En 2020, le site Cybermalveillance alerte les utilisateurs sur une escroquerie par SMS les informant que leur enfant est en difficulté financière. L’objectif des arnaqueurs est d’inciter les destinataires à envoyer de l’argent. Cette méthode s’appelle le smishing. Cette nouvelle forme de phishing se développe sachant que les utilisateurs deviennent plus prudents à l’égard des e-mails.
Malgré certaines idées reçues, le SMS reste un canal de communication privilégié en marketing. En effet, plus de 3,4 milliards de SMS promotionnels ont été envoyés en 2021 en France. Si la majorité des messages proviennent des marques, une part d’entre eux vient des arnaqueurs. Les cybercriminels ont compris qu’un SMS atteint facilement sa cible, le taux d’ouverture à 95 % en atteste. Ils privilégient donc ce canal plutôt que les mails pour mener une attaque de phishing. D’où le nom « smishing », une contraction entre « SMS » et « phishing ». Cette forme de hameçonnage repose sur les mêmes principes que le phishing, elle vise également les mêmes objectifs.
Smishing : une autre dérivée du phishing
Smishing provient de la combinaison entre les termes « SMS » et « phishing ». Cette attaque exploite la confiance humaine plutôt que les prouesses techniques pour atteindre son but.
Le smishing est souvent associé au phishing. Ce dernier s’appuie sur des e-mails frauduleux pour tromper ses victimes. Dans le cas du smishing, le support utilisé est le message texte. Il est donc considéré comme une autre forme de phishing.
Les cybercriminels utilisent cette méthode pour voler des données personnelles qu’ils utilisent ensuite pour commettre d’autres crimes comme le vol d’argent.
Le vol de données s’effectue à travers le téléchargement d’un logiciel malveillant par la victime. Cette dernière clique sur un lien présent dans le message de smishing. Une fois cette action accomplie, le malware est définitivement installé sur le téléphone. Le lien peut également mener à un faux site web imitant à la perfection celui d’une marque légitime. Lorsque la victime s’y rend, le vol d’informations s’opère.
Fonctionnement de ce type d’attaque
Le hameçonnage par SMS s’appuie sur l’usurpation d’identité pour mettre en confiance l’utilisateur. En se faisant passer pour une organisation légitime ou un proche, les utilisateurs ont plus de chance d’obtempérer. La réussite de cette arnaque repose sur trois éléments :
- la confiance : les victimes sont moins méfiantes à l’égard d’une marque bien établie comme Amazon par exemple ou un proche. Le SMS est souvent pensé comme un canal de communication éloigné des actes de cybercriminalité. Les utilisateurs baissent facilement la garde, ce qui n’est pas le cas avec les e-mails où ils sont largement sensibilisés.
- le contexte : les méthodes d’ingénierie sociale permettent d’ajouter des informations pertinentes pour déguiser le message. En France, plusieurs personnes, parents comme enfants, reçoivent des messages les informant que leur proche a changé de numéro de téléphone. Ils demandent ensuite une somme d’argent parce que la personne est soi-disant en difficulté.
- l’émotion : le message suscite un sentiment d’urgence chez la victime la faisant oublier tout esprit critique.
Smishing : une forme d’escroquerie en vogue
Les arnaqueurs privilégient les SMS pour mener leurs attaques pour une raison : le message a plus de chance d’être ouvert par les utilisateurs. En effet, les boites e-mail utilisent désormais des filtres anti-spam rendant difficile l’envoi de mails. Ce qui n’est pas encore le cas avec les SMS.
Le hameçonnage par SMS est également facile à réaliser. Sachant que les numéros suivent un modèle défini, les arnaqueurs peuvent deviner des numéros à 10 chiffres pour envoyer des centaines de messages. Par ailleurs, ils obtiennent facilement les numéros puisqu’ils s’affichent généralement sur les comptes de réseaux sociaux.
Les utilisateurs sont moins prudents à la lecture d’un message reçu sur leur smartphone. Ils sont plus susceptibles de les ouvrir, de suivre un lien dans le message ou d’accomplir d’autres actions. Pourtant, le smishing ne représente que la face émergée de l’iceberg. Il est une passerelle menant à d’autres attaques plus sophistiquées comme le ransomware ou le spear phishing.
Bien que les malfaiteurs changent de canal pour mener une attaque d’hameçonnage, les objectifs restent les mêmes :
- le vol d’informations personnelles : les messages sont envoyés dans le but d’extorquer des informations sensibles à la victime. Cela peut être un numéro de carte de crédit, un mot de passe, un nom d’utilisateur, etc. Ces informations sont ensuite utilisées pour commettre d’autres infractions et vols.
- l’installation d’un logiciel malveillant : les messages contiennent souvent des liens redirigeant vers de faux sites web qui invitent l’utilisateur à télécharger un programme malveillant. Le faux site peut également proposer un formulaire où l’utilisateur renseigne des informations personnelles.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Quelques exemples de cette forme d’escroquerie
Comme les autres formes de phishing, le smishing s’appuie sur l’ingénierie sociale. Les attaquants utilisent de faux prétextes pour mettre en confiance la cible. Parmi les prétextes les plus utilisés, on retrouve par exemple :
L’usurpation de l’identité d’une institution financière
Les arnaqueurs se font passer pour la banque de leurs victimes. Ils les informent par message texte d’un problème avec leur compte. Il s’agit généralement de notification comportant un lien. Si l’utilisateur clique dessus, il sera redirigé vers un faux site web qui l’invite à remplir un formulaire avec ses données financières comme le numéro de carte de crédit, les codes PIN, etc.
L’usurpation de l’identité du gouvernement
Les escrocs prennent l’identité d’une organisation légitime comme la police, le fisc ou autres représentants de l’État. Les messages informent souvent les victimes de payer une amende ou des impôts en retard. Aux États-Unis, les arnaqueurs annonçaient dans leur message une possibilité d’allègement fiscal pendant la pandémie. Pourtant, les liens dans les messages leur permettaient de voler des informations importantes comme le numéro de sécurité sociale.
Pendant la pandémie mondiale en 2020, des citoyens américains ont reçu des messages les obligeant à faire un dépistage au Covid 19 sur un site web.
Usurper un expéditeur
Face à l’essor du e-commerce, les utilisateurs ont l’habitude de recevoir des messages provenant d’une entreprise de transport. Ils sont donc moins méfiants à l’égard de messages du même type provenant des arnaqueurs. Ils usurpent généralement l’identité des compagnies comme FedEx ou encore UPS. Ils prétextent un problème avec la livraison du colis et demandent des frais supplémentaires. Ce type d’arnaque est très courant, notamment pendant les vacances où les utilisateurs attendent la réception d’un colis. Une fois le soi — disant frais payé, les escrocs disparaissent.
En 2020, plusieurs utilisateurs ont commencé à recevoir de faux SMS de livraison. Le lien présent dans le message redirigé vers un faux site web menant une enquête sur les cadeaux de FedEX.
Se faire passer pour le service client
Les escrocs se font passer pour le support client d’une marque utilisée par le grand public à l’instar de Microsoft, Google ou encore Amazon. Ils usurpent aussi le service client d’un fournisseur d’accès internet. Ils prétextent généralement un problème avec le compte ou une récompense.
Face au sentiment d’urgence, la victime clique sur le lien malveillant redirigeant vers un formulaire où elle renseigne ses informations bancaires.
Usurper l’identité d’une tierce personne
Le premier cas concerne les messages provenant d’un collègue ou d’un patron. Cela peut être un avocat également. Ils demandent d’accomplir une tâche dans l’urgence. Le second cas concerne les messages provenant d’un proche. Ils informent les proches d’un changement de numéro. L’objectif de ces messages revient au même : extorquer de l’argent aux victimes.
Proposer une offre d’emploi ou une promotion alléchante
Cette fois-ci, le message provient d’une personne qui propose une offre d’emploi alléchante. Il annonce l’existence d’un travail à distance qui rémunère bien et qui ne demande aucune expérience professionnelle. En cliquant dessus, la victime est redirigée vers un faux site web où on lui demande de remplir un formulaire. L’arnaqueur veut soit lui extorquer de l’argent, soit lui voler des informations.
Un autre message annonçait la proposition d’un iPhone 12 gratuit en 2020 aux États-Unis. Pourtant, en acceptant, les victimes devaient d’abord payer les frais de livraison, ce qui implique de renseigner les frais d’expédition.
Les mesures pour prévenir le smishing
Les entreprises légitimes utilisent la messagerie texte pour mener leur campagne marketing. Il n’est pas évident de distinguer le faux du vrai. Néanmoins, les réflexes suivants permettent d’éviter le pire :
- prendre du recul : un smishing crée un sentiment d’urgence chez sa cible. Cela peut être une offre qui expire dans quelques heures, une mise à jour urgente, un proche en difficulté qui a besoin d’argent, etc. Malgré l’urgence, il est important de prendre du recul pour avoir une vision plus éclairée de la situation.
- ne jamais répondre : certains messages invitent les destinataires à répondre. Il peut annoncer le désabonnement à un service en répondant « oui » par exemple. Pourtant, cette méthode est utilisée par les attaquants pour filtrer les numéros actifs.
- vérifier le numéro de téléphone : s’il est à quatre chiffres, le destinataire doit multiplier de prudence. Les attaquants utilisent souvent les services de messagerie électronique pour masquer leur numéro.
- ne jamais garder des informations sensibles dans son téléphone : ainsi, même si le pirate arrive à pénétrer dans le téléphone à l’aide d’un logiciel malveillant, il ne trouvera aucune information pertinente.
- utiliser l’authentification à deux facteurs : même si le smishing compromet un mot de passe, une seconde vérification est toujours indispensable pour accéder à un compte.
- installer une application anti-malware : ces applications sont capables de bloquer les liens dans les messages de smishing.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
En 2021, 54 % des entreprises françaises ont été victimes d'une cyberattaque. Par ailleurs, 59 % des organisations françaises ont subi une attaque de ransomware au cours des 12 derniers mois de 2018, et le coût médian d'une cyberattaque est de 50 000 eurs. Les entreprises françaises perdent en moyenne 27 % de leur chiffre d'affaires annuel lorsqu'elles sont victimes d'une cyberattaque. Seules 50 % des entreprises victimes portent plainte, et il y a deux cyberattaques par jour ciblant les établissements de santé en France.
Environ 40 % des entreprises françaises ont augmenté leur budget de cybersécurité. Près de 70 % d'entre elles souscrivent à une cyber-assurance pour se protéger contre les cybermenaces. Les PME françaises investissent principalement dans des contrats d'assurance, des audits de risques, la sensibilisation des employés aux risques de cybersécurité, des gouvernances typiques, le renforcement des équipes chargées de protéger les systèmes d'information, l'acquisition de solutions récentes et de nouveaux outils informatiques.
Oui, les PME sont particulièrement vulnérables aux cyberattaques : 69 % des entreprises ciblées par les cyberattaques en France sont des TPE/PME. Les petites entreprises ont tendance à être moins préparées à la cybersécurité et plus vulnérables aux attaques, qui visent souvent les PME. Les cybercriminels peuvent s'infiltrer dans 93 % des réseaux des entreprises, selon des études récentes. De plus, 83 % des PME ne sont pas préparées à surmonter les pertes financières causées par une cyberattaque.
