Fraude et sécurité

Le smishing, c’est quoi ? Comprendre l’hameçonnage par SMS

septembre 20, 2023

Tout comme l’internet lui-même, les cybercriminels ne semblent jamais dormir. Ces escrocs cherchent sans cesse à arnaquer les particuliers et les entreprises, et à exploiter les données à des fins lucratives. L’une des formes de fraude les plus pernicieuses s’appelle le smishing.

Sur le premier semestre 2021, les attaques par smishing ont augmenté de plus de 700 %. Les victimes sont aussi bien des particuliers que des employés utilisant les logiciels et les canaux de communication de leur entreprise. Il est alarmant de constater que le paysage des menaces a continué d’évoluer en 2022, trois professionnels de l’informatique sur quatre dans le monde ayant déclaré que leur organisation avait été confrontée à des attaques de smishing cette année-là.

Dans cet article, nous vous donnerons une définition du smishing, expliquerons son fonctionnement et vous présenterons quelques exemples. Nous vous montrerons également comment vous protéger, vous et votre entreprise, contre les escrocs.

Le smishing, c’est quoi ?

Le terme « smishing » est la contraction de « SMS phishing » en anglais. La traduction de smishing est souvent « hameçonnage par SMS » ou « phishing par SMS ». Il s’agit d’une tentative de tromper ou de manipuler des personnes ou des entreprises afin qu’elles révèlent des informations personnelles sensibles ou importantes par le biais de SMS et autres messages texte.

Smishers do this by impersonating real businesses (like delivery services, utility companies, financial institutions, or government agencies) or trusted contacts and sending fraudulent text messages to mobile phones. Exploiting trust, they trick victims into revealing personal data or business-related information, including names, dates, credit card information, financial information, social security numbers, login credentials, and passwords. They then sell that data on the black market or use it for identity theft, siphoning money from bank accounts or rerouting payments into their own pockets.

Les escrocs choisissent le smishing plutôt que d’autres types d’attaques par hameçonnage pour diverses raisons. L’une des principales raisons est que le taux de clics sur les SMS avoisine les 20 %, contre 3 à 5 % pour les emails. Gartner indique que les taux de réponse aux SMS atteignent 45 %, ce qui signifie que les destinataires sont bien plus susceptibles de s’intéresser à un SMS qu’à un email, dont le taux de réponse moyen est de 6 %. En outre, les escrocs peuvent masquer l’origine des messages de smishing en utilisant des techniques telles que l’usurpation d’identité ou un logiciel de conversion de texte en email.

Phishing ou smishing

Le smishing est une forme de phishing (aussi appelé « hameçonnage » en français). Il se réfère spécifiquement aux attaques par hameçonnage qui se produisent par SMS ou d’autres canaux de messagerie (SMS + phishing = smishing).

Les attaques par hameçonnage existent depuis longtemps (la première aurait eu lieu en 1995 !) et elles se produisent sur divers canaux de communication et appareils. La plupart des attaques par hameçonnage ont certains points communs : elles utilisent généralement des techniques trompeuses pour amener les individus à révéler des informations sensibles, elles utilisent souvent un sentiment d’urgence ou de peur pour jouer avec les émotions du destinataire, et elles utilisent fréquemment des sites web ou des liens qui semblent légitimes.

Les escrocs se présentent comme une entreprise ou une personne réelle et légitime à laquelle la victime est susceptible de faire confiance. Ils se servent de cette confiance pour amener le destinataire à révéler des détails personnels, qu’ils peuvent ensuite utiliser pour accéder à ses informations bancaires. La victime y perd beaucoup de temps et d’argent.

La tentative d’hameçonnage peut se produire par téléphone (ce que l’on appelle le « vishing »), par email, sur les réseaux sociaux, sur des sites frauduleux et par bien d’autres moyens. Elle peut inclure des liens à cliquer ou des formulaires à remplir, mais il peut aussi simplement s’agir d’une conversation téléphonique avec le fraudeur.

Comment fonctionne le smishing

Les attaques de smishing ne sont pas toujours aléatoires, et il arrive que des entreprises ou des particuliers soient spécifiquement ciblés par des intentions malveillantes. Pour que l’hameçonnage par SMS fonctionne, un escroc a d’abord besoin de votre numéro de téléphone portable. Il a plusieurs façons de l’obtenir : des fuites de données principalement, mais parfois il peut se contenter de trouver des numéros aléatoirement. Il a de bonnes chances de trouver des numéros de téléphone actifs !

Une fois le numéro obtenu, la cyberattaque peut commencer. Voici ce qui se passe du point de vue de la victime.

La victime reçoit un SMS

Tout d’abord, la victime reçoit un message qui semble provenir d’une entreprise légitime. Il peut s’agir d’une banque, de PayPal, d’Amazon, d’une société qui travaille avec l’entreprise de la victime, d’une administration et de bien d’autres sources.

Souvent, le numéro de téléphone ou d’autres informations d’identification sont identiques ou suffisamment proches pour passer pour un expéditeur en qui la victime a confiance.

Les messages de smishing ont des caractéristiques communes : ils informent le destinataire qu’il doit cliquer sur un lien, remplir un formulaire, vérifier son adresse ou ses informations de connexion, ou même appeler ou envoyer un SMS afin de résoudre le problème inventé pour le piéger.

En général, ces escroqueries sont accompagnées d’un sentiment d’urgence : une situation importante nécessite une action immédiate. Parfois, le message d’hameçonnage peut même indiquer que le compte a été compromis par des pirates informatiques et que les informations de connexion doivent être modifiées.

La victime clique ou répond

Ensuite, si la victime ne comprend pas que ce message est frauduleux, elle peut cliquer sur un lien ou répondre au SMS, agissant rapidement comme demandé par l’expéditeur auquel elle fait confiance.

Si le message contient un ou plusieurs liens malveillants, le fait de cliquer dessus entraîne le téléchargement d’un virus, d’un malware ou d’un logiciel espion sur l’appareil mobile. Dans ce cas, rien ne semble s’être passé. Mais le pirate a installé un logiciel espion sur le smartphone de la victime et peut désormais voir les textes saisis et ainsi s’emparer de ses mots de passe et autres informations sensibles. La victime risque de s’apercevoir plus tard qu’une forte somme a été prélevée sur son compte et se demander comment cela a pu arriver.

La victime partage des informations sensibles

En cliquant sur le lien inclus dans le SMS d’hameçonnage, la victime peut également être dirigée vers un site qui semble appartenir à l’expéditeur, comme une banque. La page contient un formulaire ou une enquête à remplir. Une fois que la victime a répondu, les pirates disposent de suffisamment d’informations pour commettre des fraudes.

L’escroc utilise ces informations à des fins frauduleuses

Une fois les informations personnelles volées, les escrocs font tout ce qu’ils peuvent pour les exploiter à leur profit. Plus longtemps ils détiennent les données à caractère personnel de la victime sans qu’elle s’en rende compte, plus les dommages causés sont importants.

En fonction des informations personnelles que la victime a communiquées, l’attaquant peut être en mesure de lui voler immédiatement de l’argent. Il peut aussi être connecté à des réseaux qui lui permettent de vendre des informations privées sur des sites illicites.

Dans ce cas, la victime peut être escroquée par plusieurs personnes avant même de se rendre compte de ce qui se passe.

Infographie sur le fonctionnement du smishing (hameçonnage par SMS)

À quoi ressemble un SMS d’hameçonnage ?

Le phishing par SMS n’est qu’un des nombreux types de cybercriminalité, mais c’est l’un des plus dangereux, car certains messages semblent parfaitement authentiques. Même les personnes qui ont entendu parler des escroqueries par smishing en sont parfois victimes, car elles sont difficiles à repérer.

Voici les signes les plus courants qui indiquent qu’un message texte peut être une tentative d’hameçonnage :

Numéro d’expéditeur inhabituel

Si une entreprise connue vous envoie un SMS (et que vous avez accepté de recevoir des SMS de sa part), le numéro de téléphone avec lequel elle vous contacte devrait être facile à vérifier. Méfiez-vous des messages provenant de sources inconnues ou suspectes, surtout s’ils contiennent des demandes urgentes, des offres non sollicitées ou des liens.

Par exemple, si Amazon vous envoie un email indiquant que votre colis n’a pas pu être livré et que vous devez vérifier votre adresse, il ne vous donnera pas un numéro de téléphone utilisant votre indicatif local.

Mais faites attention : les escrocs utilisent parfois des numéros d’expéditeur masqués pour dissimuler leur véritable identité. Vous devez impérativement faire preuve de prudence et vérifier l’authenticité de tout message inattendu.

Fautes d’orthographe et de grammaire

Les fautes d’orthographe et de grammaire sont une autre caractéristique des arnaques par smishing. Les escrocs bâclent souvent leurs messages et peinent à formuler quelques phrases cohérentes sans faire de fautes de grammaire évidentes. Cependant, il est également essentiel de savoir que les escrocs sont devenus de plus en plus compétents, utilisant l’intelligence artificielle pour générer des messages remarquablement réalistes qui semblent avoir été écrits par un être humain.

Rappelez-vous que les organisations et les personnes sérieuses prennent généralement soin de communiquer de manière claire et professionnelle. Tout message contenant des erreurs d’orthographe, des structures de phrases maladroites ou des fautes de langue doit être considéré avec méfiance.

Lien tronqué, masqué ou suspect

Un autre moyen de repérer les escroqueries par smishing est d’étudier le lien sur lequel vous devez cliquer.

Le lien peut être très court et difficile à déchiffrer, ou masqué par des graphiques dans le texte. Vous pouvez également remarquer un caractère supplémentaire dans le lien, par exemple « paypall.com ». Ce « l » supplémentaire est un signe révélateur de fraude.

Parfois, il y a des caractères supplémentaires ailleurs, séparés par des points pour donner l’impression d’une URL technique. Par exemple ci-dessous, vous remarquerez que l’URL est « br1ckbank.com » alors que la banque légitime s’appellerait « Brick Bank ». Ce type de modifications légères mais suspectes des URL sont un bon exemple des techniques que les pirates utilisent souvent pour inciter les gens à cliquer.

Trois exemples de smishing côte à côte
Pour assurer votre sécurité, il est essentiel de faire preuve de prudence lorsque vous recevez des messages comportant des numéros d’expéditeur inhabituels, des fautes d’orthographe et de grammaire ou des URL suspectes.

9 exemples et techniques courantes d’arnaques par smishing

Voici quelques types d’attaques par hameçonnage que les escrocs peuvent utiliser pour vous tromper :

1. Fausses alertes de sécurité

Imaginez la situation : vous recevez une notification vous informant que votre compte a été piraté et que vous devez vérifier vos informations et changer votre mot de passe.

Il est important de s’interroger sur la légitimité de ce type de message. Ces fausses alertes de sécurité sont une technique classique de smishing, précisément parce qu’elles attirent votre attention. Les escrocs cherchent à vous tromper et à vous faire partager vos identifiants de connexion existants.

Si vous communiquez vos identifiants, l’escroc peut alors modifier votre mot de passe, et vous ne pourrez plus accéder à votre propre compte.

2. Arnaques aux loteries ou jeux-concours

Tout le monde aime gagner ! Les escrocs en profitent pour envoyer des messages qui semblent provenir d’entreprises en lesquelles vous avez confiance et qui vous annoncent que vous avez gagné une carte-cadeau ou une autre récompense. Il vous suffit de remplir un formulaire pour vérifier vos informations, et le prix sera à vous.

Sauf qu’il n’y a pas de prix. Une fois que vous avez rempli ce formulaire, le pirate dispose de toutes vos informations.

3. Escroqueries à la livraison de colis

« Votre colis n’a pas pu être livré et nous devons vérifier votre adresse. » Il s’agit d’un message d’arnaque à la livraison très répandu. La plupart des grands transporteurs se font régulièrement usurper leur identité par des pirates spécialisés dans le smishing. Méfiez-vous des escroqueries à la livraison qui prétendent provenir de La Poste, FedEx, UPS et des principales plateformes d’e-commerce comme Amazon.

4. Escroqueries aux fausses factures

Les tentatives d’hameçonnage peuvent aussi prendre la forme de fausses factures impayées. Vous recevez une facture qui semble provenir d’une source fiable comme PayPal ou une société de transport réputée, et qui prétend que vous devez de l’argent.

Mais la facture est fausse, et si vous la payez, les escrocs récupèrent non seulement votre paiement, mais aussi vos numéros de carte et d’autres données pour prélever davantage d’argent sur vos comptes. Par la suite, ils peuvent également vendre vos informations sur le dark web.

5. Demandes de codes de vérification

Malheureusement, les arnaqueurs ont trouvé un moyen de détourner l’authentification multifacteurs. Dans cette escroquerie, vous recevez un message vous indiquant que vous devez saisir un code de vérification pour confirmer telle ou telle action. Il peut s’agir d’un virement, d’un achat, d’un changement de mot de passe ou de tout autre événement nécessitant une vérification.

Mais en réalité, aucun événement ne s’est produit. Une fois que vous avez confirmé cette demande, les escrocs disposent de toutes vos informations, ce qui peut leur permettre d’accéder à vos comptes et à vos données à caractère personnel.

6. Escroqueries fiscales

Il s’agit d’une technique plutôt urgente et inquiétante de la part de fraudeurs qui se font passer pour l’administration fiscale. Ils envoient des messages disant que vous devez de l’argent aux finances publiques et qu’il y aura des conséquences désastreuses si vous ne réglez pas vos dettes rapidement. Cependant, il est important de savoir que l’administration ne travaille pas de cette manière et que si vous devez de l’argent, elle ne vous enverra pas de SMS. Dans le cas d’un contrôle ou d’un redressement fiscal, l’approche est plus formelle, comme un courrier papier.

Par ailleurs, une autre arnaque fiscale peut prétendre que vous avez un crédit d’impôt non réclamé. Plutôt que la peur, c’est cette fois l’attrait d’une soudaine rentrée d’argent qui vous incite à réagir.

Dans les deux cas, il est essentiel de savoir que ces communications ne proviennent pas de l’administration fiscale et que si vous y répondez, vous risquez de divulguer vos informations personnelles à des escrocs mal intentionnés.

7. Fausses alertes financières

Les arnaques aux alertes financières vous informent par SMS de prétendus événements récents ou imminents liés à vos comptes bancaires ou vos cartes.

Ces alertes font souvent référence à différents scénarios pour lesquels vous devez prendre des mesures immédiates, comme des virements depuis ou vers vos comptes, des modifications apportées à votre compte, de nouveaux avantages ou des offres spéciales disponibles pour une durée limitée. Restez vigilant et vérifiez l’authenticité de ces messages pour protéger la sécurité de vos données financières.

8. SMS prétendant provenir d’une personne que vous connaissez

L’escroquerie de type « personne de confiance » est particulièrement difficile à repérer si vous n’êtes pas vigilant. Si les informations d’un ami ou d’un collègue de travail ont été compromises, l’escroc peut être en mesure de vous envoyer un message provenant réellement de son numéro de téléphone.

Il peut par exemple vous parler d’une urgence familiale pour laquelle il a besoin d’aide ou d’un concours qu’il vient de gagner. Si le SMS ne ressemble pas à un message que votre ami ou collègue enverrait, c’est probablement parce qu’il est faux.

Vous apprendrez à traiter ces SMS suspects dans la section suivante.

9. Demandes d’informations sensibles

Cela englobe tout autre message suspect envoyé par SMS. Si un SMS vous demande des données sensibles, ou de cliquer sur un lien sans explication cohérente, il s’agit probablement d’une escroquerie.

Retenez ceci : très peu d’entreprises légitimes vous demanderont des informations sensibles par SMS. Les entreprises fiables sont conscientes des risques de fraude importants associés à cette pratique et, par conséquent, s’en abstiennent.

Comment se défendre contre le phishing par SMS (smishing)

N’oubliez pas qu’en tant qu’entreprise, le smishing peut vous nuire de deux manières. Il peut nuire à vos employés personnellement et à l’ensemble de votre entreprise. Tout dépend de la nature de la cyberattaque.

Si l’attaque comprend un lien qui charge un virus, un logiciel malveillant ou un rançongiciel sur les systèmes de votre entreprise, les escrocs pourraient avoir accès aux coordonnées de vos employés et à d’autres informations privées.

C’est l’un des moyens utilisés par les pirates pour envoyer des SMS qui semblent provenir de personnes connues. Ils détournent les informations de cette personne et profitent de la confiance que vous lui accordez pour essayer de vous faire partager de précieuses données à caractère personnel.

Que pouvez-vous donc faire pour éviter les attaques d’hameçonnage par SMS ? Voici quelques pistes.

Ne cliquez pas sur les liens d’une marque ou d’une personne que vous ne connaissez pas

Tout d’abord, la chose la plus simple à faire est de ne rien faire. Si vous ne connaissez pas l’expéditeur, ne répondez pas. Ne cliquez pas. Ne faites rien dans l’urgence ou sans réfléchir.

Contactez l’expéditeur pour vérifier l’authenticité d’un SMS

Si l’expéditeur semble légitime, mais que vous avez des doutes et que vous ne savez pas comment vérifier cela par vous-même, appelez l’entreprise, l’organisation ou la personne concernée et vérifiez directement auprès d’elle.

Recherchez ce type d’arnaque sur le web

Certaines escroqueries peuvent comporter des mots, des phrases ou d’autres informations suffisamment uniques pour permettre de les retrouver en ligne. Pour les arnaques qui circulent depuis un moment (ce qui est le cas de la plupart d’entre elles, puisque les escrocs ne sont pas assez créatifs pour en essayer de nouvelles chaque semaine), vous pourrez peut-être trouver des articles de blog et des commentaires les dénonçant.

Donc, si vous ne pouvez pas vérifier auprès de l’entreprise ou de l’institution, essayez de faire une recherche sur le web en utilisant les informations contenues dans le texte lui-même.

Supprimez le SMS si vous ne pouvez pas le vérifier

Si vous pensez vraiment qu’il s’agit d’une escroquerie, supprimez le SMS. S’il est légitime, n’ayez crainte, l’entreprise essaiera de vous recontacter si c’est important.

Formez vos employés au smishing

Enfin, pour les entreprises, ne laissez pas vos employés livrés à eux-mêmes. Créez sans attendre des programmes de formation qui expliquent les éléments à vérifier et l’attitude à adopter lors de la réception d’un SMS suspect.

Insistez sur les hameçonnages par SMS particulièrement difficiles à repérer, qui peuvent provenir de collègues ou d’autres entreprises avec lesquelles vous avez travaillé par le passé.

Encouragez les employés à signaler à l’équipe de sécurité interne toute tentative d’hameçonnage par SMS ou tout autre problème de cybersécurité. N’oubliez pas qu’une prise de conscience collective et un signalement rapide peuvent constituer la première ligne de défense de votre organisation contre l’hameçonnage par message.

As a side note, you can also begin to advocate for solutions at the policy level, as smishing and other messaging scams are a global problem.

Ce que les entreprises peuvent faire pour éviter le smishing

Le SMS est un outil de communication extraordinaire pour les entreprises, car il offre un moyen direct et efficace de communiquer avec les clients et les employés. Cependant, il est important que chacun d’entre nous se méfie des messages provenant d’entreprises inconnues et reste vigilant face à la menace de l’hameçonnage par SMS.

Voici quelques informations clés à transmettre à vos employés sur le phishing par SMS :

  • Vérifiez l’expéditeur : vérifiez l’authenticité des messages SMS, en particulier ceux qui demandent des informations personnelles ou financières.
  • Méfiez-vous des liens et des pièces jointes : ne cliquez pas sur les liens dans des SMS que vous ne reconnaissez pas. Même si le message semble provenir d’un contact connu, soyez prudent.
  • Signalez les messages suspects : signalez rapidement tout message douteux ou qui semble être une tentative d’hameçonnage.

La formation des employés n’est que l’une des nombreuses mesures que les entreprises peuvent prendre pour prévenir le phishing par SMS. Cela implique de sensibiliser les employés et les destinataires aux techniques employées par les fraudeurs et de renforcer les mesures de cybersécurité pour détecter et contrecarrer le smishing et autres escroqueries similaires telles que la fraude à la SIM Farm.

Check out our resources to help your business prevent fraud in business messaging. Or, learn about how Sinch SMS for operators can help you mitigate SMS fraud.

Blogs associés