Qu’est-ce que le smishing ?
Le smishing est une forme d’attaque qui utilise de faux messages texte sur mobile pour tromper les personnes et les amener à télécharger, partager des informations sensibles ou envoyer de l’argent à des cybercriminels. Le terme “smishing” est une combinaison des mots anglais “SMS”, pour “short message service”, et “phishing”. Le smishing est une forme de phishing de plus en plus populaire. Les pirates qui perpétrent ces attaques, appelés “smishers”, savent que les victimes sont plus susceptibles de cliquer sur des messages texte que sur d’autres liens. Parallèlement, les progrès réalisés dans les filtres anti-spam ont rendu plus difficile la réalisation d’autres formes de phishing, comme les e-mails et les appels téléphoniques, pour atteindre leurs cibles.
L’augmentation du nombre d’appareils personnels utilisés au travail et des modes de travail à distance a également conduit à ce que davantage de personnes utilisent leur téléphone portable professionnel, facilitant ainsi l’accès des cybercriminels aux réseaux des entreprises via les téléphones portables des employés.
Comment fonctionnent les attaques de smishing ?
Les attaques de smishing sont similaires à d’autres types d’attaques par phishing, dans lesquelles les escrocs utilisent de faux messages et des liens malveillants pour tromper les gens et les amener à compromettre leur téléphone portable, leur compte bancaire ou leurs données personnelles.
Dans les attaques de smishing, les escrocs utilisent des SMS ou des applications de messagerie pour mener à bien leurs cybercrimes plutôt que des e-mails ou des appels téléphoniques. De plus en plus, ces derniers peuvent masquer l’origine des messages de smishing en utilisant des tactiques telles que la falsification de numéros de téléphone avec des téléphones jetables ou en utilisant des logiciels pour envoyer des textes par e-mail.
Les exemples de fraudes par smishing incluent le fait de se faire passer pour une institution financière qui avertit les victimes de problèmes liés à leur compte, se prétendre être un support client de marques de confiance telles qu’Amazon ou Microsoft, ou encore prétendre être une société de transport telle que FedEx ou UPS et gagner la confiance des victimes sur plusieurs échanges avant de leur piquer de l’argent à travers de faux investissements par exemple.
Le phishing est un terme général pour les cyberattaques qui utilisent des tactiques d’ingénierie sociale alors que la vishing implique une communication vocale notamment via des appels téléphoniques ou des messages vocaux. À noter que tant le phishing que le vishing peuvent être employés dans le cadre d’attaques de smishing.
Comment se protéger contre les attaques de smishing ?
Pour se protéger contre les attaques de smishing, les individus et les entreprises peuvent prendre des mesures telles que l’utilisation des protections intégrées aux systèmes d’exploitation Android et iOS et la mise en place de formations visant à renforcer la sensibilisation à la sécurité en apprenant à reconnaître les signes d’alerte des cyberattaques.
La vigilance reste le meilleur rempart pour éviter d’être victime de ce type d’arnaque. Il est important de ne jamais répondre ou cliquer sur un lien contenu dans un message dont l’expéditeur n’est pas clairement identifié ou semble suspect. Avant de révéler des données personnelles ou financières, il peut être utile de vérifier directement auprès de l’institution concernée si le message provient bien d’elle, par exemple en appelant un numéro de téléphone légitime trouvé sur leur site officiel ou sur un relevé de compte.
En somme, le smishing est une menace croissante qui doit être prise au sérieux par tous les acteurs concernés. Utiliser un mot de passe solide, changer régulièrement ses codes d’accès et ne pas communiquer ces informations permettent de mettre toutes les chances de son côté pour contrer ces tentatives d’escroqueries toujours plus sophistiquées.
