Spoofing SMS : qu'est-ce que c'est et comment vous protéger ?

Qu'est-ce que le spoofing SMS (usurpation de SMS) ?

Le spoofing SMS est une technique utilisée pour envoyer des SMS avec un identifiant d'expéditeur falsifié, donnant ainsi l'impression qu'ils proviennent d'une source fiable, telle qu'un ami, un collègue ou une banque. Les cybercriminels usurpent les SMS pour diffuser des malwares, renvoyer vers des sites web malveillants ou inciter les victimes à envoyer de l'argent ou à divulguer des informations personnelles pouvant mener à un usurpation d'identité.

Depuis 2020, Cybermalveillance.gouv.fr constate une augmentation significative du nombre de tentatives de phishing par SMS. Cette tendance ne fait que s'accentuer et devient de plus en plus difficile à détecter. Et avec l'essor des technologies d'intelligence artificielle, les SMS d'escroquerie devraient se généraliser encore davantage.

Le spoofing SMS comparée au smishing

Le smishing, ou phishing par SMS, consiste à utiliser des SMS trompeurs dans le cadre d'attaques d'ingénierie sociale, de malware, d'escroquerie ou d'usurpation d'identité. Le spoofing SMS est une technique souvent utilisée dans les campagnes de smishing pour manipuler les identifiants de l'expéditeur et masquer les véritables expéditeurs des SMS.

Comment fonctionne le spoofing SMS ?

Pour créer SMS usurpé, certains cybercriminels utilisent un logiciel permettant de modifier l'identifiant de l'expéditeur dans l'en-tête du SMS afin d'afficher un nom ou un numéro différent. D'autres utilisent du matériel tel que des cartes SIM ou des appareils piratés pour envoyer des SMS trompeurs.

Ainsi, un SMS frauduleux peut même apparaître dans le même fil de conversation que celui que vous avez utilisé précédemment pour communiquer avec le contact authentique.

Voici quelques-unes des méthodes utilisées par les pirates pour envoyer des SMS usurpés :

• Applications de spoofing SMS : Des applications spécialisées peuvent modifier les identifiants des expéditeurs de SMS, donnant ainsi l'impression que les messages proviennent d'un autre numéro.
• Échange de carte SIM : Les escrocs peuvent tromper les opérateurs mobiles afin qu'ils leur donnent accès à la carte SIM d'un client, ce qui leur permet d'utiliser le numéro de la victime pour envoyer des messages usurpés.
• Malware de phishing : Les malwares peuvent donner aux pirates le pouvoir d'intercepter et de manipuler les messages sortants de l'appareil d'une victime.
• Externalisation : Les outils de cybercriminalité en tant que service sont des logiciels illégaux qui permettent aux pirates de commettre facilement des cybercrimes tels que le spoofing SMS.

Le spoofing SMS est-il illégal ?

Le spoofing SMS peut être illégal, en fonction des cas. Par exemple, le spoofing visant à tromper des personnes à des fins lucratives peut constituer une fraude. Si le spoofing conduit à la collecte de données personnelles par des moyens frauduleux, déloyaux ou illicites, elle peut également constituer une infraction passible de sanctions.

Les entreprises peuvent « usurper » leurs numéros afin de mieux communiquer avec leurs clients. Par exemple, une banque peut envoyer un message à ses clients à partir d'un identifiant d'expéditeur tel que « Alerte bancaire » plutôt que son numéro de téléphone réel.

Elle peut également utiliser ce mode de communication pour envoyer des mots de passe à usage unique et des rappels de rendez-vous. En usurpant l'identité de l'expéditeur des messages, les destinataires sont plus enclins à les ouvrir et moins susceptibles de les considérer comme des SMS de spam.

Comment détecter le spoofing

Bien qu'il soit très difficile de détecter le spoofing SMS en se basant uniquement sur l'identifiant de l'expéditeur, de nombreux SMS usurpés partagent des caractéristiques communes qui constituent des signaux d'alarme indiquant une anomalie. Apprendre à reconnaître ces signes peut vous aider à vous protéger contre les escrocs.

Voici ce dont il faut se méfier :

• Demandes suspectes : Il est rare que des entreprises ou des particuliers demandent de l'argent ou des informations par SMS. Si une personne formule ce type de demande, il est fort probable que le message soit frauduleux.
• Ton suggérant l'urgence : Les escrocs essaient souvent d'utiliser la peur ou l'urgence pour vous manipuler et vous pousser à agir sans réfléchir. Il peut s'agir par exemple d'un faux message de votre banque vous informant que votre compte sera bloqué si vous ne fournissez pas immédiatement votre code PIN.
• Numéros de téléphone inhabituels : Si vous recevez un SMS suspect provenant d'un contact connu, vérifiez le numéro de l'expéditeur par rapport au contact enregistré dans votre téléphone. Si les chiffres sont différents, il s'agit probablement d'une escroquerie.
• Fautes de grammaire et d'orthographe : Les pirates peuvent intentionnellement inclure des erreurs afin d'éliminer les cibles plus prudentes qui ne constituent pas des proies intéressantes. Vérifiez l'orthographe de l'identifiant de l'expéditeur. Vous remarquerez peut-être que le nom d'un expéditeur connu est mal orthographié.
• Liens ou pièces jointes : Les SMS usurpés contiennent généralement des liens et des pièces jointes malveillants. Ces stratagèmes de phishing sont souvent des tentatives destinées à infecter votre téléphone avec des malwares afin de perpétrer d'autres attaques.
• Champs Expéditeur non cliquables : Vous pouvez généralement cliquer sur le champ Expéditeur d'un SMS pour afficher les informations relatives à l'expéditeur, notamment son nom et son numéro. Si le champ n'est pas cliquable, c'est sans doute parce que l'expéditeur essaie de cacher quelque chose.

Types de spoofing SMS

Parmi les types de spoofing SMS les plus courants, citons les escroqueries par usurpation du nom d'une banque, les escroqueries liées à la livraison de colis, les messages indésirables en masse et l'espionnage industriel. La plupart de ces stratagèmes peuvent également être utilisés pour usurper l'identité de l'appelant, les fraudeurs vous appelant directement au lieu de vous envoyer un SMS.

Usurpation du nom d'une banque

Les victimes d'escroqueries par usurpation du nom d'une banque reçoivent généralement un SMS leur demandant de vérifier une transaction importante, souvent en répondant « oui » ou « non ». Elles sont ensuite mises en relation avec un faux employé de la banque qui tente de les convaincre de divulguer leurs données personnelles ou leurs coordonnées bancaires en ligne.

Escroqueries à la livraison de colis

Dans cette escroquerie de spoofing SMS, les victimes reçoivent un message prétendant provenir d'une entreprise telle que La Poste ou Amazon, leur demandant de confirmer les modalités de livraison. Le lien renvoie vers un faux site qui collecte des informations personnelles, que les fraudeurs peuvent utiliser pour usurper des identités ou effectuer des prélèvements non autorisés sur des cartes de crédit.

Fausses alertes de sécurité

Les fraudeurs envoient des SMS usurpés contenant de fausses alertes prétendant que votre mot de passe a été mis à jour, qu'une commande importante a été passée sur Amazon ou que des modifications ont été apportées à un compte en ligne. Le message contient un lien malveillant qui installe un malware sur votre appareil ou vous demande vos numéros de carte de crédit et vos informations personnelles.

Messages en masse non sollicités

Les escrocs envoient souvent des messages frauduleux en masse à un grand nombre de destinataires. Ces messages sont très probablement du spam, mais s'ils sont envoyés à suffisamment de personnes, certaines mordront forcément à l'hameçon. Ces SMS usurpés prétendent souvent que vous êtes l'heureux gagnant d'un cadeau ou d'un jeu-concours. Ils sont aussi susceptibles de proposer une offre d'emploi qui vous promet beaucoup d'argent pour peu de travail.

Faux virements bancaires

Les fraudeurs utilisent le spoofing SMS pour vous inciter à leur envoyer de l'argent. Les messages indiquent souvent que de l'argent a été viré sur votre compte. Le SMS vous demandera de finaliser la transaction ou de fournir des informations personnelles en cliquant sur un lien malveillant.

Un escroc peut également prétendre avoir accidentellement envoyé de l'argent sur votre compte via PayPal. L'expéditeur vous demandera poliment de lui renvoyer l'argent, souvent sur un autre compte. Ce que vous ne savez pas, c'est que le paiement « accidentel » initial sera annulé par l'application, vous perdrez donc cet argent en plus du montant que vous avez remboursé.

Escroqueries sentimentales

Un SMS usurpé peut également être utilisé pour commettre des escroqueries sentimentales, telles que le catfishing. Les pirates gagnent la confiance de leurs victimes en jouant sur leurs émotions. Ils manipulent leurs victimes pendant longtemps, leur demandant souvent des paiements réguliers.

Espionnage industriel

Les messages frauduleux peuvent être utilisés pour cibler les téléphones des employés d'entreprise. Ils sont généralement destinés à voler des données confidentielles de grande valeur. Les pirates tentent souvent d'installer un spyware, un type de malware, sur les téléphones de leurs victimes afin d'accéder à leurs e-mails professionnels, mots de passe, documents, etc.

Même les cadres supérieurs sont la cible des pirates dans le cadre d'attaques par SMS de type « whaling ». En réalité, les cadres sont beaucoup plus susceptibles d'être victimes de spoofing que leurs employés.

Harcèlement

Parfois, les attaquants utilisent des SMS usurpés pour harceler leurs victimes pour des raisons personnelles. Le spoofing peut être utilisée par des prédateurs, des harceleurs ou toute personne nourrissant de la rancœur. Leur objectif est souvent d'intimider ou d'effrayer une victime afin qu'elle fasse ce qu'ils veulent.

Une personne peut-elle envoyer des SMS en utilisant mon numéro ?

Oui, il est possible d'envoyer des SMS usurpés en utilisant votre numéro. Les pirates peuvent y avoir accès par le biais d'une escroquerie de substitution de carte SIM, en infectant votre téléphone avec un malware ou en utilisant une application de spoofing. Ils peuvent ensuite envoyer des SMS en se faisant passer pour vous.

Les escrocs procèdent généralement ainsi lorsqu'ils souhaitent envoyer des SMS à leurs cibles à partir d'un numéro local. Un escroc peut également cibler une personne que vous connaissez et tenter de la tromper.

Comment savoir si mon numéro a été usurpé ?

Si votre numéro a été usurpé, il se peut que vous receviez des SMS ou des appels de personnes inconnues vous demandant qui vous êtes. Ou bien, il se peut que vous receviez des réponses par SMS à une conversation à laquelle vous n'avez pas participé.

L'impact du spoofing SMS

Le spoofing SMS malveillant peut avoir des conséquences importantes pour les particuliers, les entreprises et l'économie. Les personnes victimes d'escroqueries mobiles perdent bien plus que de l'argent. Cela peut leur coûter leur emploi, leur réputation et d'innombrables heures à essayer de réparer les dégâts.

Voici quelques-unes des conséquences du spoofing SMS :

• Pertes financières : La plupart des escrocs ciblent votre argent. Que ce soit en vous demandant un paiement direct, en usurpant votre identité ou en accédant à vos comptes, ils tenteront toujours de vous soutirer le plus d'argent possible.
• Perturbations des activités : Les messages frauduleux peuvent entraîner des déboires coûteux pour les entreprises, tels que des pannes de sites web, des perturbations de la chaîne d'approvisionnement et des violations de sécurité.
• Atteinte à la réputation : Les entreprises et les particuliers peuvent être tenus responsables des actes commis par le pirate qui s'est fait passer pour eux. Les clients pourraient en conclure que l'entreprise ne prend pas au sérieux la cybersécurité et la protection des données.
• Responsabilités juridiques : Les victimes de spoofing SMS peuvent être confrontées à des problèmes juridiques, en particulier si leurs informations personnelles ou leurs appareils sont utilisés pour nuire à autrui ou effectuer des transactions non autorisées.

Conseils pour mettre fin au spoofing SMS

Une personne reçoit en moyenne des dizaines de SMS indésirables par mois, et n'importe lequel d'entre eux pourrait être une attaque de spoofing. Mais ce n'est pas parce que vous recevez de faux SMS que vous devez nécessairement en être victime. Il est difficile de se protéger contre la cybercriminalité, mais ce n'est pas impossible.

Les conseils suivants peuvent vous aider à vous protéger contre les SMS usurpés :

• Bloquez les numéros inconnus : Si vous recevez des spams ou des SMS aléatoires provenant de numéros inconnus, bloquez-les. Vous éviterez ainsi que ces numéros vous envoient des spams à l'avenir.
• Évitez de cliquer sur des liens contenus dans les SMS : Soyez très prudent lorsque vous cliquez sur des liens envoyés par SMS, même si vous pensez connaître l'expéditeur. Si vous souhaitez vraiment cliquer sur un lien, contactez-le via un autre service de messagerie pour confirmer que le SMS est authentique.
• Méfiez-vous des SMS de réinitialisation de mot de passe : Ne répondez pas à une demande de réinitialisation de mot de passe reçue par un SMS non sollicité. Les banques et autres institutions ne vous demanderont jamais de faire cela par SMS.
• Ne partagez pas d'informations personnelles : La plupart des entreprises ne vous demanderont pas de partager vos informations personnelles ou vos mots de passe par SMS. N'oubliez pas que les petits détails vous concernant peuvent rapidement s'accumuler et constituer la dernière pièce du puzzle dont un fraudeur a besoin.
• Activez les filtres antispam : Activez les filtres antispam de votre téléphone ou installez une application antispam pour bloquer les SMS indésirables.
• Ne répondez pas immédiatement : Si vous recevez un SMS vous exhortant à faire quelque chose immédiatement, considérez-le comme un signal d'alarme. Vérifiez qu'il s'agit bien d'un SMS authentique avant d'agir en appelant le numéro officiel indiqué sur le site web de l'entreprise.
• Mettez à jour vos logiciels : Veillez à toujours mettre à jour le système d'exploitation et les applications de votre téléphone afin de corriger les vulnérabilités et de réduire les risques.
• Installez un logiciel de cybersécurité : Un logiciel antivirus performant tel que Norton 360 for Mobile contribue à sécuriser votre téléphone contre les menaces et vous protège si vous cliquez accidentellement sur un lien malveillant.

Utilisez une solution complète de cybersécurité pour renforcer votre sécurité en ligne

En suivant les conseils ci-dessus, vous pourrez éviter d'être victime d'une escroquerie par spoofing SMS. Mais rester vigilant et surveiller constamment vos messages peut être difficile, surtout lorsque vous êtes pressé par le temps. C'est là qu'interviennent les logiciels de sécurité en ligne fiables.

Norton 360 for Mobile est une suite puissante d'outils de sécurité conçue pour protéger contre les liens malveillants, les sites web dangereux et autres menaces numériques pouvant être dissimulés dans des SMS usurpés. Installez Norton 360 for Mobile afin de protéger votre téléphone, votre identité et votre vie numérique.