Comprendre et éviter l'usurpation d'identité par SMS

Anyone can fall for a scam. SMS spoofing is yet another cybersecurity problem that companies and individuals need to understand to avoid becoming the next victim.

If you miss the warning signs of an SMS spoof, the implications go far beyond an inconvenience. You could find yourself dealing with identity theft, ransomware, or major financial losses. Or you may even be the employee responsible for opening the door for a widespread security breach on your company (and its customers).

Spoofing can also turn you into an unwitting participant in a botnet scheme, which scammers can use to carry out further attacks, inflicting harm on others without your knowledge.

Staying alert to the dangers of SMS spoofing not only helps protect your personal information but also supports broader cybersecurity efforts. Let’s take a moment to get a clear understanding of what SMS spoofing is, and how to prevent it.

What is SMS spoofing?

Spoofing isn’t limited to SMS. It can also happen over email, through social media, and even through fake online ads. In general, spoofing describes situations where a cyberscammer masquerades as a trusted entity to trick end users into doing something that benefits the hacker – like clicking a link, downloading a file, or opening an attachment.

SMS spoofing involves manipulating the sender ID on a text message. This might be using an unfamiliar number, or even a recognizable one. Scammers often embed links in these spoof SMS messages, encouraging recipients to click for a “special offer” or “urgent notice.”

And if you take the bait, you may end up giving them access to valuable personal information, or downloading malware onto your device that will cause trouble later.

Spoofing vs smishing: What’s the difference?

Spoofing, which involves altering a sender’s displayed name, and SMS phishing (or “smishing”), where a fraudster uses persuasive tactics to encourage people to click on links or respond, often go hand-in-hand. Many times, scammers will spoof trusted brands or numbers, then use smishing tactics to make their message more enticing and believable.

Learn more about SMS smishing and how to prevent it.

Le SMS spoofing, comment ça marche ?

Tout l’enjeu du spoofing est de dissimuler la véritable identité de la personne qui se cache derrière un acte. Avec l’usurpation d’identité par SMS, les escrocs trouvent un moyen de faire croire que leur message provient d’un autre numéro ou d’un autre sender ID (l’identifiant d’expéditeur), souvent une véritable entreprise ou une personne que vous connaissez peut-être et dont l’appareil a été compromis.

En clair, le SMS frauduleux peut provenir du téléphone portable d’une autre victime, ou sembler provenir d’une autre personne ou d’une autre organisation.

Si la personne qui reçoit le SMS a confiance en l’identité de l’expéditeur, elle a plus de chances de l’ouvrir et de cliquer sur le lien envoyé par les escrocs. Elle aura ainsi probablement partagé des informations sensibles sur elle-même ou sur son entreprise.

Quel est l’impact du spoofing par SMS sur les entreprises ?

Les entreprises sont exposées au risque d’usurpation d’identité par SMS de différentes manières. Le premier problème, le plus connu, est que lorsqu’une employée ou un employé clique sur un lien malveillant dans un SMS frauduleux, les scammeurs peuvent accéder aux systèmes de l’entreprise et aux données client.

Les clients peuvent ainsi être escroqués, ou les pirates peuvent utiliser leur accès pour implanter des virus et faire tomber toute l’infrastructure numérique d’une entreprise. Ils peuvent également introduire un rançongiciel et exiger un paiement si l’entreprise veut retrouver l’accès à ses données et éviter les coûts liés à la divulgation de ces données au monde entier.

Les escrocs pourraient également utiliser les coordonnées des employés et des clients pour envoyer des SMS frauduleux à des millions d’autres personnes et élargir leur groupe de victimes potentielles en jouant sur la réputation et la fiabilité de la marque.

Les entreprises doivent alors faire face à une perte de confiance de la part des consommateurs, à des coûts de réparation des dommages internes causés à leurs bases de données et à des violations de données. Les fuites d’informations potentiellement confidentielles sur le personnel, les fournisseurs ou la concurrence peuvent causer des problèmes très coûteux à long terme.

Il va sans dire qu’en plus des coûts effectifs liés au temps et à l’argent perdus à essayer de réparer tous ces dommages, la réputation de l’entreprise peut également souffrir sérieusement, ce qui aura un impact sur les ventes futures si les clients décident qu’il est plus sûr de faire leurs achats ailleurs.

Six types de spoofing par SMS

Voici quelques types courants d’usurpation d’identité par SMS que vous pouvez rencontrer sur votre smartphone.

1. Faux identifiant de l’expéditeur

This common type of SMS spoof uses a trusted sender ID to mask the real sender. Typically, the trusted sender will appear to be a business, which will increase the likelihood of the victim clicking on whatever the text is telling them to do. Fake sender IDs can also be masked as someone else in your contact list, including fellow employees if the fraudsters are attempting to infiltrate a company’s network.

Exemple : « Votre compte à la BNP a peut-être été compromis. Cliquez ici pour modifier immédiatement votre mot de passe. »

2. Messages en masse non sollicités

La plupart des gens pensent aux emails lorsqu’on parle de spam ou de fraude. Mais vous pouvez aussi recevoir des SMS non sollicités, et ces attaques par usurpation d’identité sont envoyées pour la même raison. Le message peut porter sur n’importe quel sujet, ressembler à un SMS promotionnel, et sembler inepte ou absurde.

Il peut également contenir des fautes d’orthographe. Des millions de personnes peuvent recevoir le SMS, mais les escrocs espèrent seulement qu’une poignée d’entre elles cliqueront sur le lien contenu dans le message.

Exemple : « De superbes photos de célébrités lors de cérémonies de remise de prix. Cliquez pour les voir. »

3. Harcèlement

Le harcèlement par SMS peut prendre de nombreuses formes. En général, cela se produit après que les escrocs ont obtenu certaines de vos informations par le biais d’autres cybercrimes qu’ils ont déjà commis.

Avec vos coordonnées et d’autres informations sur votre vie privée, ils peuvent vous menacer de divulguer des données gênantes ou autres si vous ne payez pas une rançon. Ils peuvent aussi vous mentir et vous inciter à envoyer de l’argent sous un faux prétexte.

Exemple : « Votre amie a des soucis avec la justice et collecte des fonds pour sa défense. Envoyez de l’argent pour la soutenir. »

4. Espionnage industriel

Ce type de SMS spoofing cible généralement les employés de grandes entreprises qui peuvent détenir des données client précieuses, ou ont les ressources nécessaires pour payer une somme d’argent importante si les fraudeurs parviennent à prendre le contrôle de leurs informations.

En général, lorsque vous cliquez sur des liens dans des messages de ce type, vous ne vous rendez pas compte que quelque chose de grave s’est produit, car les pirates utilisent des logiciels malveillants installés sur votre appareil pour ensuite toucher d’autres personnes au sein de l’entreprise. Vous devenez « l’expéditeur de confiance » utilisé pour tromper vos collègues.

Exemple : « Notre système a été mis à jour. Cliquez ici pour réinitialiser votre mot de passe. »

5. Faux transferts d’argent

Ici, les escrocs promettent que de l’argent doit être transféré sur le compte de la victime. Le nom de l’expéditeur peut ressembler à celui d’une banque, de PayPal ou d’un autre établissement ou service financier reconnu, et le message ressemble à un SMS transactionnel typique.

L’objectif est d’accéder à vos informations bancaires. Le message peut faire référence à une transaction de remboursement qui n’a jamais eu lieu, à de faux gains, à de faux remboursements, à de faux règlements juridiques et à d’autres escroqueries de ce type.

Exemple : « Un montant trop important a été facturé lors de votre dernier achat. Cliquez sur ce lien pour demander un remboursement. »

6. Vol d’identité

Scammers want whatever personal data about you they can get – anything like medical records, account information, passwords, Social Security numbers, credit card numbers, phone numbers, and more.

Les pirates peuvent ainsi chercher un moyen de se faire passer pour vous et de voler de l’argent. L’idée est de vous faire payer leurs achats. Les SMS frauduleux peuvent être utilisés pour collecter ces informations de différentes manières.

Exemple : « Votre couverture santé doit être renouvelée. Cliquez ici pour mettre à jour votre compte. »

Les types de SMS spoofing peuvent inclure un faux identifiant d'expéditeur, des messages non sollicités, du harcèlement, et bien plus encore. — *L’usurpation d’identité par SMS peut prendre différentes formes, comme un message non sollicité ou un faux transfert d’argent.*

Notez que ces tentatives d’usurpation d’identité peuvent aussi être effectuées lors d’un voyage à l’étranger. Les fraudeurs peuvent ainsi utiliserl’Identité internationale de l’abonné mobile (IMSI)pour exploiter les coûts d’itinérance en envoyant des SMS usurpés avec des frais élevés pour les abonnés, qui ne s’en rendent pas compte immédiatement.

Qu’est-ce qui distingue le SMS spoofing des autres types de fraude par SMS ?

Smishing, phishing, spoofing, spamming : il existe toutes sortes de moyens pour les escrocs de vous causer des ennuis par le biais de la technologie numérique. L’usurpation d’identité par SMS n’est qu’un exemple parmi d’autres. Mais il se distingue des autres par quelques aspects essentiels.

L’usurpation d’identité par SMS est le seul cas où les escrocs font passer le nom et le numéro de l’expéditeur pour ceux d’une personne ou d’une entreprise en qui vous avez confiance. La fraude est donc un peu plus difficile à repérer, et il faut vraiment vérifier le contenu du message lui-même. Vos proches ou vos collègues vous enverraient-ils vraiment cela ?

Dans les attaques de phishing par SMS (ou smishing), les objectifs de la plupart des escrocs sont les mêmes : obtenir vos informations sensibles et les utiliser contre vous ou contre quelqu’un d’autre. Et leurs méthodes sont aussi souvent les mêmes, comme les fausses factures, les faux avis d’expédition et les nombreuses tactiques déjà énumérées.

Mais vous pouvez généralement repérer les autres escroqueries parce que l’identifiant et le numéro de téléphone de l’expéditeur (ou l’adresse email dans le cas des escroqueries par email) sont suspects. Le problème avec l’usurpation d’identité par SMS est que vous pouvez reconnaître le numéro de téléphone ou le nom de l’expéditeur.

Il faut faire vraiment preuve de vigilance pour repérer un faux message.

SMS spoofing, que faire pour l’empêcher ?

Que pouvez-vous faire pour vous protéger et protéger les autres de l’usurpation d’identité par SMS ?

Tout d’abord, votre organisation doit former ses équipes à reconnaître les signes indiquant un SMS frauduleux. Les employés seront ainsi plus à même de repérer une tentative d’usurpation d’identité et de supprimer le SMS reçu. Voici les principaux signes révélateurs d’un SMS d’usurpation d’identité :

Une formulation suspecte. Est-ce ainsi que votre proche, votre collègue ou votre entreprise parlerait ainsi ? Diraient-ils cela ?
Des numéros ou identifiants inconnus. Le message cite-t-il un numéro de compte ou autre identifiant que vous devriez reconnaître ? S’il vous semble étrange ou incorrect, vous devez prendre le temps de vérifier la légitimité du message.
Des fautes d’orthographe et de grammaire. Il est bien connu que la plupart des escrocs ne savent pas très bien écrire, et cela reste un signe révélateur d’un SMS frauduleux.
Des liens hypertextes étranges. Les liens ressemblent-ils aux liens habituels de l’entreprise ? La mise en forme est-elle étrange ?
Unsettling requests. Any SMS asking for money or account-level information should be treated with suspicion – banks, government agencies, and other companies don’t do this.
False sense of urgency. Think about if the person texting you would typically ask for immediate action via text for something urgent, or if they’d be more likely to call you directly.
Tout ce qui semble trop beau pour être vrai. Les coups de chance n’arrivent pas si souvent. Méfiez-vous des trop bonnes surprises.

L’essentiel, si vous recevez un SMS suspect, est de prendre le temps de réfléchir et de vérifier la légitimité du message avant d’agir. Les escrocs comptent sur le fait que vous ne repérerez pas les signes de fraude. Si un message vous semble suspect, ne cliquez sur aucun lien et ne répondez pas. S’il provient de votre entreprise ou d’un ou une collègue, montrez-le à un responsable ou allez voir la personne qui est censée l’avoir envoyé. S’il s’agit d’une personne proche, appelez-la pour confirmer.

En tant qu’entreprise, la cohérence est essentielle. Votre entreprise doit s’interdire certaines actions, comme envoyer un lien non sollicité pour réinitialiser un mot de passe ou demander des informations de compte sensibles par SMS. Cela vous aidera à renforcer la cohérence parmi vos employés et la confiance de vos clients, car ils s’attendent à un certain niveau de sécurité et d’intégrité de la part de votre organisation.

En outre, votre entreprise doit rester vigilante et proactive face aux menaces potentielles d’usurpation d’identité par SMS. Le SMS spoofing peut indiquer une faille de sécurité plus étendue. Vous devez donc enquêter rapidement sur toute activité suspecte et prendre les mesures appropriées pour réduire les risques, ce qui peut impliquer de collaborer avec les forces de l’ordre ou des experts en cybersécurité si nécessaire.

En résumé, votre entreprise doit mettre l’accent sur la formation, la cohérence et la prévention pour mieux prévenir les usurpations d’identité par SMS et autres cybermenaces, mais aussi pour inspirer confiance à toutes et tous.

Préservez la réputation de votre marque en envoyant des SMS fiables

En tant qu’entreprise, veillez à ce que vos messages soient facilement identifiables par vos abonnés.

Voici quelques stratégies pour y parvenir :

Veillez à ce que votre image de marque soit cohérente dans tous vos SMS.
Indiquez clairement vos coordonnées (téléphone, adresse email, site) ou suggérez de « répondre AIDE » pour que les abonnés puissent vérifier l’authenticité de vos messages.
Indiquez aux abonnés comment se désinscrire de votre liste de diffusion SMS.
Rappelez régulièrement à vos clients que vous ne leur demanderez jamais d’informations personnelles par SMS.
Utilisez une vérification par SMS, comme l’authentification à deux facteurs et les mots de passe à usage unique.
Demandez aux clients de signaler tout message suspect.
En France, les messages suspects peuvent être transférés au 33 700.
Assurez-vous que votre fournisseur de SMS prend le spoofing téléphonique au sérieux et qu’il s’efforce de bloquer les messages problématiques.
Vérifiez les références externes de votre fournisseur, par exemple s’il fait partie du Registre de protection des SMS, afin de prouver son engagement dans la lutte contre la fraude.
Utilisez une API SMS pour une intégration plus facile et une meilleure sécurité.

Le SMS spoofing concerne tout le monde : employés, entreprises, clients, amis et parents. N’importe qui peut devenir une victime, puis répandre la fraude à tous ses contacts.

Vous devez en prendre conscience et faire preuve de vigilance. Parlez-en à toutes les personnes que vous connaissez, y compris à vos enfants dès lors qu’ils ont leur propre smartphone !

Si vous cherchez des ressources externes sur les escroqueries, voici quelques bonnes adresses :

En tant que leader du secteur, Sinch s’engage à respecter les normes les plus strictes en matière de transparence, de responsabilité, de données et de protection des consommateurs. Toutes les entreprises qui utilisent Sinch nous font confiance pour protéger les informations personnelles de leurs clients. Pour être en mesure de répondre à cette attente, nous devons opérer dans un cadre réglementaire solide, travailler activement avec d’autres acteurs de la chaîne pour promouvoir et défendre les bonnes pratiques, et rechercher des solutions innovantes pour détecter et prévenir les menaces.

We also keep our chain of trust as short as possible, with over 600 direct carrier connections to operators. Learn more about our fight against fraud in SMS to stay informed.

Sommaire

What is SMS spoofing?
Le SMS spoofing, comment ça marche ?
Quel est l’impact du spoofing par SMS sur les entreprises ?
Six types de spoofing par SMS
Qu’est-ce qui distingue le SMS spoofing des autres types de fraude par SMS ?
SMS spoofing, que faire pour l’empêcher ?
Préservez la réputation de votre marque en envoyant des SMS fiables

Sous-groupe de cookies	Cookies	Cookies utilisés
eu5.mm.sdi.sinch.com	ASP.NET_SessionId	Première main
community.sinch.com	AWSALB , LiSESSIONID	Première main
appengage.sinch.com	dd_cookie_test_	Première main
tickets.sinch.com	atlassian.xsrf.token , JSESSIONID	Première main
cockpit2.sinch.com	SESSION	Première main
engage.sinch.com	instapage-variant-xxxxxxxx	Première main
dashboard.sinch.com	cookietest	Première main
brand.sinch.com	PHPSESSID , AWSALBCORS	Première main
sinch.com	__cf_bm , OptanonConsent , TEST_AMCV_COOKIE_WRITE , OptanonAlertBoxClosed , onesaasCookieSettings, QueryString, functional-cookies, performance-cookies, targeting-cookies, social-cookies lastExternalReferrer, lastExternalReferrertime, cookies, receive-cookie-deprecation _gdvisitor, _gd_session, _gcl_au, _fbp, _an_uid, _utm_zzses, lpv	Première main
mediabrief.com	__cf_bm	Tiers
recaptcha.net	_GRECAPTCHA	Tiers
cision.com	__cf_bm	Tiers
techtarget.com	__cf_bm	Tiers

Sous-groupe de cookies	Cookies	Cookies utilisés
community.sinch.com	ValueSurveyVisitorCount	Première main
buzz.sinch.com	instap-spid.8069 , instap-spses.8069	Première main
appengage.sinch.com	_dd_s	Première main
sinch.com	AMP_TLDTEST , rl_page_init_referrer , rl_trait , _vis_opt_s , __q_state_dp56h9oqwhna9CoL , cb_user_id , __hstc , rl_anonymous_id , rl_user_id , initialTrafficSource , _vwo_uuid , _vwo_uuid_v2 , rl_page_init_referring_domain , _hjIncludedInSessionSample_xxx , apt.uid , __hssrc , test_rudder_cookie , cb%3Atest , __hssc , rl_group_trait , _hjAbsoluteSessionInProgress , _vwo_referrer , _vwo_sn , _vis_opt_test_cookie , _hjFirstSeen , _hjTLDTest , _hjSession_xxxxxx , s_sq , _vwo_ds , rl_group_id , _vis_opt_exp_n_combi , s_cc , _gclxxxx , cb_anonymous_id , cb_group_id , apt.sid , rl_session , _uetvid , AMP_899c7e29a9 , _hjSessionUser_xxxxxx	Première main
brand.sinch.com	AMP_TEST	Première main
engage.sinch.com	no-cache , instap-spses.85bb , instap-spid.85bb	Première main
www.sinch.com	d-a8e6 , s-9da4	Première main
nr-data.net	JSESSIONID	Tiers
sinch-en.newsroom.cision.com	_ga, _gid	Tiers
sinch.in	_ga_xxxxxxxxxx, _gat_UA-XXXXXX-X, _gid, _ga	Tiers
g.fastcdn.co	instap-spses.85bb	Tiers
hello.learn.mailjet.com	pardot, visitor_id, visitor_id#####	Tiers
www.googletagmanager.com	userId	Tiers
hello.learn.mailgun.com	visitor_id#####, visitor_id	Tiers
dev.visualwebsiteoptimizer.com	_vwo_ssm	Tiers
box.com	box_visitor_id	Tiers
app.box.com	z, cn	Tiers
sinch-tfn.paperform.co	laravel_session	Tiers
go.sinch.in	visitor_id#####, visitor_id	Tiers
Qualified	__q_local_form_debug	Third party
Rudderstack	rudder.inProgress, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.queue, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.ack, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimStart, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimEnd,	Third party
6sense	_6senseCompanyDetauls, _6signalTTL	Third party
Appcues	apc_local_id, apc_user	Third party

Sous-groupe de cookies	Cookies	Cookies utilisés
investors.sinch.com	visitor_id	Première main
community.sinch.com	VISITOR_BEACON , LithiumVisitor	Première main
sinch.com	_uetsid , ajs_user_id , _gcl_aw , ajs_group_id , AMCV_ , __utmzzses , _fbp , _gcl_au , AMCVS_	Première main
go.latam.sinch.com	visitor_id##### , pardot	Première main
linkedin.com	li_gc, bcookie, lidc, AnalyticsSyncHistory, UserMatchHistory, li_sugr	Tiers
pi.pardot.com	lpv151751, pardot	Tiers
hsforms.com	_cfuvid	Tiers
google.com	CONSENT	Tiers
sinch.in	_gclxxxx, _gcl_au	Tiers
www.linkedin.com	bscookie	Tiers
bing.com	MUID, MSPTC	Tiers
www.facebook.com		Tiers
hello.learn.mailgun.com	pardot	Tiers
www.youtube.com	TESTCOOKIESENABLED	Tiers
dev.visualwebsiteoptimizer.com	uuid	Tiers
g2crowd.com	__cf_bm	Tiers
pardot.com	visitor_id#####, visitor_id	Tiers
tracking.g2crowd.com	_session_id	Tiers
hubspot.com	__cf_bm, _cfuvid	Tiers
doubleclick.net	test_cookie, IDE	Tiers
youtube.com	CONSENT, VISITOR_PRIVACY_METADATA, VISITOR_INFO1_LIVE	Tiers
go.sinch.in	pardot	Tiers
liadm.com	lidid	Tiers
www.google.com	_GRECAPTCHA	Tiers

Sous-groupe de cookies	Cookies	Cookies utilisés
portal.sinch.com	pnctest	Première main
partner.appengage.sinch.com	_dd_s	Première main
investors.sinch.com	Première main
community.sinch.com	LithiumUserInfo , LithiumUserSecure	Première main
tickets.sinch.com	selectedidp	Première main
engage.sinch.com	ln_or	Première main
cockpit2.sinch.com	CSRF-TOKEN , NG_TRANSLATE_LANG_KEY	Première main
sinch.com	apt.temp-xxxxxxxxxxxxxxxxxx , hubspotutk , ajs%3Acookies , cf_clearance , ajs%3Atest , __tld__ , __q_domainTest , pfjs%3Acookies , ajs_anonymous_id	Première main
auth.appengage.sinch.com	AUTH_SESSION_ID , KEYCLOAK_3P_COOKIE , KEYCLOAK_3P_COOKIE_SAMESITE , KC_RESTART , AUTH_SESSION_ID_LEGACY	Première main
www.recaptcha.net	_GRECAPTCHA	Tiers
boxcdn.net	__cf_bm	Tiers
d2oeshgsx64tgz.cloudfront.net	cookietest	Tiers
sinch-np.paperform.co	XSRF-TOKEN, laravel_session	Tiers
vimeo.com	__cf_bm, vuid	Tiers
sinch-ca-sc.paperform.co	XSRF-TOKEN, laravel_session	Tiers
box.com	site_preference	Tiers
app.box.com	bv	Tiers
sinch-tfn.paperform.co	XSRF-TOKEN	Tiers
cision.com	cf_clearance	Tiers

Sous-groupe de cookies	Cookies	Cookies utilisés
community.sinch.com	ln_or	Première main
sinch.in	_fbp	Tiers
youtube-nocookie.com	CONSENT	Tiers
youtube.com	YSC	Tiers

Comprendre et éviter l’usurpation d’identité par SMS