L’hameçonnage, ou « phishing » en anglais, est une technique frauduleuse visant à tromper des internautes pour leur extorquer des informations personnelles et financières. Si le phishing par e-mail existe depuis longtemps, une nouvelle forme émerge aujourd’hui via les SMS: le « smishing ».
Dans cet article, nous allons découvrir ce qu’est le smishing, comment il fonctionne, quelles en sont les conséquences et comment s’en protéger. Nous verrons également les autres techniques d’hameçonnage comme le spear phishing, le whaling, le vishing ou encore le phishing par moteur de recherche.
Qu’est-ce que le « smishing » ?
Le « smishing », contraction de SMS et phishing, désigne une technique d’hameçonnage utilisant des SMS frauduleux. L’objectif est d’inciter l’utilisateur à communiquer ses données personnelles ou bancaires, ou encore à installer un logiciel malveillant.
⬥ Comment fonctionne le smishing ?
- La victime reçoit un SMS provenant soi-disant d’un organisme de confiance (banque, administration, site marchand…)
- Le message contient généralement un lien à cliquer ou un numéro à rappeler en urgence
- En cliquant sur le lien ou en rappelant, la victime est amenée à communiquer ses informations personnelles et bancaires ou à installer un virus
- Les cybercriminels utilisent ensuite ces informations à des fins frauduleuses (usurpation d’identité, achats en ligne avec les coordonnées bancaires dérobées…)
⬥ Pourquoi le smishing se développe-t-il ?
Les cybercriminels exploitent le fait que les SMS paraissent plus fiables que les e-mails. Ils sont aussi plus concis, donc moins susceptibles de contenir des fautes qui éveilleraient les soupçons. En outre, il est plus difficile avec un petit écran de smartphone de voir si l’on est redirigé vers un site frauduleux.
Par ailleurs, nous avons désormais l’habitude de recevoir des notifications ou des demandes de validation par SMS de la part d’entreprises ou d’administrations. Nous y répondons souvent de manière quasi automatique, ce qui profite aux fraudeurs.
Conséquences du smishing pour les victimes
Les conséquences du smishing peuvent être graves puisqu’il peut mener à:
- Le vol d’identité
- Le vol de données bancaires et des achats frauduleux
- Le piratage des comptes en ligne (messagerie, réseaux sociaux…)
- L’infection de son smartphone par un virus intrusif
Soyez vigilants!
Si vous recevez un SMS étrange vous demandant de communiquer vos données ou d’installer une application, ne donnez pas suite avant d’avoir vérifié son authenticité auprès de l’organisme concerné!
Comment reconnaître un SMS d’hameçonnage?
Certains signes doivent vous alerter quand vous recevez un SMS:
- Le message vous met la pression pour agir vite
- Le style semble étrange, négligé, avec des fautes
- L’expéditeur n’est pas clairement identifié
- Il vous demande de communiquer des informations confidentielles
- Il contient un lien ou un numéro de téléphone à rappeler
En cas de doute, contactez vous-même l’organisme dont l’identité a été usurpée avant de donner suite au SMS.
Que faire si vous êtes victime de smishing?
Si vous avez communiqué des informations suite à un SMS frauduleux:
- Contactez votre banque pour faire opposition si vos coordonnées bancaires ont été dérobées
- Changez vos mots de passe des comptes compromis
- Si votre mobile est infecté par un virus, appliquez les mesures de correction (antivirus, réinitialisation…)
- Signalez les SMS frauduleux au 33700 ou sur la plateforme Percev@l
- Déposez plainte au commissariat ou à la gendarmerie
Les autres techniques d’hameçonnage
Le smishing n’est pas la seule technique utilisée par les cybercriminels pour récupérer illégalement des données personnelles. On peut citer:
⬥ Le phishing par e-mail
Il s’agit de la technique historique d’hameçonnage. Elle consiste à envoyer un faux e-mail, par exemple en se faisant passer pour votre banque, avec un lien ou une pièce jointe piégée.
⬥ Le spear phishing
Cette technique cible un individu ou une organisation en particulier. L’e-mail est alors personnalisé avec des informations sur la cible pour gagner sa confiance.
⬥ Le whaling
Variante du spear phishing pour cibler spécifiquement les cadres dirigeants d’une entreprise.
⬥ Le vishing
Contraction de « voice » et « phishing », cette technique utilise le téléphone et la voix pour tromper les victimes.
⬥ Le pharming
Le pharming redirige l’internaute vers un site frauduleux sans qu’aucun clic ne soit nécessaire de sa part. Cela est rendu possible en piratant le serveur DNS.
⬥ Le smorting
Technique qui cible les objets connectés, fréquemment moins bien protégés, pour les infecter avec un virus et constituer un réseau de machines zombies.
Les bons réflexes de vigilance
Face à la recrudescence des techniques de phishing, voici quelques bons réflexes à adopter:
- Faire preuve de scepticisme face aux demandes urgentes et alarmantes
- Toujours vérifier l’authenticité des expéditeurs
- Ne jamais communiquer de données sensibles par SMS, e-mail ou téléphone sans vérification
- Installer un antivirus et le maintenir à jour sur tous ses appareils
- Sensibiliser ses collaborateurs en entreprise sur ces risques
Conclusion
Le smishing est un phénomène nouveau mais en pleine explosion. Les cybercriminels l’utilisent pour mieux abuser la confiance que nous accordons aux SMS. La prudence est de mise avant de répondre à toute sollicitation par ce biais.
Les autres techniques de phishing, comme le spear phishing ou le vishing, sont aussi en constante évolution pour exploitent au mieux les failles humaines. La vigilance et la vérification systématique des demandes reçues restent les meilleures protections face à ces menaces.