Alors que les internautes sont de plus en plus avertis en matière de cybercriminalité, les criminels cherchent continuellement de nouveaux moyens d’escroquer les gens de leur identité, de leurs données ou de leur argent. La popularité croissante du marketing par SMS offre aux fraudeurs un nouveau support à cibler, c’est pourquoi nous constatons aujourd’hui une augmentation de l’usurpation d’identité par SMS et du smishing.

Qu’est-ce que le SMS Spoofing ?

Un cybercriminel met en place une campagne d'usurpation d'identité

L’usurpation d’identité par SMS consiste pour les fraudeurs à envoyer un message texte en se faisant passer pour une autre entité. Cela se fait généralement à l’aide d’un logiciel de passerelle SMS, qui permet de réaliser des campagnes de SMS en masse et de masquer l’identité de l’expéditeur. Les fraudeurs peuvent aller jusqu’à créer leur propre passerelle SMS ou malheureusement utiliser une entreprise qui a mis en place de mauvaises politiques anti-spam.

Chez ClickSend, nous avons mis fin à toutes sortes de tentatives d’utilisation de l’usurpation d’identité par SMS pour se faire passer pour des banques, Facebook, iTunes, Amazon, la police, TripAdvisor ou des fournisseurs de télécommunications.

Qu’est-ce que le Smishing ?

Un cybercriminel derrière les barreaux

Le mot “smishing” est un mot-valise composé de SMS et de phishing. La plupart des gens sont maintenant familiers avec le concept de phishing, où des criminels en ligne tentent d’accéder à tes identifiants ou à tes informations privées en envoyant des liens malveillants par courriel ou par les médias sociaux. Souvent, les tentatives d’hameçonnage comprennent également une usurpation de l’identité de l’expéditeur.

Un exemple classique d’hameçonnage est celui où des fraudeurs se font passer pour une banque dans le but d’accéder au compte bancaire de leur victime. Il peut s’agir de te demander directement de répondre avec tes coordonnées bancaires, d’appeler un numéro pour demander tes coordonnées ou de t’emmener sur un site qui semble légitime et d’attendre que tu saisisses tes coordonnées (qui sont ensuite saisies de leur côté). Cette stratégie est de plus en plus utilisée dans le cadre de l’hameçonnage.

Il est important de noter que toutes les tentatives de smishing n’utilisent pas l’usurpation de SMS – elles peuvent simplement provenir d’un numéro inconnu. Voici d’autres tentatives de smishing populaires :

  • Demandes urgentes de la part des patrons/des cadres.
  • Être averti que l’on a gagné un prix
  • Demandes de réunion
  • Réinitialisation du mot de passe ou messages d’authentification

En général, ces messages comprennent un lien vers un site Web malveillant ou te demandent de répondre.

Pourquoi le SMS Spoofing et le Smishing sont-ils dangereux ?

Alors que le phishing a fait couler beaucoup d’encre et que les consommateurs ont tendance à faire preuve d’un scepticisme salutaire à l’égard des courriels, le smishing est moins connu et il devient de plus en plus facile à exécuter. Les cybercriminels utilisant des méthodes plus sophistiquées pour envoyer des messages malveillants, les tentatives de phishing et de smishing peuvent souvent sembler légitimes.

Selon la nature de l’attaque, une attaque de smishing réussie peut convaincre les victimes d’installer des virus sur leurs appareils ou de donner accès à leurs comptes sans le savoir. Parfois, les messages demanderont aux victimes de répondre en fournissant des informations personnelles, ou des liens conduiront les victimes vers un site imitant une entreprise légitime (par exemple une banque) et les amèneront à saisir leurs coordonnées où elles seront alors capturées. Les cybercriminels peuvent alors utiliser ces informations pour s’emparer des comptes bancaires des victimes, voler leur identité ou les détails de leur carte de crédit, éventuellement pour les revendre à d’autres criminels.

Alors que tu entends souvent parler d’usurpation d’identité bancaire, nous avons remarqué que les criminels s’intéressent de plus en plus au vol de données Facebook, car Facebook obtient de plus en plus de données sur les utilisateurs. L’une des nouvelles tentatives de smishing qui gagne en popularité consiste à imiter les messages d’authentification à deux facteurs.

Comment rester en sécurité

cybercriminel envoyant des messages de spam

Comme de plus en plus d’entreprises envoient des liens dans leurs SMS, il devient trop simpliste d’émettre une interdiction générale de cliquer sur les liens dans les messages texte. Ces liens ont de nombreuses raisons d’être, par exemple pour accéder à la promotion annoncée, pour reporter ou annuler un rendez-vous ou même pour se désabonner des messages. Si un message provient d’une entreprise connue, que tu sais comment et pourquoi tu lui as fourni ton numéro et que le message est de nature transactionnelle, il est probable que le message est sans danger. Par exemple, ton médecin te confirme ton prochain rendez-vous, ou un agent immobilier t’informe des nouvelles annonces immobilières dans ta région.

À l’inverse, si un SMS te parvient à l’improviste et que tu ne sais pas comment l’expéditeur a obtenu ton numéro, ou si le message te demande des informations, efface le message. Les banques, les fournisseurs de services et les sociétés de télécommunications ne te demanderont jamais tes données personnelles par SMS – si tu n’es pas sûr, contacte-les directement (et non par le biais des numéros inclus dans le message).

flèche pointant vers un message indiquant ce qu'il ne faut pas faire pour

Si tu es victime de spam ou si tu penses qu’un message est une tentative de smishing, ne clique jamais sur les liens et ne réponds jamais. Répondre pour se désinscrire ou demander comment ils ont obtenu ton numéro peut souvent te valoir d’être spammé avec plus d’intensité, car les expéditeurs se rendent compte que le numéro est occupé. Tu peux bloquer certains expéditeurs en contactant ton réseau ou même en utilisant l’appareil de ton smartphone.

Quelques conseils supplémentaires…

  • Méfie-toi des messages concernant les codes de vérification, surtout si tu n’as pas demandé de réinitialisation de ton mot de passe ou si tu ne t’es pas inscrit à un service qui utilise l’authentification à deux facteurs.
  • Installe un logiciel antivirus réputé sur ton smartphone comme précaution supplémentaire.
  • Ne communique ton numéro de téléphone qu’en cas de nécessité.

Tu veux savoir comment arrêter les messages de spam dans leur élan ? Lis notre article sur la façon d’arrêter les messages textuels indésirables.

Lorsque tu choisis une passerelle SMS, il est important de choisir un fournisseur qui se soucie de ta sécurité et de celle de tes clients. Les plateformes SMS réputées comme la nôtre auront des mécanismes qui fermeront rapidement toute tentative de commettre une fraude par le biais de messages texte. Garde tes clients en sécurité avec notre service SMS sécurisé, inscris-toi maintenant pour ton essai gratuit.