Qu’est-ce que le SMiShing ? Comprendre l’hameçonnage par SMS

Les personnes font confiance aux entreprises avec lesquelles elles font affaire pour protéger leurs données personnelles. Dans le cadre de notre étude de 2025 sur L’état des communications clients, nous avons constaté que 84 % des Américains pensent que les entreprises avec lesquelles ils interagissent sont responsables de leur vie privée numérique.

Les cybercriminels le savent et exploitent cette confiance par le biais du SMiShing (hameçonnage par SMS). Ces escroqueries par SMS en constante évolution usurpent l’identité de marques pour voler des données sensibles. Les victimes sont incitées à révéler leurs mots de passe, leurs informations financières et d’autres détails sensibles qui peuvent conduire à une usurpation d’identité et à des comptes bancaires vidés.

Que vous soyez un chef d’entreprise soucieux de la sécurité de ses employés ou un particulier cherchant à protéger ses finances, la compréhension du phishing par SMS est votre première ligne de défense. Voici ce qu’il faut savoir sur le fonctionnement de l’hameçonnage par SMS et comment le repérer avant qu’il ne fasse des dégâts.

Le phishing par SMS est une tentative de tromper ou de manipuler des individus ou des entreprises afin qu’ils révèlent des informations personnelles sensibles ou précieuses telles que des mots de passe, des identifiants bancaires et des numéros de sécurité sociale par le biais de SMS ou autre message texte.

Le terme SMiShing provient de la combinaison de « SMS » et « phishing », ce qui en fait une forme d’hameçonnage spécifique aux appareils mobiles. Alors que les emails d’hameçonnage existent depuis des décennies, les smishers ciblent spécifiquement les personnes par le biais de la messagerie SMS.

Les escrocs envoient des messages SMS trompeurs qui semblent provenir d’entreprises légitimes telles que des institutions financières ou des contacts de confiance. Ils conçoivent ces messages de manière à manipuler les destinataires pour qu’ils révèlent des données personnelles, par exemple :

• Mots de passe
• Numéros de cartes de crédit
• Numéros de sécurité sociale
• Informations bancaires
• Identifiants de connexion

Les escroqueries par hameçonnage ciblent en grande majorité les informations d’identification des utilisateurs, avec 80 % des attaques conçues pour voler les informations de connexion par le biais de fausses pages et de formulaires frauduleux.

Une fois que les fraudeurs ont dérobé ces informations, ils peuvent les utiliser de multiples façons. Ils peuvent les vendre sur le marché noir, commettre une usurpation d’identité, vider des comptes bancaires ou détourner les paiements sur leurs propres comptes.

Les escrocs usurpent également des numéros de téléphone ou utilisent des outils de conversion de texte en email pour dissimuler leur véritable origine, ce qui rend les attaques plus difficiles à tracer. L’usurpation d’identité par SMS permet aux fraudeurs de masquer leur identité et de se faire passer pour des expéditeurs légitimes.

Le SMiShing est devenu une méthode courante pour les escrocs, simplement parce que les SMS donnent des résultats. Les SMS ont un taux d’ouverture moyen de 98 %, ce qui signifie que les escrocs ont un public presque garanti pour leurs manœuvres frauduleuses si les personnes ne savent pas à quoi s’attendre.

Une attaque par SMiShing utilise des techniques d’ingénierie sociale, des numéros de téléphone usurpés et des URL malveillantes conçues pour extraire les identifiants de connexion, les données financières et les informations personnelles identifiables (IPI) des utilisateurs d’appareils mobiles avant qu’ils ne soient détectés. Voici comment ces escroqueries peuvent se dérouler, étape par étape :

Les fraudeurs obtiennent des numéros de téléphone par le biais de violations de données, de listes de contacts achetées ou même parfois en devinant simplement des numéros dans des indicatifs régionaux très peuplés.

La notification est conçue pour donner l’impression qu’elle provient d’une source fiable, comme la banque de la victime, un service de livraison, une agence gouvernementale ou même un collègue. Le numéro de téléphone ou les informations d’identification de l’escroc sont souvent suffisamment proches de la réalité pour faire illusion.

Le SMS crée un sentiment d’urgence par le biais de l’ingénierie sociale et indique au destinataire que quelque chose nécessite une action immédiate, par exemple :

• Votre compte a été compromis
• Un colis n’a pas pu être livré
• Vous devez de l’argent
• Vous avez gagné un prix

L’objectif est d’amener la victime à agir rapidement sans réfléchir.

Le message demande au destinataire de cliquer sur un lien, de remplir un formulaire, de vérifier des informations de compte ou de répondre avec des détails sensibles. Chaque demande est conçue pour voler directement des informations ou, dans des cas plus rares, pour installer des logiciels malveillants sur l’appareil.

Si le destinataire répond au message, il peut être conduit vers un faux site web ou une fausse page de connexion où il saisit des informations, ou il peut cliquer sur un lien qui installe un logiciel malveillant comme un logiciel espion ou même un rançongiciel sur son téléphone. Ce logiciel surveille les frappes au clavier et vole les mots de passe.

Avec des identifiants volés, les fraudeurs peuvent accéder à des comptes bancaires, commettre des vols d’identité ou vendre les informations de la victime à d’autres criminels. Plus la victime met de temps à réaliser ce qui s’est passé, plus le fraudeur peut faire de dégâts.

Les escroqueries par SMiShing utilisent différentes tactiques en fonction de ce que l’escroc veut voler et de la personne qu’il vise. Comprendre les types d’attaques de SMiShing les plus courants et les tactiques de SMiShing peut vous aider à les repérer avant d’en être victime. Voici les modèles que vous verrez le plus souvent :

• Escroqueries à la sécurité financière et à la sécurité des comptes : les fraudeurs envoient de fausses alertes prétendant que votre compte bancaire a été compromis, qu’une activité suspecte a été détectée ou que votre carte de crédit a été utilisée pour un achat non autorisé. Ils vous pressent de vérifier vos informations ou de changer votre mot de passe immédiatement.
• Escroqueries à la livraison et à la logistique : ces messages prétendent qu’un colis n’a pas pu être livré et vous demandent de confirmer votre adresse ou de payer des frais de réexpédition. Les escrocs peuvent essayer de se faire passer pour de grands transporteurs comme UPS ou FedEx, ou pour des vendeurs comme Amazon.
• Escroqueries aux prix et aux récompenses : vous recevez un message disant que vous avez gagné une carte cadeau, un concours ou une loterie. Il vous suffit de réclamer votre prix en remplissant un formulaire ou en cliquant sur un lien pour vérifier vos informations.
• Usurpation d’identité fiscale et gouvernementale : les fraudeurs se font passer pour des autorités fiscales ou des agences gouvernementales, affirmant que vous devez de l’argent et que cela peut avoir des conséquences graves si vous ne payez pas immédiatement. Ou bien ils vous diront qu’un remboursement d’impôt non réclamé vous attend.
• Demandes de codes de vérification : les escrocs peuvent utiliser le phishing pour inciter les utilisateurs à saisir des codes de vérification (comme les codes d’authentification multifactorielle) sur de faux sites. Ils prétendent que vous devez confirmer un transfert d’argent, un achat ou un changement de mot de passe qui n’a jamais eu lieu.
• Escroqueries à la facture et au paiement : les escroqueries à la facture sont le plus souvent du phishing par email, mais il arrive aussi qu’elles soient envoyées par SMS. Il peut s’agir d’une fausse facture d’un service prétendant que vous devez de l’argent. En payant la facture, vous leur donnez à la fois votre argent et vos informations de paiement.
• Usurpation d’identité des contacts : si les informations d’une personne sont compromises, les escrocs peuvent envoyer des messages qui proviennent en fait de son numéro de téléphone. Ils prétendent avoir une urgence ou avoir besoin d’une aide immédiate, exploitant ainsi la confiance que vous leur accordez.

Le SMiShing n’est pas le seul moyen utilisé par les escrocs pour voler des informations. La principale différence entre ces trois termes réside dans le canal de communication utilisé par les fraudeurs pour vous atteindre.

Voici comment fonctionne chacun d’entre eux :

Les messages de phishing par SMS envoyés par des cybercriminels se faisant passer pour de grandes marques comme Apple, FedEx, Walmart et d’autres grandes marques utilisent des URL frauduleuses pour voler les identifiants de connexion et les informations de paiement des destinataires des SMS. Voici trois exemples de scénarios qui peuvent vous aider à rester vigilant.

Vous consultez votre téléphone pendant le déjeuner lorsqu’un message soi-disant envoyé par Chase Bank apparaît. L’expéditeur est Chase, et le message avertit qu’une activité de connexion inhabituelle a été détectée sur votre compte. Il contient un lien permettant de vérifier votre identité et de sécuriser votre compte immédiatement.

« Une connexion inhabituelle a été détectée sur votre compte Chase. Vérifiez votre identité ici : https://chase-secure-verify.com/login »

Le message a l’air professionnel et l’urgence semble réelle. Mais regardez de plus près l’URL. Un lien légitime vers Chase serait chase.com, pas un domaine comme « chase-secure-verify.com ». Les escrocs ajoutent des mots à consonance officielle pour que les faux URL paraissent légitimes. Ce petit détail est la seule chose qui vous empêche de donner vos identifiants de connexion à un escroc.

C’est la période des fêtes de fin d’année et vous attendez plusieurs livraisons. Vous recevez un message vous informant que votre colis n’a pas pu être livré par un grand transporteur en raison d’une adresse incomplète. Le message vous demande de cliquer sur un lien pour mettre à jour vos informations d’expédition afin qu’ils puissent tenter une nouvelle livraison.

« FedEx : Votre colis n’a pas pu être livré en raison d’une adresse invalide. Mettez à jour vos coordonnées de livraison ici : https://fedex-tracking.com/update3847″

Vous ne vous souvenez pas d’avoir commandé quoi que ce soit récemment, mais avec les nombreux achats effectués à cette période de l’année, il est facile de se remettre en question. L’escroc compte sur cette confusion. Une fois que vous avez cliqué sur le lien et que vous avez saisi votre adresse, vos détails de paiement et vos coordonnées, ils ont tout ce qu’il faut pour voler votre identité ou effectuer des achats frauduleux.

Vous recevez un SMS vous annonçant que vous avez gagné une carte cadeau d’une valeur de 500 $ auprès d’un vendeur populaire. Il vous suffit de réclamer votre prix en cliquant sur le lien et en répondant à un bref questionnaire pour confirmer votre éligibilité. Le message mentionne que vous avez été sélectionné sur la base de votre historique d’achat récent. Cela pourrait ressembler à quelque chose comme :

« Félicitations ! Vous avez été sélectionné pour recevoir une carte cadeau Target de 500 $ en raison de votre fidélité. Réclamez votre récompense avant qu’elle n’expire : https://target-rewards.net/claim?id=9847″

La promesse d’argent gratuit est tentante et la référence à votre historique d’achat donne une impression de personnalisation. Mais il n’y a pas eu de concours, pas de processus de sélection et pas de carte cadeau. L’enquête est conçue pour recueillir vos informations personnelles et, dans certains cas, les escrocs vous demanderont même de payer des frais de traitement pour réclamer votre prix, volant ainsi vos données et votre argent.

Voici d’autres exemples du langage utilisé par les escrocs dans les attaques de SMiShing :

• Escroquerie au remboursement d’impôts : « Alerte remboursement IRS : Vous avez droit à un remboursement d’impôt de 1 847 $. Pour éviter l’expiration, vérifiez vos informations dès maintenant : irs-refunds.secure-verify.com ».
• Exploitation du code de vérification : « Le code de vérification de votre compte bancaire est 847293. Répondez avec ce code pour confirmer votre récent transfert de 2 450 $ ».
• Fausse facture : « Une facture de 399,99 $ pour le renouvellement de votre abonnement Norton vient d’être émise. Si vous ne l’avez pas autorisé, contestez ici maintenant : [lien] ».
• Usurpation d’identité d’un contact de confiance : « Salut, c’est Mark du travail. Je suis dans le pétrin et ma carte ne fonctionne pas. Peux-tu envoyer 200 $ par Venmo à @mark.pay ? Je te rembourserai demain ».
• Menace de suspension de compte : « Votre compte Netflix a été temporairement suspendu en raison d’un défaut de paiement. Mettez vos coordonnées à jour immédiatement ou votre abonnement sera annulé : [lien] ».

N’oubliez pas qu’en tant qu’entreprise, le SMiShing peut vous nuire de deux manières. Il peut nuire à vos employés personnellement et à l’ensemble de votre entreprise. Tout dépend de la nature de la cyberattaque.

Si l’attaque comprend un lien qui charge un virus, un logiciel malveillant ou un rançongiciel sur les systèmes de votre entreprise, les escrocs pourraient avoir accès aux coordonnées de vos employés et à d’autres informations privées.

C’est l’un des moyens utilisés par les pirates pour envoyer des SMS qui semblent provenir de personnes connues. Ils détournent les informations de cette personne et profitent de la confiance que vous lui accordez pour essayer de vous faire partager de précieuses données à caractère personnel.

Que pouvez-vous donc faire pour éviter les attaques d’hameçonnage par SMS ? Voici les principaux moyens de défense que vous pouvez mettre en place.

• Ne cliquez pas sur les liens provenant d’expéditeurs inconnus : si vous ne reconnaissez pas l’expéditeur, ne cliquez sur rien dans le message. Effacez immédiatement les messages suspects et n’y répondez jamais, même pour demander qui vous contacte.
• Contactez l’expéditeur pour vérifier un SMS : contactez l’entreprise en utilisant les coordonnées officielles que vous avez trouvées vous-même, et non celles fournies dans le message. Appelez le numéro figurant sur votre carte de crédit, visitez le site web officiel de l’entreprise ou utilisez son application mobile vérifiée pour confirmer la véracité du message.
• Recherchez les signaux d’alarme dans le message : les messages de SMiShing contiennent souvent des fautes d’orthographe, des erreurs grammaticales ou des URL suspectes avec des fautes d’orthographe ou des caractères supplémentaires. Les entreprises légitimes utilisent leurs noms de domaine officiels et des normes de communication professionnelles.
• Ne communiquez jamais d’informations sensibles par SMS : les vraies entreprises ne demandent pas de mots de passe, de numéros de carte de crédit, de numéros de sécurité sociale ou d’identifiants de compte par SMS. Toute demande de données sensibles par SMS est une escroquerie.
• Activez l’authentification multifactorielle : l’authentification multifactorielle (MFA) ajoute une couche de sécurité qui exige une deuxième forme de vérification en plus de votre mot de passe. Elle empêche les escrocs d’accéder à vos comptes, même s’ils ont volé vos identifiants de connexion.
• Maintenez vos logiciels à jour : les mises à jour de logiciels comprennent des correctifs de sécurité qui protègent contre les logiciels malveillants, les logiciels espions et d’autres menaces. Mettez à jour le système d’exploitation de votre téléphone, les applications de messagerie et les logiciels de sécurité dès que des mises à jour sont disponibles.

Le phishing par SMS ne menace pas seulement les individus. Elle présente des risques sérieux pour les entreprises dont les employés, les clients et les systèmes deviennent des cibles de fraude. Comprendre les tactiques de SMiShing permet aux entreprises de renforcer leurs défenses contre ces menaces en constante évolution.

Vos employés sont votre première ligne de défense contre les attaques de phishing par SMS. Des sessions de formation régulières devraient porter sur la manière d’identifier les messages suspects, les tactiques utilisées par les escrocs et les raisons pour lesquelles le fait de cliquer sur des liens inconnus sur les appareils de l’entreprise crée des vulnérabilités en matière de sécurité. Plus votre équipe est informée sur le phishing par SMS, moins elle est susceptible de tomber dans le panneau.

Créez des protocoles simples permettant aux employés de signaler les messages suspects sans craindre d’être jugés ou de subir des conséquences. Votre équipe de sécurité informatique doit être informée immédiatement des menaces potentielles afin de pouvoir évaluer le risque, avertir les autres et prendre des mesures de protection. Rendez les rapports simples et accessibles.

Implémentez des outils de sécurité qui détectent et bloquent les liens malveillants, surveillent les activités inhabituelles des comptes et limitent l’accès aux systèmes sensibles. L’authentification multifactorielle, les audits de sécurité réguliers et les logiciels mis à jour créent des couches de protection qui empêchent les escrocs de compromettre votre entreprise.

Les messages vérifiés aident les clients à distinguer vos messages légitimes des escroqueries qui usurpent l’identité de votre entreprise. Plus de la moitié des consommateurs déclarent avoir reçu des messages légitimes de marques qui leur semblaient suspectes au cours de l’année écoulée.

C’est pourquoi certaines marques se tournent vers des canaux tels que le RCS ou WhatsApp, qui permettent d’établir des profils d’expéditeurs vérifiés affichant le logo officiel de la marque, son nom, sa couleur et une coche vérifiée dans le fil de discussion. Ainsi, les clients savent immédiatement qu’ils s’adressent à une marque de confiance.

Les études montrent que 59 % des consommateurs préfèrent les messages RCS avec des identifiants d’expéditeur vérifiés aux SMS de base parce qu’ils leur font davantage confiance pour la vérification et la sécurité de leur compte.

Enfin, n’oubliez pas que le marketing par SMS doit aller de pair avec vos efforts de marketing par email. Les meilleurs spécialistes du marketing utilisent conjointement les SMS et l’email pour mettre en place une stratégie équilibrée qui renforce la confiance des clients.

Le SMS est un outil de communication extraordinaire pour les entreprises, car il offre un moyen direct et efficace de communiquer avec les clients et les employés. Cependant, il est important que chacun d’entre nous se méfie des messages provenant d’entreprises inconnues et reste vigilant face à la menace de l’hameçonnage par SMS.

Voici quelques informations clés à transmettre à vos employés sur le phishing par SMS :

• Vérifiez l’expéditeur : vérifiez l’authenticité des messages SMS, en particulier ceux qui demandent des informations personnelles ou financières.
• Méfiez-vous des liens et des pièces jointes : ne cliquez pas sur les liens dans des SMS que vous ne reconnaissez pas. Même si le message semble provenir d’un contact connu, soyez prudent.
• Signalez les messages suspects : signalez rapidement tout message douteux ou qui semble être une tentative d’hameçonnage.

La formation des employés n’est que l’une des nombreuses mesures que les entreprises peuvent prendre pour prévenir le phishing par SMS. Cela implique de sensibiliser les employés et les destinataires aux techniques employées par les fraudeurs et de renforcer les mesures de cybersécurité pour détecter et contrecarrer le SMiShing et autres escroqueries similaires telles que la fraude à la SIM Farm.

L’hameçonnage par SMS n’est pas seulement un problème pour les consommateurs, c’est un problème de confiance. La messagerie est un canal essentiel pour l’engagement des clients, et les entreprises ont donc la responsabilité de protéger les utilisateurs. Et lorsque les clients savent à qui ils s’adressent, ils sont beaucoup moins susceptibles d’être victimes d’escroqueries.

Consultez nos ressources pour aider votre entreprise à prévenir la fraude dans les messages professionnels. Ou découvrez comment la solution Sinch SMS pour les opérateurs peut vous aider à réduire la fraude par SMS.

Auteur: Megan Libby Megan est responsable du marketing de contenu senior chez Sinch. Elle dirige des initiatives de leadership et de contenu sur les thèmes des SMS/MMS, du RCS et de la messagerie omnicanale.