Ingénierie sociale : qu’est ce que le smishing ?

Le SMiShing (mot-valise composé de SMS et phishing) est une menace de sécurité en plein essor. C’est une technique qui fait appel aux messages des cellulaires (SMS) pour tromper des victimes en les incitant à agir immédiatement.

 

Pourquoi le smishing?

On a parfois tendance à plus faire confiance à un SMS qu’à un e-mail. Les gens sont conscients des risques de sécurité qu’ils encourent en cliquant sur les liens d’un courrier électronique, mais moins pour les SMS.

Le smishing est particulièrement intéressant pour les cybercriminels, car c’est une attaque très bon marché. Un serveur VOIP, un téléphone cellulaire prépayé et une méthode d’usurpation d’identité suffisent pour envoyer des messages texte ciblés. Des applications telles que BurnerApp et SpoofCard permettent d’acheter un numéro de téléphone usurpé pour un faible prix, à partir duquel les messages textes seront envoyés.

Quels sont les risques pour le smishing?

Le Smishing peut conduire à visiter un site Web malveillant ou à appeler un numéro de téléphone frauduleux. Le risque le plus courant est le téléchargement d’un cheval de Troie (un logiciel  malveillant). Un tel cheval de Troie peut transformer l’appareil en zombie, ce qui permet à des pirates d’en prendre le contrôle. Les appareils zombies sont intégrés à des botnets (réseaux de zombies), qui sont utilisés pour lancer des attaques par déni de service, l’envoi de spam, … etc.

Scénario de situation réelle # 1

Une mise à jour les informations est réclamée pour éviter la suspension d’un compte.

smishing SMS sample

smishing SMS sample

(Traduction du SMS : « (Mise à jour Wells Fargo) Nous avons le regret de vous informer que votre compte Wells Fargo est suspendu. Mettez à jour vos informations personnelles sur : http://login-wells.com »

 

Scénario de situation réelle # 2

Un refus explicite est demandé pour éviter la facturation de frais règlementaires.

 

« Cher utilisateur,

Vous serez facturé 25 euros par semaine, dans le cadre du nouveau règlement de fourniture électrique. Si vous souhaitez exercer votre droit de refus, rendez-vous sur le site www.smished.com (exemple de lien)

Cordialement,

Votre entreprise de fourniture électrique »

 

Scénario de situation réelle # 3

L’obtention de bons de réduction gratuits.

 

« Cher utilisateur,

Aldi propose gratuitement un bon de réduction de £ 65 utilisable lors de votre prochaine visite chez Aldi.

Veuillez vous enregistrer sur www.smished.com (exemple de lien) pour réserver votre bon de réduction à l’avance »

Vous découvrirez ici un exemple d’invite automatique associée à de telles attaques de smishing.

 

Comment reconnaître le smishing?

Un SMS provenant d’un numéro de téléphone qui ne ressemble pas à un numéro de téléphone, comme « 0420 »,  pourrait être un signe indiquant que le SMS n’est en réalité qu’un e-mail envoyé à un téléphone.

Une autre méthode utilisée consiste à usurper un numéro de téléphone. Elle permet de faire apparaître le SMS sur un fil existant de messages authentiques provenant d’une banque, d’un magasin, … etc. En outre,  la technologie Flash SMS  (lien en anglais) qui est la plus couramment utilisée pour recueillir immédiatement l’attention des destinataires (par exemple pour les alertes d’urgence, les alertes de trafic – ou pour recevoir des codes d’authentification uniques, … etc) est également employée par les cybercriminels.

La caractéristique la plus commune du smishing est le « faux sentiment d’urgence », une tactique de peur que les cybercriminels utilisent pour leurrer les victimes et les inciter à agir.

Comment se protéger contre smishing ?

  • Ne cliquez pas sur des liens transmis sur votre téléphone, sauf si vous connaissez la personne dont ils émanent. Dans l’hypothèse où vous recevriez un SMS comportant un lien provenant d’un ami, pensez à le vérifier préalablement avec l’expéditeur avant de cliquer sur le lien.
  • N’installez jamais d’applications à partir de SMS. Utilisez systématiquement les plateformes de vente d’applications officielles (AppStore ou autre) pour l’installation d’applications. Ces plateformes  ont mis en place des procédures de tests rigoureuses pour éliminer les Malwares et les autres menaces connues.
  • Ne donnez jamais des renseignements personnels ou financiers. Si possible, bloquez également les numéros de téléphone suspects.
  • Ne vous sentez pas obligé de répondre à un SMS ou un appel. Les organisations légitimes vous laissent du temps pour réagir. N’appelez que des numéros de téléphone valides (par exemple, le numéro de téléphone de votre banque se trouve au dos de votre carte).
  • En général, vous ne répondez pas aux SMS de personnes que vous ne connaissez pas. C’est la meilleure façon de rester en sécurité.

Vous pouvez également  signaler un vol d’identité à: https://www.identitytheft.gov/

La quasi-totalité des SMS que vous recevez sont inoffensifs. Mais il suffit d’un seul dangereux pour compromettre votre sécurité !

Mailfence est une messagerie e-mail sûre et privée. Suivez notre cours pour la sécurité des e-mails et la sensibilisation à la vie privée pour connaître plus de détails sur la manière de vous protéger contre les cyber-menaces en plein essor !

Obtenez votre messagerie securisée !

Suivez-nous sur twitter/reddit et restez informés à tout moment.

L’équipe Mailfence

 


Faites passer le message !

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *