Ingénierie sociale : qu’est-ce que le smishing ?

Ingénierie sociale : qu'est ce que le smishing ?

Le smishing est une attaque d’ingénierie sociale utilisant les techniques de phishing, mais envoyée par SMS au lieu de l’email. Son nom est une combinaison de SMS et de phishing.

Dans ce billet, vous découvrirez comment reconnaître les attaques de smishing et quelques conseils pour vous en protéger.

Qu’est ce que le smishing ?

Le SMiShing (mot-valise composé de SMS et phishing) est un autre procédé d’ingénierie sociale. Il s’agit d’une technique de phishing faisant appel à un message texte malveillant. En d’autres termes, il s’agit d’une cybermenace visant à vous envoyer un virus ou à vous faire faire quelque chose de dangereux au moyen d’un SMS.

Nous avons tendance à être plus réactifs avec nos téléphones. Nous répondons spontanément à n’importe quel message. Les pirates informatiques le savent. En employant des messages texte (SMS) adressés sur des téléphones portables, ils cherchent à vous faire réagir immédiatement.

De nombreuses attaques de smishing combinent un SMS et un « faux sentiment d’urgence » pour exploiteer cette tendance de manière encore plus efficace. Le SMS malveillant envoyé communique un sentiment d’urgence pour inciter les victimes à agir encore plus rapidement.

Les gens ont parfois tendance à faire plus confiance à un SMS qu’à un email. En pratique, nous sommes bien informés des risques de sécurité que nous pouvons prendre en cliquant sur les liens d’un email, mais c’est moins vrai lorsqu’il s’agit de SMS.

Le smishing est particulièrement intéressant pour les cybercriminels, car c’est une attaque très bon marché. Un serveur de téléphonie par Internet (VoIP), un téléphone portable jetable prépayé et une méthode d’usurpation d’identité : c’est tout ce dont ils ont besoin pour propager un virus par le intermédiaire de SMS ciblés. Avec des applications telles que BurnerApp et SpoofCard, il est facile et peu coûteux d’acheter un numéro usurpé pour envoyer les SMS.

Quels sont les risques avec le smishing?

Comme de nombreuses cybermenaces, une attaque de smishing vise à voler vos données personnelles, vos coordonnées bancaires, vos mots de passe ou votre accès à des sites web. Parfois, elle cherche aussi à vous inciter à faire quelque chose : transférer de l’argent, donner une autorisation ou un accès à quelqu’un, par exemple. Il peut s’agir d’une attaque de masse (plusieurs personnes comme vous recevront le même SMS) ou d’une attaque très ciblée préparée à l’avance comme une attaque de spear phishing (vous serez le seul à recevoir le SMS).

Le smishing peut vous amener à visiter un site web malveillant visant à voler vos identifiants ou vos données personnelles.

Vous pouvez également être amené à appeler un numéro de téléphone frauduleux. À partir de là, les cybercriminels au téléphone peuvent également lancer une attaque de type « Quid Pro Quo » ou de « faux-semblant » contre vous pour obtenir des informations sensibles. Pour cela, ils se font passer pour un responsable de votre entreprise, un policier ou un agent de sécurité pour vous demander de leur donner vos informations d’identification.

Mais le risque le plus courant est le téléchargement d’un virus par le biais du SMS envoyé, ou de tout autre type de logiciel malveillant, tel qu’un cheval de Troie. Ce dernier peut transformer votre téléphone en zombie, ce qui permettrait à des pirates d’en prendre le contrôle. En tant qu’appareil zombie, il pourrait être intégré à un botnet (réseau de zombies), et être utilisé pour lancer une attaque de déni de service distribué (DDos), ou pour envoyer du spam, … etc.

Exemples de smishing

Scénario # 1

Dans cet exemple, un message texte malveillant invitant à « mettre à jour les informations pour éviter la suspension du compte ».

Exemple de SMS malveillant envoyé dans le cadre d'une attaque de smishing.
Source: http://numbercop.tumblr.com

(Traduction du SMS : « (Mise à jour Wells Fargo) Nous avons le regret de vous informer que votre compte Wells Fargo est suspendu. Mettez à jour vos informations personnelles sur : http://login-wells.com »

Scénario # 2

Dans ce deuxième exemple, le SMS envoyé vous demande de vous désinscrire de quelque chose, sinon vous risquez d’avoir des frais à payer.

« Cher utilisateur,

Vous serez facturé 25 euros par semaine, dans le cadre du nouveau règlement de fourniture électrique. Si vous souhaitez exercer votre droit de refus, rendez-vous sur le site www.smished.com (exemple de lien)

Cordialement,

Votre entreprise de fourniture électrique »

Scénario # 3

Ce troisième exemple est une attaque d’appâtage : le message texte malveillant indique à la cible qu’elle peut obtenir des bons de réduction gratuits.

« Cher utilisateur,

Aldi propose gratuitement un bon de réduction de £ 65 utilisable lors de votre prochaine visite chez Aldi.

Veuillez vous enregistrer sur www.smished.com (exemple de lien) pour réserver votre bon de réduction à l’avance »

Vous découvrirez ici un exemple d’invite automatique associée à de telles attaques de smishing.

Comment reconnaître le smishing?

Tout SMS provenant d’un numéro de téléphone qui ne ressemble pas à un numéro de téléphone, tel que « 0420 », peut être un signe que ce message texte est en fait un e-mail envoyé à un téléphone. Cela pourrait également signifier qu’il s’agit d’une attaque de smishing, et que le texte envoyé pourrait contenir un virus. En fait, certains pirates utilisent un service d’envoi d’e-mail à texte pour envoyer leur virus ou tout autre type de SMS malveillant afin de dissimuler leurs véritables numéros de téléphone.

Une autre méthode de smishing consiste à usurper un numéro de téléphone. Les pirates achètent une copie pirate d’un numéro de téléphone réel pour faire apparaître leur message texte dans un fil de messages authentiques provenant d’une banque, d’un magasin, etc. En outre, les pirates utilisent également des SMS Flash (lien en anglais) qui est la plus couramment utilisée pour recueillir immédiatement l’attention des destinataires (par exemple pour les alertes d’urgence, les alertes de trafic – ou pour recevoir des codes d’authentification uniques, … etc).

Comment se protéger contre smishing ?

  • Ne cliquez pas sur des liens transmis par SMS sur votre téléphone, sauf si vous connaissez la personne dont ils émanent. Il peut s’agir d’un faux site web créé pour recueillir vos données personnelles, le mot de passe de votre compte bancaire ou vos informations d’identification sans éveiller vos soupçons.
  • Soyez très prudent avec les messages vous demandant d’agir immédiatement. Ne vous sentez pas obligé de répondre ; dans la plupart des cas, les organisations légitimes vous laissent le temps de réagir. Assurez-vous d’abord que ces messages proviennent d’une source fiable. Si nécessaire, confirmez leur origine en appelant directement l’expéditeur, après avoir cherché son numéro de téléphone sur son site web. Par ailleurs, vous pouvez généralement trouver le numéro de votre banque au dos de votre carte.
  • Même si vous recevez un SMS contenant un lien d’un ami, pensez à vérifier d’abord auprès de l’expéditeur avant de cliquer sur le lien.
  • Soyez prudent avec les numéros de téléphone courts inhabituels. Ils peuvent être émis par des services « email-to-text », utilisés par des pirates pour cacher leur véritable numéro de téléphone.
  • N’installez jamais une application en cliquant sur un SMS. Utilisez toujours ue appstore officielle pour installer des applications.
  • Ne donnez jamais des renseignements personnels ou financiers par SMS ou téléphone.
  • Ne répondez pas aux messages texte provenant de personnes que vous ne connaissez pas.
  • Évitez d’enregistrer des informations bancaires ou des numéros de carte sur votre téléphone. Même si votre téléphone est infecté par un virus transmis lors d’une attaque de smishing, les pirates ne pourront pas les voler.
  • Si vous êtes une organisation, formez votre personnel à suivre nos conseils, à reconnaître toutes les cybermenaces et à appliquer les règles de cybersécurité. Ils doivent s’abstenir d’envoyer des données confidentielles par téléphone ou par e-mail.
  • Si vous avez été victime de smishing ou si vous savez que quelqu’un a utilisé votre nom pour une attaque de smishing, vous pouvez également signaler un vol d’identité à l’adresse suivante : https://www.identitytheft.gov/.

Conclusion

Vous ne devriez jamais faire confiance spontanément à un SMS semblant provenir de votre banque, de votre employeur ou même d’un ami et comportant un lien pour télécharger une application ou vous conduire à un site web. En général, il est peu probable que les organisations officielles vous contactent par SMS. Il pourrait s’agir d’une attaque de smishing, une cybermenace initiée par un SMS contenant un virus ou un malware, ou vous invitant à faire quelque chose de nuisible pour vous. Prenez plutôt le temps de vérifier prudemment ce message et abstenez-vous d’installer une application ou de suivre un lien.

La quasi-totalité des SMS que vous recevez sont sans danger. Mais il suffit d’un seul faux message pour compromettre votre sécurité !

Mailfence propose un cours de sensibilisation à la sécurité et à la confidentialité des emails pour vous apprendre à éviter de donner accès à de mauvaises personnes ou de vous faire voler ou exposer vos données personnelles sans votre consentement. Apprenez dès maintenant à vous protéger contre toutes les cybermenaces ! L’éducation est la clé pour combattre l’ingénierie sociale.

Obtenez votre messagerie securisée

Et retrouvez votre vie privée dès aujourd’hui !

– L’Équipe Mailfence

Vous aimerez aussi...