Comprendre le smishing et s’en protéger

Dans notre dernier article, nous évoquions le quishing, une forme de phishing permettant à des cyberattaquants d’obtenir des informations personnelles ou bancaires à l’aide de faux QR code.

Pour rappel, le phishing, aussi appelé hameçonnage en français, est une technique utilisée par des pirates pour obtenir des informations personnelles (mots de passe, identifiants, données bancaires…) de la part de leur victime grâce à des campagnes d’emails envoyés en masse ou à des sites internet frauduleux. L’objectif des cybercriminels est ensuite de se servir des informations personnelles dérobées pour les utiliser à titre illicite ou frauduleux, faire de l’usurpation d’identité, exposer les données ou pour les revendre sur le darknet.

Dans la grande famille du phishing, il existe également une autre forme d’attaque permettant à des pirates de dérober des informations personnelles : le smishing. Ce type d’attaque connait une croissance importante depuis 2020 selon cybermalveillance.gouv.fr. Dans cet article, nous revenons sur ce qu’est le smishing et comment se protéger contre ces attaques.

Le smishing est le contraction de « SMS » et « phishing ». On parle également de hameçonnage par SMS.

Vous l’aurez compris, le smishing consiste à envoyer des SMS frauduleux à un maximum de personnes, grâce à des listes de diffusion téléphonique ou sur des numéros ciblés au préalable, afin de récupérer des données personnelles ou financières. L’objectif peut également être de pousser des victimes à télécharger des logiciels malveillants qui permettront de dérober ces mêmes données ou de prendre le contrôle de l’appareil.

Si la victime clique sur le lien contenu dans le SMS, elle est redirigée vers un faux site internet, permettant aux pirates de récupérer les informations personnelles ou financières convoitées (identifiants, mots de passe, numéros de carte bancaire, numéros de sécurité sociale, informations d’identité…). Parmi les scénarios possibles, ces dernières pourront être utilisées pour faire de l’usurpation d’identité, être revendues sur le darknet ou n’être que la première étape d’une attaque de plus grande envergure pour laquelle vos informations étaient nécessaires.

Pour perpétrer ce type d’attaque, les pirates utilisent beaucoup ce qu’on appelle l’ingénierie sociale pour gagner la confiance de leurs victimes et les pousser à agir dans l’urgence. Les attaquants jouent, en effet, un maximum avec les émotions de leurs victimes en essayant de leur faire peur ou en suscitant de la curiosité ou un intérêt financier à travers une offre alléchante. Ils se font passer pour des institutions financières ou officielles (service des impôts, opérateurs de téléphonie, banques, un expéditeur de courrier…) pour faire croire à leur victime qu’il y a un problème sur leur compte, une amende ou des frais de livraison à payer… Dans tous les cas, le message contient une action urgente impliquant un compte ou une somme d’argent à régler.

Les pirates, aussi appelés « smishers » pour ce type d’attaque, profitent du fait que les victimes sont souvent plus enclines à lire et à cliquer rapidement sur des SMS. Ils exploitent ainsi des réflexes moins vigilants que face à un email suspect par exemple. Ils profitent également du fait que, de plus en plus, de téléphones portables sont utilisés dans les pratiques professionnelles aujourd’hui, ce qui permet aux attaquants d’accéder plus facilement aux réseaux d’entreprise.
Il est également plus difficile de repérer un lien dangereux sur une téléphone que sur un ordinateur, sur lequel il est possible de passer sa souris pour vérifier l’URL du lien. Les téléphones disposent également d’un niveau de sécurité souvent moins important que les ordinateurs en termes d’antivirus, pare-feu ou VPN.

Voici quelques conseils pour se protéger du smishing :

1. Se montrer septique : si vous recevez un SMS avec un message vous indiquant que vous avez gagné un prix ou vous incitant à régler une amende dans les plus brefs délais ou encore si vous recevez une demande d’une soi-disant institution financière vous demandant des informations d’identification, cela doit vous alerter. Une banque nous vous demandera jamais de lui envoyer des informations par SMS. De la même manière, des frais de livraison ne sont jamais à régler par SMS. De manière générale, tout sentiment d’urgence doit vous alerter.
2. Ne pas cliquer sur les liens automatiquement : Si vous recevez un SMS vous incitant à cliquer sur un lien, prenez le temps de vérifier l’authenticité du message avant de cliquer. En cas de doute, contactez directement l’institution en cause (banque, impôts, opérateur téléphonique…).
3. Ne pas envoyer d’informations sensibles par SMS : préférez des solutions d’envois chiffrés comme Wysam pour envoyer des informations bancaires (RIB, numéros de carte bancaires) ou tout autre information sensible.
4. Utiliser des solutions de filtrage SMS : il est possible de mettre en œuvre des options de filtrage de SMS pour identifier et bloquer des messages suspects reçus par SMS.
5. Télécharger vos logiciels auprès d’éditeurs officiels : si vous recevez un SMS vous invitant à télécharger telle ou telle solution en cliquant sur un lien, méfiez vous.
6. Installer un antivirus sur son téléphone : pour se protéger contre des liens malveillants. L’antivirus doit être maintenu à jour.
7. Activer l’authentification multifacteur : Autant que possible, activez l’authentification multifacteur sur vos comptes en ligne. Cela ajoute une couche de sécurité supplémentaire en cas de compromission de vos informations d’identification. Les codes générés par ces applications sont personnels au même titre que vos mots de passes : ils ne se partagent jamais.
8. Informer votre entourage : Plus l’information sur ce type d’attaque sera importante, moins de personnes seront susceptibles de se faire piéger.
9. Signaler le SMS frauduleux : sur la plateforme 33700, afin de permettre le filtrage et l’investigation autours de numéros frauduleux.