2023-08-22 07:45 Temps de lecture : 29 min
Technologie

Qu'est-ce qu'une attaque par smishing et comment la prévenir ?

Les escroqueries par messages textes malveillants, connues sous le nom d'attaques par "smishing", peuvent causer des pertes financières et de données importantes pour les particuliers et les entreprises.

Les cybercriminels tirent parti de la confiance que les utilisateurs accordent aux SMS, employant la peur ou l'excitation pour les manipuler et accéder à leurs données en un instant, souvent sans qu'ils ne s'en rendent compte.

Imaginez la situation : vous consultez vos SMS et recevez soudainement un message vous informant que vous avez remporté un prix important. Cela semble trop beau pour être vrai, mais cela vous intrigue.

La tentation de cliquer sur le lien contenu dans le SMS est forte. Cependant, une fois cela fait, vous pourriez découvrir avec consternation que votre compte bancaire est vidé ou que votre identité a été usurpée. Tout cela, à cause d'un simple message apparemment inoffensif.

Bienvenue dans l'univers des attaques par smishing – une menace en expansion qui prend par surprise même les personnes les plus averties.

En réalité, au cours des six premiers mois de 2021, les attaques par smishing ont connu une augmentation vertigineuse de 700% à l'échelle mondiale.

Il est donc devenu primordial de se protéger contre ces méthodes de manipulation.

Dans cet article, nous allons explorer en profondeur ce que sont les attaques par smishing, leurs différentes formes et les moyens de s'en prémunir.

Commençons !

Qu'est-ce que le smishing ?

Le smishing, contraction de "SMS phishing", est une forme de cyberattaque qui exploite la confiance, la peur, l'excitation et l'argent des victimes au moyen de SMS frauduleux, qui semblent authentiques. En réalité, ces messages sont conçus pour manipuler.

Ces messages incitent les destinataires à cliquer sur des liens malveillants ou à communiquer des informations confidentielles.

L'objectif des attaques par smishing est de dérober des informations personnelles, de l'argent ou même l'identité de la victime à des fins frauduleuses.

Dans ce type de cyberattaque, la victime reçoit un SMS indiquant qu'elle a gagné un prix ou qu'elle doit mettre à jour les informations de son compte de toute urgence. Le message contient souvent un lien malveillant. Il encourage la victime à cliquer sur ce lien pour réclamer son prix ou apporter des modifications à son compte.

Il est donc essentiel de faire preuve de prudence car il s'agit de stratagèmes utilisés par les cybercriminels pour tromper les gens et mener des attaques.

En 2021 et 2022, une proportion alarmante de 76% des organisations dans le monde ont été confrontées à au moins une attaque par smishing, selon Statista. Ce chiffre met en évidence l'étendue de cette menace.

La sécurité commence par la vigilance. Évitez de cliquer sur des liens et de divulguer des informations personnelles à moins d'être certain de l'authenticité du message. Examinez attentivement l'identité de l'expéditeur et soyez attentif aux erreurs ou aux demandes inhabituelles. N'oubliez pas que les entreprises légitimes, comme les banques, ne demanderont jamais vos mots de passe ou informations sensibles par SMS.

Hausse de l'utilisation des téléphones portables et smishing : y a-t-il lieu de s'inquiéter ?

L'omniprésence des appareils mobiles dans la vie quotidienne accroît le risque d'attaques par smishing. Cette situation est particulièrement préoccupante pour les particuliers comme pour les entreprises.

L'augmentation de l'utilisation des téléphones portables a créé une opportunité lucrative pour les cybercriminels qui cherchent à exploiter les informations et l'argent. En 2021, environ 87,8 milliards de spams ont été envoyés à des numéros de téléphone rien qu'aux États-Unis. Ces messages ont causé des pertes de plus de 10 milliards de dollars.

Aujourd'hui, les téléphones sont devenus des outils indispensables pour des tâches telles que les opérations bancaires et les interactions sociales. Cependant, cette dépendance grandissante expose les individus aux stratégies de manipulation employées par les cybercriminels. Ces attaquants envoient des messages convaincants qui incitent les gens à agir de manière impulsive, sans réfléchir.

Les conséquences du smishing peuvent être désastreuses, entraînant la perte d'économies et le vol de données et d'identité. Il est donc essentiel de comprendre que le smishing ne se résume pas à une simple nuisance, mais qu'il représente une menace sérieuse pour votre sécurité financière et votre vie privée.

Il est compréhensible que vous ne puissiez pas vous passer de votre téléphone, car il est devenu indispensable à votre vie personnelle et professionnelle. Cependant, vous pouvez vous informer et faire preuve de prudence. En étant conscient des risques et en restant vigilant, vous pouvez vous prémunir contre les attaques par smishing.

Types d'attaques par smishing

En vous familiarisant avec les différentes formes d'attaques par smishing, vous apprendrez à reconnaître et à éviter de tomber dans le piège de ces tactiques malveillantes.

Explorons les différents types d'attaques par smishing :

Phishing

Cette forme classique de smishing vous pousse à cliquer sur des liens malveillants qui vous redirigent vers de faux sites Web. Ces sites peuvent ressembler à des sites légitimes, comme celui de votre banque. Une fois sur ces sites, vous êtes invité à saisir vos informations sensibles, que l'attaquant capture et utilise à des fins malveillantes.

Vishing Smishing

Il s'agit d'une approche plus personnalisée. Les escrocs utilisent des appels vocaux en complément des SMS. Ils peuvent laisser des messages vocaux ou envoyer des SMS vous informant de comptes compromis ou d'activités frauduleuses, et vous demandant d'appeler un numéro ou de cliquer sur un lien. Si vous le faites, ils extraient des informations personnelles vous concernant.

Smishing de prix

L'idée de gagner quelque chose de manière inattendue peut susciter l'enthousiasme. Les cybercriminels exploitent cette tendance en envoyant des SMS vous félicitant d'avoir remporté un prix, alors que vous n'avez jamais participé à un tel concours.

Dans ce type d'attaque par smishing, l'attaquant vous demande vos informations personnelles ou une "petite somme" pour réclamer le prix. Après avoir récupéré votre argent et vos données, ils disparaissent.

Smishing financier

Ces messages imitent souvent des institutions financières légitimes et vous avertissent d'activités suspectes sur votre compte qui nécessitent une action immédiate. Par peur de cette situation, vous risquez de cliquer sur le lien fourni et de donner involontairement accès à votre compte.

Action urgente

Ces messages jouent sur le sentiment d'urgence en vous alertant sur une situation nécessitant une action immédiate. Qu'il s'agisse de mettre à jour votre compte, de confirmer un achat ou de vérifier une transaction, ces messages ont pour but de vous faire agir rapidement, sans réfléchir.

Application Smishing

Les attaquants peuvent vous envoyer un SMS qui semble provenir d'une boutique d'applications connue, vous invitant à télécharger une mise à jour ou une nouvelle application. Cependant, le lien mène à un faux site qui télécharge des logiciels malveillants sur votre appareil.

Amitié

Cette technique particulièrement trompeuse implique des cybercriminels qui se font passer pour des amis ou des membres de votre famille. Ils peuvent vous demander une aide financière ou des informations sensibles, exploitant votre confiance en vos relations.

Smishing de voyage

Jouant sur l'envie de voyager, les escrocs peuvent envoyer des SMS concernant des offres de voyage exclusives ou des confirmations de réservation pour des voyages que vous n'avez jamais planifiés. Cliquer sur ces liens peut entraîner un vol de données ou l'installation de logiciels malveillants.

Smishing caritatif

Les cybercriminels profitent de votre bonne volonté en envoyant des messages prétendument issus de fausses organisations caritatives suite à une catastrophe ou à une situation de besoin. Ils sollicitent des dons, mais l'argent ne parvient jamais à ceux qui en ont besoin.

Alerte de sécurité Smishing

Ces messages exploitent les craintes liées aux failles de sécurité, en indiquant que votre compte a été compromis. Ils vous incitent à prendre des mesures immédiates ou à partager des informations sensibles, telles que des codes de vérification, avec les attaquants. Si vous suivez leurs instructions, ils peuvent vider vos comptes bancaires ou obtenir un accès non autorisé à des fins malveillantes.

Exemples concrets d'attaques par smishing et leurs conséquences

Examinons quelques exemples concrets de ces attaques et de leurs graves conséquences.

#1. Le "compromis de compte bancaire"

Imaginez que vous receviez un SMS d'un numéro qui semble être celui de votre banque et qui vous informe d'une activité non autorisée sur votre compte. Le message vous demande de cliquer sur un lien pour vérifier vos coordonnées.

La victime clique sur le lien et saisit ses informations personnelles. Les attaquants accèdent alors à ses comptes bancaires, ce qui entraîne des pertes financières.

Cas : L'attaque par smishing de l'université Deakin est un exemple marquant. Elle a mis en danger l'identité et les données de près de 47 000 étudiants et anciens élèves. L'attaque a été rendue possible par la compromission des identifiants d'un employé, qui a permis à un individu non autorisé d'accéder à un service d'envoi de SMS en masse utilisé par l'université.

#2. L'arnaque de la "carte-cadeau gratuite"

Les victimes reçoivent des messages indiquant qu'elles ont gagné une carte-cadeau ou un prix. Il leur suffit de fournir leurs informations personnelles ou de payer des frais d'expédition pour recevoir le prix ou la carte-cadeau. Une fois que le destinataire a fourni ces informations ou payé les frais, l'attaquant disparaît, escroquant la victime et compromettant ses données personnelles.

Cas : L'usurpation d'identité par un organisme gouvernemental est un exemple d'arnaque à la carte-cadeau. Des personnes ont reçu des appels téléphoniques d'escrocs se faisant passer pour des représentants d'agences gouvernementales, comme la Social Security Administration.

Cette arnaque a connu une recrudescence significative en 2021. La Federal Trade Commission (FTC) a estimé que près de 40 000 consommateurs ont déclaré une perte de 148 millions de dollars au cours des neuf premiers mois de l'année. La perte moyenne par victime est passée de 700 $ en 2018 à 1 000 $ en 2021. Les personnes âgées de 50 ans et plus sont particulièrement vulnérables à ces escroqueries.

#3. L'astuce de la "fausse mise à jour de l'application"

Vous pourriez recevoir un message vous demandant de mettre à jour une application populaire. Soyez prudent si cela se produit.

Le lien contenu dans le message redirige vers une fausse application infectée par un logiciel malveillant. Si vous installez cette application, vos informations personnelles, y compris vos données bancaires, peuvent être volées. De plus, votre appareil peut être compromis, permettant aux pirates d'en prendre le contrôle.

Cas : Un rapport de ZDNet a révélé qu'une attaque de logiciel malveillant de type cheval de Troie se cachait dans une fausse mise à jour du système Android. Les utilisateurs étaient incités à mettre à jour leur système. Lors du téléchargement et de l'installation de cette "mise à jour", celle-ci agissait comme un cheval de Troie d'accès à distance, donnant aux attaquants un contrôle total sur l'appareil de la victime. Ce logiciel malveillant sophistiqué pouvait intercepter un grand nombre de données, notamment les SMS, les photos et même les données GPS, ainsi qu'enregistrer les conversations téléphoniques. Il s'agissait de l'une des souches de logiciels malveillants Android les plus intrusives.

#4. La menace "IRS"

Des personnes ont reçu des SMS prétendument envoyés par l'Internal Revenue Service (IRS), leur demandant de régler immédiatement des impôts en souffrance ou les avertissant de conséquences juridiques. Par peur, les victimes obéissent en communiquant leurs informations financières ou en effectuant le paiement demandé. Il en résulte des pertes financières et une identité exposée.

Cas : En septembre 2022, l'Internal Revenue Service (IRS) a mis en garde contre une recrudescence des escroqueries par SMS. Ces SMS frauduleux attiraient souvent les victimes avec de fausses promesses d'aides liées à la COVID, de crédits d'impôt ou d'assistance pour la création d'un compte en ligne de l'IRS.

Un incident a impliqué un contribuable ayant reçu un message indiquant qu'il devait des impôts en souffrance et qu'il devait cliquer sur un lien pour régler sa situation. En cliquant sur ce lien, il a été redirigé vers un site de phishing qui visait à récupérer ses informations personnelles et bancaires.

#5. L'arnaque "Confirmation de voyage"

Des victimes ont reçu un SMS prétendant être une confirmation de voyage pour un voyage qu'elles n'avaient pas réservé. Par curiosité, elles ont cliqué sur le lien pour annuler la réservation, téléchargeant ainsi un logiciel malveillant sur leur appareil.

Ce logiciel malveillant peut voler des informations personnelles, des identifiants de connexion et même enregistrer les frappes au clavier. Il compromet la vie privée et peut entraîner des pertes financières.

Cas : Mevonnie Ferguson, une résidente du Kent au Royaume-Uni, a été victime d'une escroquerie à la réservation de vols. Elle a été trompée par un escroc se faisant passer pour une agence de voyages nommée Infinity Global Travel. On lui a vendu ce qui semblait être un billet d'avion légitime de British Airways de Londres à Kingston, en Jamaïque. Après avoir vérifié la réservation sur le site Web de BA à l'aide du numéro de confirmation, celle-ci semblait valide. Cependant, environ deux semaines après l'achat et quelques jours seulement avant son départ, la réservation avait disparu du site Web de BA. En contactant la compagnie aérienne, elle a découvert qu'aucun vol n'était réservé à son nom. L'escroc avait exploité la différence entre une réservation "confirmée" et une réservation "avec billet", faisant apparaître une réservation comme valide alors qu'en réalité, il ne s'agissait que d'une réservation temporaire.

#6. L'"arnaque amoureuse"

Source : Crystalblockchain

Dans certains cas, les cybercriminels nouent des liens émotionnels avec leurs victimes par le biais de SMS, en prétendant être intéressés par une relation amoureuse. Une fois la confiance établie, ils manipulent les victimes pour qu'elles communiquent des informations personnelles et financières, ce qui peut entraîner du chagrin, de la trahison et des pertes financières.

Cas : Un cybercriminel s'est fait passer pour le général Paul Nakasone, directeur de la National Security Agency et chef de l'US Cyber Command, dans le but d'attirer des femmes dans une arnaque amoureuse. L'escroc a lancé de fausses conversations par e-mail avec des femmes sur les réseaux sociaux, en utilisant l'identité du général. Dans un cas, l'imposteur a affirmé être en poste en Syrie et a inondé une femme de messages religieux, l'incitant à communiquer via Google Hangouts.

Mesures préventives contre les attaques par smishing

Les conséquences des attaques par smishing ne sont pas seulement financières : elles peuvent également briser la confiance, compromettre la vie privée et laisser des séquelles émotionnelles aux victimes.

Examinons quelques moyens efficaces de se protéger contre les attaques par smishing :

#1. Sensibilisation et formation

Dans un environnement numérique interconnecté, il est essentiel pour votre organisation de doter son personnel des connaissances nécessaires pour protéger les informations sensibles.

Selon un rapport d'ID Agent, les entreprises sont confrontées à un coût moyen de 15 000 $ dû aux attaques par smishing. L'impact financier souligne la nécessité de sensibiliser votre équipe.

Pour renforcer vos défenses contre les cybermenaces, il est essentiel d'organiser des formations complètes sur le smishing et de sensibiliser l'ensemble de l'organisation. Cela permettra à chacun de se préparer à ces attaques et de réagir de manière appropriée.

De plus, la participation à des ateliers qui donnent un aperçu des attaques par smishing permet à vos employés de faire la distinction entre les messages légitimes et les escroqueries potentielles. En leur donnant la capacité d'identifier les liens suspects, les demandes urgentes ou les demandes inattendues, vos employés deviennent une barrière contre les attaques malveillantes.

#2. Vérification de l'identité de l'expéditeur

La vigilance est votre première ligne de défense dans un monde où les SMS frauduleux peuvent se fondre dans votre boîte de réception. Lorsque vous recevez un SMS qui vous invite à agir immédiatement ou vous demande des données confidentielles, prenez le temps d'examiner les informations d'identification de l'expéditeur.

Vérifiez le numéro ou l'adresse e-mail de l'expéditeur, en vous assurant qu'il correspond aux informations de contact officielles de l'institution concernée. Les entités légitimes n'ont pas recours aux SMS pour demander des informations sensibles.

En confirmant l'identité de l'expéditeur, vous réduisez considérablement le risque de devenir la cible d'attaques par smishing.

#3. Faire preuve de prudence avec les SMS

Il est important d'appliquer les mêmes précautions que pour les e-mails aux SMS afin de protéger vos actifs numériques. Les cybercriminels exploitent souvent la facilité et la familiarité des SMS pour manipuler leurs cibles.

Traitez chaque SMS avec prudence, tout comme vous le feriez avec les e-mails provenant de personnes inconnues. Évitez de cliquer immédiatement sur des liens ou de télécharger des contenus si vous ne connaissez pas l'expéditeur. Examinez attentivement les messages pour repérer d'éventuels éléments suspects ou demandes inhabituelles.

#4. Sécurisation des appareils mobiles

À l'ère numérique où nos appareils mobiles contiennent une multitude d'informations personnelles et confidentielles, il est crucial de donner la priorité à leur sécurité.

Une bonne mesure pour lutter contre les attaques par smishing consiste à mettre en œuvre des fonctions de sécurité avancées comme les verrous biométriques utilisant les empreintes digitales ou la reconnaissance faciale. Ces fonctions ajoutent une couche de protection supplémentaire.

Il est également essentiel de maintenir les mises à jour de sécurité à jour pour garantir une protection optimale. En mettant régulièrement à jour vos appareils mobiles, vous créez une défense solide contre les cybermenaces potentielles et vous vous protégez contre les vulnérabilités que des individus malveillants pourraient exploiter. Investissez également dans des solutions de sécurité pour créer une barrière solide contre les menaces de smishing.

#5. Utiliser l'authentification multifacteur

Pour renforcer la sécurité de vos données numériques, l'authentification multifacteur (AMF) est une stratégie puissante. En plus de la sécurité basée sur un mot de passe, l'AMF requiert une couche de vérification supplémentaire, généralement par le biais d'un code envoyé sur un autre appareil ou par analyse d'empreinte digitale.

En intégrant ce système de sécurité, vous compliquez la tâche des attaquants potentiels qui tentent d'accéder à vos comptes, ce qui vous protège contre les tentatives frauduleuses.

#6. Utiliser des mots de passe complexes

Vos téléphones, ordinateurs et autres appareils contiennent une grande partie de vos informations privées. Une façon simple mais efficace de protéger vos données est d'utiliser des mots de passe complexes pour chaque appareil.

Créez des mots de passe complexes qui combinent des lettres, des chiffres, des symboles, et des majuscules et minuscules. Cela rendra plus difficile pour les pirates de deviner vos mots de passe, ce qui vous aidera à contrecarrer les attaques potentielles.

#7. Signaler les attaques par smishing

En tant que personne informée et responsable, vous jouez un rôle important dans la lutte contre les cybercriminels. En signalant les incidents aux autorités compétentes, vous aidez la police et d'autres entités à attraper les criminels responsables de ces attaques.

Il est également essentiel de sensibiliser vos proches et vos collègues à ces incidents. Cette action collective permet d'empêcher la diffusion de messages nuisibles et d'assurer une sécurité accrue pour tous.

#8. Utiliser des applications de messagerie cryptées

Si vous devez partager des informations sensibles, l'utilisation d'applications de messagerie cryptées est une sage décision. Ces applications utilisent des techniques avancées pour transformer vos messages en un langage crypté que seul le destinataire prévu peut comprendre. Cela protège vos messages.

Que vous discutiez d'une transaction financière ou de vos données personnelles, les applications de messagerie cryptées offrent une confidentialité supplémentaire. Cela permet de garantir que seule la bonne personne peut déverrouiller et lire le message. De plus, inciter vos proches à utiliser ces applications contribue à la sécurité de tous lors des communications en ligne.

Derniers mots

Les escrocs utilisent les SMS pour inciter les individus à divulguer des informations personnelles ou à cliquer sur des liens dangereux. Il est donc essentiel de rester vigilant face aux attaques par smishing.

Pour créer une défense solide, formez votre équipe, vérifiez les informations de l'expéditeur, soyez prudent avec les SMS, sécurisez vos appareils et utilisez des mesures de sécurité robustes, telles que l'authentification multifacteur et des mots de passe complexes.

De plus, signalez les SMS suspects et utilisez des applications de messagerie cryptées pour renforcer la sécurité. Vos efforts peuvent faire une grande différence en contribuant à un monde numérique plus sûr pour tous.

Découvrez également les escroqueries courantes sur WhatsApp et comment s'y préparer.

Auteur
Camille Moreau
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2026-05-15
Découvrez la montre connectée légère HUAWEI WATCH FIT 5 Pro, votre alliée au quotidien  
Dans un monde où l'innovation ne cesse d'évoluer, la HUAWEI WATCH FIT 5 Pro se présente comme une option incontournable pour les amateurs d…
2026-05-05
Énergie solaire en Europe : comment bien préparer une installation photovoltaïque professionnelle ?
L’énergie solaire n’est plus seulement une solution réservée aux passionnés d’écologie ou aux grands projets industriels. Elle devient, pro…
2026-03-31
Comment économiser sur un vélo électrique : conseils pratiques pour payer moins cher en Europe
Acheter un vélo électrique représente souvent un investissement important. Entre le prix du modèle, les accessoires, la livraison et l’entr…
2026-03-11
Optimisez vos performances : Pourquoi la huawei watch gt runner est l'alliée incontournable des marathoniens en 2026 ? 
Si vous avez déjà pris le départ du Marathon de Paris ou couru le long des quais de Bordeaux, vous savez que chaque détail compte dès que l…
Article précédent
Développement RH (DRH) vs Gestion RH (GRH) : différences expliquées
Article suivant
Que se passe-t-il si un échange de crypto-monnaie fait faillite ?