Les pirates informatiques sont constamment à l’affût de vos données personnelles. Une fois qu’ils ont mis la main sur vos informations, ils peuvent facilement usurper votre identité, dépenser votre argent et causer des dommages à votre réputation financière. Bien que certaines personnes continuent d’utiliser des méthodes comme la fouille des poubelles pour obtenir des informations sensibles, les cybercriminels préfèrent utiliser des tactiques plus sophistiquées. Le phishing, qui consiste à envoyer des e-mails frauduleux en se faisant passer pour une entreprise réputée afin d’inciter les gens à révéler des informations personnelles, est de plus en plus répandu.
Le SMiShing, ou phishing par SMS, est l’un des types d’attaques de phishing actuellement utilisés. Une attaque de SMiShing reprend les tactiques d’une attaque de phishing par e-mail, mais en utilisant des SMS. Les cybercriminels peuvent tromper les gens en utilisant des attaques de SMiShing, une technique d’ingénierie sociale, pour les amener à divulguer des informations sensibles.
Plusieurs indices permettent de penser qu’un SMS que vous recevez peut être une attaque de SMiShing, et il existe des moyens appropriés pour prévenir ces attaques et y répondre. Grâce à des informations appropriées, vous pourrez vous protéger contre le SMiShing et d’autres types d’attaques d’ingénierie sociale.
2023 CrowdStrike Global Threat Report
Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerQu’est-ce que le SMiShing ?
Les différentes formes d’attaques de phishing sont désignées et définies en fonction de la méthode utilisée pour obtenir vos informations. Les techniques utilisées pour rédiger un e-mail de phishing, une vidéo de phishing (également appelée vishing) et un SMS de SMiShing sont similaires, mais elles sont adaptées pour être efficaces en fonction du message visé. Si elles utilisent toutes des tactiques d’ingénierie sociale comme la manipulation de la peur, les cybercriminels utilisent des attaques de phishing spécifiques comme le SMiShing pour viser les personnes qui pourraient ne pas être aussi réceptives à d’autres tactiques.
Définition du SMiShing
Le SMiShing consiste à envoyer des SMS frauduleux destinés à inciter des personnes à partager des données sensibles comme des mots de passe, des noms d’utilisateur et des numéros de carte bancaire. Dans le cadre d’une attaque de SMiShing, des cybercriminels peuvent se faire passer pour votre banque ou pour un service de livraison que vous utilisez. L’objectif de ces attaques est de vous inciter à révéler vos informations sans que vous sachiez qu’elles sont désormais vulnérables. Les cyberattaquants utilisent l’ingénierie sociale pour atteindre cet objectif.
SMiShing et ingénierie sociale
Le SMiShing, une forme d’attaque d’ingénierie sociale, vise souvent à exploiter nos peurs, nos sentiments amoureux et notre relation à l’argent, car ces éléments peuvent provoquer des réactions émotionnelles intenses. En vous tentant avec des désirs ou en jouant sur vos peurs, un cyberattaquant peut vous pousser à divulguer des informations sensibles sans que vous réalisiez les dangers encourus.
Les cybercriminels peuvent utiliser le SMiShing pour mener plusieurs attaques simultanément. L’idée derrière cette tactique est que si on envoie une centaine de SMS proposant un million de dollars à un heureux gagnant qui suit un lien, il est possible qu’une ou deux personnes cliquent dessus. Les attaques de SMiShing utilisent l’ingénierie sociale pour voler vos informations sans que vous vous en aperceviez, jusqu’à ce qu’il soit trop tard.
Comment fonctionnent les attaques de SMiShing ?
La plupart des gens connaissent les dangers d’une attaque de phishing par e-mail. Un e-mail qui vous demande de cliquer sur un lien a tendance à vous mettre la puce à l’oreille. Une attaque de phishing sophistiquée fera tout son possible pour paraître légitime afin d’éviter d’éveiller les soupçons. Le SMiShing fonctionne de la même manière, mais les gens ont tendance à être moins méfiants avec les SMS et les applications de messagerie.
Comment les attaques de SMiShing naissent et se propagent-elles ?
Les attaques de SMiShing commencent lorsque les cybercriminels mettent la main sur votre numéro de téléphone, ce qui est étonnamment simple étant donné que la plupart des téléphones modernes ont un service de messagerie par SMS intégré. Il peut s’agir d’une attaque de SMiShing à grande échelle, qui consiste à envoyer un message générique au plus grand nombre de personnes possible. Si un cybercriminel a une cible spécifique, il optera pour une attaque de SMiShing, qui est l’équivalent du harponnage (spear phishing) ou d’une attaque de whaling. Pour être efficaces, ces méthodes doivent connaître le destinataire du SMS ou ses caractéristiques démographiques.
Les attaques de SMiShing commencent par gagner votre confiance. Elles se font passer pour une organisation ou une entreprise légitime pour réduire le niveau de méfiance de la personne visée. Comme les messages utilisés dans ce type d’attaque sont souvent plus personnels, il est plus facile de baisser notre garde par rapport aux e-mails, via lesquels nous recevons des spams tous les jours.
Les cybercriminels utilisent des techniques d’ingénierie sociale pour tromper leurs victimes en ciblant leurs émotions ou en utilisant des situations courantes, comme la livraison de colis, afin de les piéger. C’est grâce à cette fausse confiance dans les applications de messagerie que les attaques de SMiShing se propagent sans être détectées. Étant donné que les gens ont tendance à garder leur téléphone avec eux tout au long de la journée, les cybercriminels peuvent profiter de ces moments où ils sont occupés pour les cibler, ce qui les rend encore plus vulnérables.
Pourquoi les attaques de SMiShing sont-elles efficaces ?
Dès qu’une personne commet une erreur de jugement en tapant un mot de passe ou en cliquant sur un mauvais lien, l’attaque de SMiShing se met en action. Un lien peut partager des informations personnelles du smartphone utilisé ou même installer un logiciel malveillant sur l’appareil. Une fois donné, un mot de passe est compromis jusqu’à ce que l’utilisateur le modifie, et les cybercriminels commenceront à prendre le contrôle de comptes ou à voler davantage d’informations grâce à cet accès.
Pour qu’une attaque de SMiShing fonctionne, il suffit qu’une seule cible manque de discernement et clique sur un lien ou fournisse des informations de son plein gré. C’est pourquoi les cybercriminels utilisent le SMiShing, car les utilisateurs ont tendance à accorder plus de confiance aux SMS qu’aux e-mails. Voici quelques exemples concrets d’attaques de SMiShing réussies qui pourront vous aider à repérer les signes auxquels vous devez être attentif.
Types d’attaques de SMiShing
Les attaques de SMiShing, utilisant des tactiques d’ingénierie sociale, sont réparties en quatre grandes catégories d’attaques. La première catégorie comprend des messages trompeurs provenant de marques de confiance. Les organisations envoient généralement des messages lorsque de nouveaux produits sont disponibles ou lorsque des promotions ont lieu. Recevoir un message d’une marque peut être quelque chose de fréquent ou de prévisible. Se faire passer pour une marque et proposer un lien pour une promotion est un type d’attaque de SMiShing.
Les messages urgents constituent un autre grand type d’attaque de SMiShing. Ceux-ci peuvent sembler provenir d’une banque ou d’une administration locale. Quel que soit le cybercriminel en question, le message va pousser la personne à agir rapidement sous peine de voir un malheur arriver ou de manquer des opportunités. Ce type de SMiShing s’apparente à une fausse notification indiquant que vous avez gagné un prix. Par conséquent, certaines personnes vont cliquer sur un lien en pensant qu’elles ont gagné quelque chose, pour ensuite fournir leurs informations personnelles.
Le quatrième type d’attaque de SMiShing est un faux lien d’enquête. Cette méthode est moins couramment utilisée, car les gens sont moins enclins à participer à des enquêtes auxquelles ils n’ont pas préalablement donné leur accord. Les attaques de SMiShing peuvent tout de même être efficaces dans ce cas, si elles sont accompagnées d’une incitation appropriée, comme une carte-cadeau ou une réduction.
Caractéristiques des messages de SMiShing
Ces quatre types d’attaques de SMiShing présentent des caractéristiques communes qui peuvent vous aider à déterminer si vous subissez une attaque. Si vous lisez un texte avec prudence et tranquillité, vous pourrez souvent repérer les attaques de SMiShing. Les fautes de grammaire et les mots mal orthographiés sont aussi fréquents dans les attaques de SMiShing que dans les attaques de phishing.
Une attaque de SMiShing est généralement courte et comprend un lien malveillant. Prenez le temps d’examiner attentivement les liens qui semblent légitimes à première vue afin de les repérer plus facilement. Les attaques de SMiShing agissent également sur vos émotions. Si vous êtes pris de panique ou si vous voulez agir immédiatement en réponse à un texte, cela peut être le signe d’une attaque de SMiShing.
Exemples d’escroqueries populaires par SMiShing
Les attaques de SMiShing peuvent être utilisées contre les collaborateurs d’une entreprise pour faire du cyberespionnage ou contre des particuliers pour usurper leur identité. Les attaques de SMiShing se divisent en quatre catégories et ont des caractéristiques similaires qui peuvent vous aider à les détecter. Le SMiShing est de plus en plus courant, et les cybercriminels ont développé des stratégies pour gagner votre confiance en se faisant passer pour d’autres personnes.
Certaines escroqueries par SMiShing sont efficaces, car les cybercriminels se font passer pour des organisations largement utilisées ou connues. Ces attaques de SMiShing sont plus efficaces, car elles sont crédibles. Voici quelques subterfuges couramment utilisés par les attaques de SMiShing :
- Les services de livraison tels que UPS, FedEx et les services postaux nationaux. Certaines personnes peuvent recevoir un SMS qui les informe d’un retard, d’une réexpédition ou d’une confirmation de leur colis, accompagné d’un lien. Si une personne attend un colis de l’entreprise usurpée et qu’elle souhaite ou a besoin de le recevoir rapidement, il est probable qu’elle clique sur un lien pour vérifier le statut de la livraison.
- Amazon. Même si Amazon est un service de livraison et qu’il est également vulnérable, il est important de noter qu’une attaque de SMiShing peut également viser un achat ou un mot de passe sur Amazon. Si un cybercriminel parvient à mettre la main sur votre mot de passe, cette personne peut facilement accéder à des informations sensibles telles que les informations de votre carte bancaire, votre adresse postale et d’autres renseignements personnels.
- Services financiers tels que PayPal, Apple Pay et les banques. Les attaques de SMiShing sont redoutables, car elles jouent sur la peur de perdre de l’argent ou de se faire voler ses identifiants bancaires. Grâce à cette technique, elles incitent les personnes à réagir rapidement. Si PayPal ou votre établissement bancaire vous informe que votre compte a un problème, méfiez-vous.
Comment éviter de tomber dans le piège du SMiShing ?
La meilleure façon d’éviter les escroqueries par phishing, comme le SMiShing, est de prendre des mesures préventives. Ainsi, vous vous protégerez vous-même et votre entreprise contre les dommages potentiels. Étant donné que de plus en plus de personnes utilisent leurs smartphones personnels pour travailler, le SMiShing peut cibler à la fois vos identifiants professionnels et vos informations personnelles. Si vous restez calme et prenez le temps de vous renseigner sur les arnaques potentielles de SMiShing, vous pourrez les éviter.
La première chose à faire pour éviter une escroquerie par SMiShing est de ne jamais renvoyer un message ou appeler le numéro associé. Si vous répondez, vous risquez de recevoir davantage de messages non sollicités sur votre appareil. Le cybercriminel risque de vendre votre numéro comme un numéro connu pour répondre ou simplement changer sa tactique de SMiShing pour essayer de vous tromper à nouveau. Ne cliquez jamais sur un lien contenu dans un message suspect.
Vous pouvez prendre le temps de vérifier l’identité de l’expéditeur lorsque vous recevez un SMS suspect. Pour ce faire, effectuez une recherche sur Internet ou appelez directement l’entreprise censée avoir envoyé le SMS. Si votre banque vous envoie un message vous alertant d’un risque pour votre argent, ne répondez pas directement. Prenez plutôt le temps de trouver et d’appeler le numéro de votre agence bancaire.
Comment réagir face au SMiShing ?
Si vous recevez un SMS que vous soupçonnez d’être du SMiShing, vous devez le signaler aux autorités compétentes. Communiquez-leur le numéro et le nom présentés dans le message ainsi que l’heure et toute information demandée par le cybercriminel. Il est important que vous ne répondiez pas au SMS et que vous ne cliquiez pas sur les liens fournis.
Si vous avez déjà été victime de SMiShing, vous devez d’abord signaler l’escroquerie aux autorités, puis informer toutes les organisations susceptibles d’utiliser les informations volées. Vous devrez donc changer les mots de passe et appeler tout établissement financier pour l’avertir d’une éventuelle activité frauduleuse à l’aide de vos identifiants. Réagissez rapidement pour empêcher les cybercriminels d’exploiter les informations qu’ils ont volées.
Protégez-vous des attaques d’ingénierie sociale
Les attaques d’ingénierie sociale telles que le SMiShing sont conçues pour exploiter vos émotions et vous inciter à fournir des informations privées. Les cybercriminels peuvent facilement voler votre identité en exploitant vos peurs ou vos désirs, ainsi que la confiance intrinsèque que vous accordez aux services de messagerie.
Afin de se protéger contre les attaques d’ingénierie sociale, il est important d’être vigilant et attentif chaque fois que quelqu’un vous demande des informations personnelles ou de cliquer sur un lien. En prenant des mesures préventives, vous pouvez vous protéger et éventuellement protéger votre entreprise contre les attaques de SMiShing.
CrowdStrike vous offre des informations et des services pour vous tenir au courant et vous protéger contre les attaques d’ingénierie sociale et d’autres activités cybercriminelles. En savoir plus ici.