Le smishing et le phishing, deux formes d’attaques d’ingénierie sociale, cherchent à duper les individus pour qu’ils divulguent des informations confidentielles.
Le phishing se manifeste par l’envoi d’emails contenant des pièces jointes ou des liens corrompus. Le smishing, quant à lui, combine SMS et phishing, en utilisant des messages textuels incitant les destinataires à cliquer sur des liens malveillants ou à composer des numéros de téléphone frauduleux.
Dans ces types d’attaques, les cybercriminels exercent une pression sur leurs cibles en les menaçant de conséquences graves si elles ne réagissent pas immédiatement. Les victimes, prises au dépourvu, risquent de communiquer des données sensibles, telles que des mots de passe ou des informations bancaires.
Avant d’explorer les similitudes et les différences entre le smishing et le phishing, penchons-nous sur la définition de chacun de ces termes.
Qu’est-ce que le smishing ?
Le smishing est une technique par laquelle des individus malveillants envoient des SMS contenant des liens dangereux ou de faux numéros de téléphone à des utilisateurs de téléphones mobiles. Ils emploient un langage trompeur et convaincant pour pousser l’utilisateur à interagir avec le message.
Les attaquants peuvent exploiter le sentiment d’urgence en évoquant, par exemple, un colis en transit nécessitant un paiement rapide, la confirmation d’une transaction financière ou le règlement d’une facture impayée.
Qu’est-ce que le phishing ?
Le phishing consiste à envoyer des emails frauduleux contenant des liens ou des pièces jointes malveillantes, redirigeant l’utilisateur vers un serveur contrôlé par l’attaquant ou installant des logiciels malveillants susceptibles de dérober des informations confidentielles.
Le site web frauduleux peut être une copie presque identique d’un site légitime, mais avec une adresse légèrement différente. Il peut contenir un formulaire de connexion qui permet aux pirates de voler les identifiants de connexion de la victime.
Smishing et phishing : points communs
Le smishing et le phishing exploitent tous deux des techniques d’ingénierie sociale pour amener des personnes peu méfiantes à révéler des informations sensibles. Voici leurs similitudes :
- Chacun utilise un langage persuasif pour avertir les victimes de dangers potentiels si elles ne réagissent pas rapidement. Ils peuvent menacer de fermer un compte bancaire ou de carte de crédit, de couper l’électricité ou la ligne téléphonique, ou d’autres actions négatives si la victime ne clique pas sur un lien fourni.
- Ils contiennent des liens malveillants menant vers des sites contrôlés par les attaquants, susceptibles de voler des informations d’identification, d’installer des logiciels espions ou des virus, ou de compromettre l’appareil de l’utilisateur.
- Urgence : ces attaques suscitent un sentiment d’urgence et peuvent proférer des menaces ou avertir la victime de conséquences négatives si elle ne répond pas immédiatement.
- Tromperie : les deux techniques utilisent la manipulation et la tromperie. Les attaquants usurpent souvent l’identité d’entreprises connues telles que Microsoft, Amazon, Google, afin de gagner la confiance des victimes et de les inciter à communiquer des informations sensibles.
- Objectif commun : le but principal est de soutirer des informations sensibles telles que les identifiants de connexion, les informations de carte bancaire, etc.
Smishing et phishing : différences
Le tableau ci-dessous résume les principales différences entre le smishing et le phishing.
| Caractéristiques | Smishing | Phishing |
| Vecteur d’attaque | Utilise des SMS avec des URL raccourcies ou de faux numéros de téléphone. | Utilise des emails avec des liens ou pièces jointes malveillantes. |
| Moyen | Téléphone ou appareil mobile | Ordinateur ou appareil mobile accédant aux emails |
| Portée et impact | 2,65 milliards de SMS spam envoyés et reçus par semaine en avril 2022. Le taux de clics sur les liens est plus élevé que pour les emails. Le smishing peut compromettre plus d’utilisateurs que le phishing. | Environ 3,4 milliards d’emails de phishing sont envoyés quotidiennement. Le taux de clics est cependant inférieur à celui du smishing. |
| Mécanisme de livraison | SMS vers un téléphone mobile | Emails vers un ordinateur ou appareil |
| Conscience des utilisateurs | Un grand nombre d’utilisateurs ne sont pas conscients des attaques de smishing, ce qui les rend plus vulnérables. | La plupart des utilisateurs sont conscients des risques du phishing. |
| Liens | Liens raccourcis malveillants et faux numéros | Liens et pièces jointes malveillants |
| Exploitation de l’appareil | Environ 60% des utilisateurs de téléphones mobiles ne sont pas conscients du smishing et en sont donc des cibles faciles. | Les informations confidentielles peuvent être extraites d’un ordinateur. Les attaquants peuvent également utiliser un appareil infecté pour propager des virus. |
| Urgence | Messages très urgents et convaincants nécessitant une réponse immédiate. | Emails urgents, mais moins que le smishing. |
Comment se protéger ?
Voici quelques mesures pour se protéger contre le smishing et le phishing :
- Utiliser une solution de sécurité de messagerie performante : installez des logiciels antivirus, des pare-feu puissants, des filtres anti-spam, des outils d’analyse de liens, des solutions anti-phishing, etc. Ces outils aident à identifier et à bloquer les emails de phishing.
- Mettre en place l’authentification multifacteur (MFA) : la MFA renforce la sécurité en demandant à l’utilisateur une vérification supplémentaire en plus du mot de passe, par exemple un code envoyé à un téléphone mobile.
- Mettre à jour régulièrement les systèmes d’exploitation et les applications : en effectuant les mises à jour, vous vous assurez que votre système est à jour avec les correctifs de sécurité les plus récents.
- Adopter des pratiques de sécurité : informez-vous sur les nouvelles techniques employées par les cybercriminels, apprenez à détecter les signaux d’alarme de l’ingénierie sociale, comme les fautes d’orthographe, l’urgence, les noms de domaine erronés, etc.
- Sensibiliser à la sécurité : les entreprises doivent former leur personnel aux risques du phishing et du smishing. Les particuliers doivent informer leur famille et leurs amis sur les messages de spam.
- Signaler les tentatives d’attaques : informez votre banque ou l’institution concernée et signalez l’incident aux autorités compétentes.
- Effectuer des simulations de phishing : des tests simulés permettent d’évaluer la réactivité des employés face aux attaques.
- Protéger les informations sensibles : limitez l’accès aux données et accordez uniquement les privilèges nécessaires.
- Ignorer ou supprimer tout SMS ou email suspect : évitez de cliquer sur des liens ou des pièces jointes suspects et ne divulguez jamais d’informations personnelles par SMS ou email.
Que faire après une attaque ?
Malgré les efforts de sécurité, de nombreux messages frauduleux parviennent toujours à contourner les filtres.
Même les utilisateurs informés peuvent être piégés. Il est donc important de savoir comment réagir en cas d’attaque.
#1. Déterminer comment l’attaque s’est produite
Analysez les raisons de l’attaque et si vos solutions de sécurité doivent être améliorées.
#2. Évaluer l’impact de l’attaque
Examinez l’email de phishing, identifiez son objectif, les données ciblées et l’étendue de l’attaque. Surveillez de près vos comptes bancaires et en ligne pour détecter toute activité inhabituelle.
#3. Informer l’entreprise concernée
Prévenez l’entreprise dont le nom a été usurpé afin qu’elle puisse informer ses clients.
#4. Isoler l’appareil du réseau
Si votre appareil est infecté, déconnectez-le du réseau afin d’empêcher la propagation du malware et la fuite de données.
#5. Nettoyer l’appareil
Utilisez un outil de nettoyage fiable et rétablissez un bon état antérieur du système si nécessaire. Modifiez également les mots de passe des comptes compromis.
Conclusion
Les particuliers et les entreprises utilisant des appareils mobiles et des ordinateurs sont exposés aux attaques de smishing et de phishing. Les techniques d’ingénierie sociale sont utilisées pour soutirer des mots de passe et des données personnelles.
La vigilance et la connaissance des bonnes pratiques de cybersécurité sont essentielles. Apprenez à reconnaître les signaux d’alerte tels que l’urgence et les demandes d’informations personnelles. En cas de doute, ignorez le message et contactez directement l’organisation concernée.
Qu’est-ce que le spooling et comment s’en protéger ?