque ; d'autant plus que, selon Gartner, seulement 6 % des emails reçoivent des réponses.
Il y a plusieurs choses différentes que le pirate informatique tente d’accomplir à l’aide d’un texto. Il peut notamment vous voler des données personnelles en se faisant passer pour un conseiller de votre banque. Il peut vous inciter à cliquer sur un lien dans le texto pour vous connecter à la page Web de votre banque et vérifier des frais récents douteux. Il peut vous demander de composer le numéro du service clients, indiqué dans le texto pour vous faciliter la tâche, afin de vous parler de frais récents douteux ou d’une corruption de compte.
Les pirates tentent également d’utiliser de faire appel à votre bienveillance pour recueillir des informations sensibles. Par exemple, ils peuvent envoyer des messages concernant un plan d’urgence suite à un ouragan, dans lesquels ils vous demandent de faire un don. Le pirate vous demande de cliquer sur le lien figurant dans le SMS et de saisir vos informations de carte de crédit, votre adresse, et souvent, votre numéro de sécurité sociale. Une fois que le pirate a obtenu votre numéro de carte de crédit, il peut même prélever des sommes sur votre carte de crédit chaque mois, pour éviter de vous alarmer.
Autre exemple d'attaque de smishing : vous pouvez recevoir une offre de votre opérateur, proposant une remise sur un service ou une mise à niveau du téléphone. Le message vous invite à cliquer sur le lien fourni pour activer l’offre. Une fois que vous accédez à la fausse page Web, qui ressemble au site web de votre opérateur, le site vous demande de confirmer votre numéro de carte de crédit, votre adresse, voire votre numéro de sécurité sociale. N'oubliez pas que si cela semble trop beau pour être vrai, c'est probablement le cas.
Le phishing à l’aide d’un freeware de messagerie instantanée, comme Facebook Messenger ou WhatsApp, ne relève pas techniquement du smishing, mais il y est étroitement lié. Le pirate exploite le fait que les utilisateurs hésitent de moins en moins à ouvrir des messages d’inconnus et à y répondre sur les plateformes de réseaux sociaux.
Comme dans un phishing classique, l’objectif de l’attaque est de vous soutirer des données personnelles, notamment des mots de passe et/ou des numéros de carte de crédit. Pour obtenir ces informations, l’attaquant peut vous proposer une offre ou un autre élément de valeur. Ces offres contiennent souvent un lien cliquable.
Recevoir un message d’un inconnu qui vous demande des informations est souvent un bon indicateur de phishing possible par messagerie instantanée, mais ces attaques peuvent sembler provenir de personnes que vous connaissez et qui sont déjà dans votre réseau. Cela se produit souvent lorsque le compte d’un de vos contacts sur les réseaux sociaux a été piraté ou falsifié.
Les pirates informatiques envoient des SMS qui semblent provenir de votre banque, vous avertissant d’une activité suspecte ou vous demandant de vérifier les détails du compte. Si la victime clique sur le lien dans l’alerte, elle sera redirigée vers un site Web frauduleux conçu pour voler ses identifiants de connexion, mots de passe et informations financières.
Dans ces escroqueries, les cybercriminels se font passer pour des agences gouvernementales, telles que l’IRS ou les forces de l’ordre locales. Ils peuvent prétendre que le destinataire doit des amendes ou des taxes, en l’invitant à cliquer sur un lien ou à fournir des informations personnelles pour éviter des pénalités.
Les attaquants se font souvent passer pour des sociétés d’expédition comme FedEx ou UPS, informant les victimes de problèmes avec la livraison d’un colis. Les victimes sont invitées à payer des frais ou à fournir des informations de connexion pour résoudre le problème, ce qui entraîne le vol d’informations personnelles ou de paiement.
Exemple d'escroquerie « livraison manquée ».
Dans ce type de smishing, les escrocs se font passer pour des agents de service client d’entreprises connues comme Amazon ou Microsoft. Ils prétendent qu’il y a un problème avec le compte de la victime ou offrent de fausses récompenses, en dirigeant les victimes vers des sites Web de phishing pour voler des informations personnelles ou financières.
Les pirates feront semblant de vous avoir envoyé par erreur un SMS destiné à quelqu’un d’autre. Une fois que vous répondez, ils s’engagent dans la conversation, instaurant lentement la confiance avant de tenter de vous inciter à partager des informations personnelles ou à envoyer de l’argent.
Cette escroquerie tente de vous faire cliquer sur un lien qui mène à un site web dangereux en prétendant que votre cote de crédit a baissé.
Exemple d'escroquerie « crédit abandonné ».
Explorez la nécessité d'aller au-delà de la sécurité intégrée de Microsoft 365 et Google Workspace™ sur la base des menaces par e-mail détectées en 2023.
Découvrez les dernières tendances en matière d'hameçonnage et les meilleures pratiques en matière de sécurité de la messagerie électronique afin d'améliorer la sécurité de votre messagerie et de réduire les cyberrisques.