Smishing : Définition, comment le repérer et s'en protéger

Les téléphones portables et les appareils mobiles facilitent les contacts avec les amis et les proches, mais ils peuvent aussi vous exposer à des interactions malveillantes avec des escrocs.

Qu'est-ce que le smishing ?

Le smishing se définit comme un type d'attaque de cybersécurité par phishing qui fait appel à des SMS trompeurs pour inciter les destinataires à fournir des informations personnelles ou à cliquer sur des liens malveillants.

On l'appelle « smishing » parce qu'il combine les termes « phishing » et « SMS » (Short Messaging Service). Le phishing est traditionnellement une attaque d'ingénierie sociale par e-mail tandis que le smishing se présente sur les canaux de SMS.

Les escrocs utilisent le smishing pour perpétrer des usurpations d'identité et des fraudes, voire pour diffuser différents types de malwares. Pour se prémunir des attaques de smishing, il faut rester vigilant, comprendre les signes des messages suspects de phishing et apprendre à protéger sa sécurité mobile.

Smishing, phishing et vishing

Le phishing, le smishing et le vishing sont tous des tactiques de vol d'informations personnelles : la différence réside dans la forme de leur diffusion.

Le vishing et le smishing sont des types de phishing.

Le phishing est une tactique d'ingénierie sociale utilisée par les escrocs et les cybercriminels. Il est souvent effectuée par le biais de faux e-mails qui prétendent provenir de sources fiables.

Le smishing, ou phishing par SMS, consiste à envoyer des SMS frauduleux ou malveillants dans l'espoir d'obtenir une réponse ou que la personne clique sur un lien.

Le vishing, ou phishing vocal, consiste pour les escrocs à se faire passer pour des professionnels ou d'autres sources de confiance par téléphone afin d'inciter les victimes à révéler des données sensibles ou à transférer de l'argent ou de la monnaie numérique.

Comment fonctionne le smishing ?

Pour mener à bien les attaques de smishing, les cybercriminels font appel à une combinaison de malwares, de liens malveillants, de menaces SMS et de tactiques d'ingénierie sociale (comme le langage et la manipulation induisant la peur). Voici les étapes habituelles d'une attaque de smishing :

1. Un escroc envoie un SMS en utilisant des tactiques d'ingénierie sociale pour vous faire croire que le message est légitime.
2. Vous cliquez sur un lien infecté ou fournissez des informations personnelles.
3. L'escroc utilise vos informations pour mener d'autres attaques, commettre des fraudes ou même vendre les données volées sur le Dark Web.

5 types d'attaques de smishing

Les SMS de smishing peuvent se présenter sous de nombreuses formes, car les pirates informatiques aiment personnaliser leurs messages en fonction de leurs cibles. Gardez ces différents types de textos de smishing à l'esprit afin de garantir la cybersécurité de vos smartphones et tablettes.

1. Smishing basé sur les avis de livraison et le suivi des colis

Les escroqueries à la livraison de colis font partie des types d'attaques de smishing les plus courantes, en particulier pendant les vacances ou les grands événements commerciaux. Vous pouvez recevoir un SMS de FedEx, UPS ou La Poste vous informant d'un problème de livraison ou vous demandant de mettre à jour les détails de l'expédition. Ce sont des escroqueries visant à vous inciter à cliquer sur un lien dangereux ou à divulguer des informations personnelles.

2. Escroquerie par smishing via des services financiers

Les escroqueries par smishing via les services financiers profitent du fait que presque tout le monde utilise les banques et les sociétés de cartes de crédit pour gérer ses finances. Ces SMS de smishing se font passer pour des institutions bancaires légitimes et vous incitent à fournir des données sensibles telles que votre adresse, votre numéro de téléphone, votre mot de passe, votre adresse e-mail, etc. Les smishers envoient souvent des alertes à la fraude, avertissant les cibles d'une activité suspecte sur leur compte, les incitant à cliquer sur un lien ou à appeler un numéro de téléphone, qui sont tous deux malveillants.

3. Escroqueries par smishing via confirmation

Une escroquerie par smishing via confirmation utilise de fausses demandes de confirmation pour vous inciter à divulguer des informations sensibles. Il peut s'agir d'une commande en ligne, d'un rendez-vous à venir ou d'une facture pour des chefs d'entreprise. Le SMS de phishing peut contenir un lien vous dirigeant vers un site qui vous demande de saisir vos identifiants ou d'autres données sensibles pour vérifier votre rendez-vous ou votre achat.

4. Escroqueries par smishing via le support client

Les escroqueries par smishing via le service client envoient des SMS de smishing en se faisant passer pour n'importe quelle entreprise en laquelle une personne peut avoir confiance, et pas seulement pour des banques ou des sociétés de cartes de crédit. Les auteurs peuvent se faire passer pour un représentant d'une entreprise en ligne ou d'un détaillant vous informant d'un problème concernant votre compte. Ils vous fourniront des instructions pour résoudre le problème, qui peuvent vous diriger vers un faux site infecté par un spyware.

5. Escroqueries par smishing au cadeau ou au concours

Ce type d'attaque de smishing vous offre un cadeau gratuit ou annonce un faux concours, en essayant de vous faire cliquer sur un lien malveillant pour récupérer votre prix. Si vous cliquez sur le lien et arrivez sur un site web, votre « cadeau » peut être l'infection de votre appareil par un malware.

Exemples d'attaques de smishing

Des exemples concrets de smishing peuvent vous aider à comprendre comment les éviter dans votre vie quotidienne.

• UPS Canada (2023) : UPS a été victime d'une violation de données où un accès non autorisé à son outil de recherche de colis a révélé les coordonnées de certains destinataires. UPS a averti ses clients que des pirates avaient ciblé certains destinataires avec des attaques de smishing demandant un paiement avant la livraison.
• Jeux Olympiques de Tokyo (2020) : La société de renseignement sur les menaces CYFIRMA a détecté une campagne de smishing ciblant les fans des Jeux olympiques en tentant de vendre de faux billets dans le but de voler des données personnelles et des informations bancaires.
• United States Postal Service (2020) : Le PDG de SlickRockWeb a signalé une campagne de smishing se faisant passer pour l'USPS afin de tromper les utilisateurs et de compromettre leurs identifiants.

Pour vous protéger contre les tentatives de smishing, découvrez les signes avant-coureurs et les conseils de protection contre le smishing.

Signes avant-coureurs d'une attaque de smishing

Les signes d'alerte suivants vous aideront à déterminer si vous êtes confronté à des textos indésirables de smishing sur votre appareil mobile :

• Numéros de téléphone suspects : Les messages de smishing proviennent souvent de numéros qui ne suivent pas la disposition typique à 10 chiffres ou qui utilisent une série de numéros identiques.
• Mots mal orthographiés ou erreurs grammaticales : Les entreprises dignes de confiance s'assurent que leurs communications sont exemptes de fautes de frappe et de grammaire avant de les envoyer aux clients. Ces erreurs d'inattention sont des signaux d'alarme et souvent des signes d'escroquerie.
• Liens et fichiers provenant de numéros inconnus : Le phishing par SMS inclut souvent des liens trompeurs avec des URL inhabituelles qui vous conduisent à un site web dangereux.
• Demandes urgentes : Les escrocs se servent souvent de l'urgence pour effrayer leurs victimes. Toutefois, les vraies entreprises donnent un préavis suffisant en cas de problème. Il convient donc de supprimer ces SMS ou de les vérifier auprès de l'expéditeur supposé par l'intermédiaire d'un canal officiel.
• Demandes d'argent : Les SMS incitant à effectuer des virements en ligne sont probablement des escroqueries visant à épuiser vos fonds.
• Notifications de prix : Recevoir des alertes de prix pour des concours auxquels vous n'avez pas participé est un signal d'alarme. Évitez de vous engager ou de cliquer sur les liens intégrés.

Comment éviter les escroqueries par smishing

Votre téléphone portable est probablement l'un des appareils les plus utilisés et les plus fiables. Évitez les escroqueries par smishing grâce à ces conseils de cybersécurité :

• N'envoyez pas d'informations personnelles par SMS : Ne donnez jamais de détails personnels, tels que des mots de passe, des numéros de carte de crédit, des adresses ou des e-mails par texto.
• Inspectez les nouveaux numéros de téléphone : Les numéros de téléphone étranges peuvent être le signe d'une tentative de smishing. Méfiez-vous des numéros internationaux ou de ceux qui ne respectent pas le format habituel.
• Évitez de cliquer sur des liens ou des fichiers suspects : Le cœur d'une attaque de smishing est souvent un lien malveillant. Évitez à tout prix de cliquer sur ces liens. De même, si vous savez qu'un SMS est faux lorsque vous le recevez, supprimez-le immédiatement.
• Contactez directement l'entreprise : Les escrocs se font souvent passer pour des entreprises ou des banques en activité. Si un SMS vous semble douteux, contactez directement l'établissement pour vérifier.
• Ne répondez jamais : L'un des meilleurs moyens d'éviter les futures tentatives de smishing est de ne pas interagir. Répondre à un SMS de smishing confirme que votre numéro est actif et peut conduire à d'autres attaques.
• Utilisez l'authentification à deux facteurs : Même si vous vous faites piéger et que votre mot de passe est compromis, l'authentification à deux facteurs ajoute une couche de protection supplémentaire. La technologie biométrique utilise par exemple l'empreinte digitale ou la reconnaissance faciale pour vérifier votre identité.
• Téléchargez un logiciel antivirus : Le téléchargement d'un logiciel antivirus fiable comme Norton 360 Deluxe permet de sécuriser votre appareil en le protégeant contre le piratage et en bloquant les malwares et autres menaces en ligne avant qu'ils ne l'infectent.

Comment répondre au smishing

Si vous recevez un SMS suspect qui présente des signes révélateurs de smishing et de phishing, ne paniquez pas. Apprenez ces bonnes pratiques afin de savoir comment réagir aux tentatives de smishing :

1. Ne répondez pas : Ne répondez jamais à un SMS suspecté de smishing.
2. Signalez l'attaque : Marquez le SMS comme spam, signalez le numéro et informez votre fournisseur de services mobiles. Il existe également des canaux officiels pour signaler ces escroqueries, comme cybermalveillance.gouv.fr.
3. Mettez à jour vos mots de passe : Changez les mots de passe de tous les comptes que vous pensez être à risque. Utilisez des mots de passe longs et uniques ou des phrases de passe pour renforcer la sécurité des mots de passe.
4. Surveillez vos finances : Consultez vos relevés bancaires et l'activité de vos cartes de crédit. Si vous remarquez quelque chose de suspect, alertez immédiatement votre banque.
5. Analysez votre appareil à la recherche de malwares : Utilisez un logiciel antivirus fiable pour lancer une analyse complète des malwares sur votre appareil. Si vous avez cliqué sur des liens, des menaces peuvent se cacher.

Protégez-vous contre les escroqueries en ligne avec Norton 360 Deluxe

Comme d'autres tactiques d'ingénierie sociale, le smishing exploite l'erreur humaine. Il est donc essentiel de rester informé. L'utilisation d'un logiciel de sécurité performant comme Norton 360 Deluxe peut vous aider à vous protéger des malwares, du piratage et des autres menaces en ligne. Téléchargez Norton 360 Deluxe dès aujourd'hui pour sécuriser votre téléphone en ligne.

FAQ sur le phishing

Consultez la foire aux questions sur le smishing afin de gérer correctement la situation si vous recevez un SMS malveillant.

À quoi correspond le mot-valise « smishing » ?

Le smishing est une combinaison de « SMS » (short message services) et de « phishing ».

Qu'est-ce que le smishing en ingénierie sociale ?

Dans le contexte de l'ingénierie sociale, le smishing implique que les attaquants adoptent des tactiques psychologiques par le biais de SMS trompeurs conçus pour inciter les destinataires à prendre des mesures particulières, comme cliquer sur des liens malveillants ou fournir des données personnelles ou des informations financières.

Puis-je attraper un virus en ouvrant un SMS ?

L'ouverture d'un texto est généralement sans danger, mais les actions qui suivent, comme cliquer sur un lien malveillant ou télécharger une pièce jointe malveillante, peuvent introduire un virus ou un malware dans votre appareil.

Quelle est la différence entre le phishing et le smishing ?

Le smishing est un type de phishing. Le phishing fait souvent référence à des escroqueries par e-mails, tandis que le smishing n'utilise que les SMS.

Le smishing est-il un cas de cybercriminalité ?

Oui, le smishing est une cybercriminalité qui utilise des SMS malveillants pour commettre des fraudes ou voler des informations personnelles au profit du cybercriminel.

Pourquoi les cybercriminels utilisent-ils le smishing ?

Les cybercriminels font appel au smishing parce que les SMS sont instantanément accessibles et permettent d'obtenir des réponses rapides, ce qui en fait un moyen de communication très efficace pour les escrocs. L'objectif est généralement de voler les données personnelles de la victime ou de l'inciter à cliquer sur un lien malveillant.

Que faire lorsqu'un numéro étrange vous envoie un SMS ?

Si vous recevez un texto d'un numéro inconnu, en particulier si le contenu semble étrange ou trop beau pour être vrai, ne cliquez sur aucun lien, ne répondez pas, envisagez de signaler le numéro en tant que spam et pensez à bloquer le numéro.