L'arnaque par SMS, le smishing toujours présent dans nos téléphones...
Édito : Il était une fois en 2021, nous avions abordé le sujet du Smishing, à cette époque cela débuté tout juste cette arnaque-là. Mais voilà 3 ans après le Smishing est toujours là, et rencontre un énorme succès auprès des cybercriminels. Qu'est-ce que le Smishing et comment cela marche ? Pourquoi le Smishing est-il plus dangereux que l'hameçonnage ? Que faire face à ce danger et comment vous en protéger ? Et notre F.A.Q (questions et réponses)
Vous pouvez venir sur notre groupe pour en débattre : entraide informatique Sud-Gironde.
Un phénomène pas si nouveau que cela, comme nous venons de vous l'écrire dans notre édito, cela existe depuis 2021. Au départ cela a débuté avec les "antai-info" :
07.67.21.04.** message du 27.02.2024:
ANTAI-Info : Vous avez une contravention impayée d'un montant de 35€, dernier rappel avant majoration. Référence du dossier : 208581. Consultez votre dossier d'infraction via : www.contravention-tai.***/reglement
06.34.69.53.** :
ANTAI GOUV : Votre infraction date du 25.12.2020 n'est toujours pas réglée. Dossier référence 2078708423. Merci de regler la situation avant le 25.06.2021 sous peine d'une majoration pouvant atteindre 135 euros. Consultez votre dossier ANTAI via : https://amendes-antai-infraction.***
L'évolution de l'arnaque par SMS
Maintenant, cela concerne les colis, les abonnements à netflix, la banque.
Netflix message du 29.02.2024 : Votre compte a été suspendu. Veuillez suivre les étapes ci-dessous pour procéder à sa réactivation : accueil-netflix.fr
Nous avons reçu cela, cela nous a fait rire, car nous n'avons
pas de compte Netflix. Mais cela part d'une bonne idée vu le
succès de la plateforme, les cybercriminels ont plus de chance
pour trouver "le pigeon". Si nous analysons le lien proposé :
Le site Netflix est un .com et non .fr, ensuite, le site se
nomme netflix pas accueil-netflix déjà cela doit donner une
alerte à la personne qui le reçoit.
Les victimes du SMS Smishing en progression
En 2021, nous avions eu comme chiffre de victimes aux alentours de 100 000 personnes. En 2024 les chiffres ont fait x4 soit plus de 400 000 victimes par jour !! Le problème vient de quoi ? Cela vient que les internautes ont tendance beaucoup plus cliquer sur les liens frauduleux lorsqu'ils les reçoivent par SMS que par courriel (un ratio de x8 en moyenne). Par un manque de connaissance, d'où l'importance de suivre une formation sur les dangers d'internet.
Qu'est-ce que le Smishing et comment ça marche ?
Le smishing c’est l’hameçonnage par messages texte (SMS) et non par e-mail, d’où le nom ; smishing = SMS + phishing. Certaines classifications incluent l’hameçonnage via les applications de messagerie dans le smishing, mais pour nous il s’agit d’une catégorie à part et nous n’en débattrons pas ici.
Le but est, comme pour n’importe quelle tentative d’hameçonnage, de piéger les destinataires pour qu’ils divulguent des informations sensibles, comme par exemple le mot de passe de leur compte bancaire en ligne ou bien les données de leur carte bancaire. Pour ce faire, les escrocs envoient des SMS, souvent au sujet d’un problème non existant (problème de livraison, factures impayées ou compte bloqué), que les destinataires doivent régler en cliquant sur un lien. Il y a ensuite deux scénarios possibles :
-
*-* Scénario 1 : le lien infecte la victime avec un malware qui se fait passer pour une application légitime mais dont le vrai but est d’obtenir des informations importantes ;
-
*-* Scénario 2 : il renvoie la victime sur une page Web déguisée en un site Web légitime mais dont le vrai but est d’obtenir des informations importantes.
Le scénario qui aura lieu va dépendre de la tactique fétiche des escrocs : un malware ou un faux site. Le résultat est le même dans les deux cas.
Pourquoi le Smishing est plus dangereux que l'hameçonnage de base ?
-
La plupart d’entre nous se sont plus ou moins habitués à l’hameçonnage par mail, et les gens savent en général comment le reconnaître et l’éviter. Les SMS sont des canaux moins fréquents pour arnaquer les gens, alors ces derniers ont tendance à se dire qu’un petit message ne peut pas représenter une menace.
En dehors de ça, bien que les gens fassent plus confiance aux SMS, ces derniers ont tendance à être moins sécurisés que les e-mails. Chaque service de messagerie électronique un tant soit peu décent possède un filtre anti-spam intelligent. Ces derniers ne sont pas sans défauts, mais les escrocs doivent sans cesse inventer de nouvelles tactiques pour les contourner. Malheureusement, quand il est question de flexibilité et de précision, les filtres anti-spam des opérateurs mobiles laissent à désirer.
De plus, les gens lisent généralement les messages à la volée ou pendant qu’ils font autre chose. Ceci, en plus du fait qu’ils ne s’attendent pas à ce qu’un SMS soit dangereux, fait qu’ils ont tendance à moins prêter attention aux SMS et que les attaques ont plus de chance de réussir. En d’autres termes, lorsqu’ils reçoivent un message, les gens sont susceptibles de ne pas tenir compte des signes avant-coureur qu’ils connaissent et vont juste cliquer sur le lien.
Pour finir, les SMS affichent moins de signaux qui aideraient à reconnaître une arnaque. Lorsque vous recevez un e-mail, vous pouvez voir l’adresse de l’expéditeur, examiner la conception et la mise en page et analyser la crédibilité du message. En résumé, vous pouvez voir les signaux d’alarme.
Avec les SMS, même les messages légitimes se ressemblent les uns les autres, avec des messages courts employant un langage non normalisé et aucune mise en page à analyser. Les escrocs ont les capacités techniques pour usurper les informations de l’expéditeur sans que cela paraisse louche, en remplaçant le vrai numéro de ce dernier par un faux.
Que faire face au danger et comment s'en protéger ?
-
Les cybercriminels recourent désormais à des IA telles que ChatGPT et ses rivaux, donc terminés les fautes d'orthographe ou les messages approximatifs.
Tout comme avec l’hameçonnage traditionnel, vous devez construire de fortes défenses contre le smishing.
-
- Ne cliquez pas sur les liens et ne partagez aucune information vous concernant dans un SMS. Comme on dit, moins il y a d’activité, mieux c’est ;
-
- Utilisez une authentification à deux facteurs partout où vous pouvez. Ainsi, même avec un mot de passe volé, les criminels ne pourront pas avoir accès à votre compte.
-
- Contactez immédiatement votre banque si vous pensez qu’un criminel a eu accès à votre compte. Cette dernière peut bloquer votre carte, changer vos mots de passe et vous conseiller sur les étapes à suivre.
Nous allons terminer avec une FAQ pour dissiper quelques doutes que vous pourriez avoir
Dois-je répondre à un message frauduleux juste pour qu’ils me suppriment de leur liste de diffusion ?
Ne faites pas ça. Le simple fait de répondre leur confirme que votre numéro est toujours actif. Se désinscrire peut être une chose difficile à faire, même avec les entreprises légales, alors n’espérez pas trouver un accord avec ceux qui enfreignent la loi.
Et s’il ne s’agit pas de smishing mais d’un message important de la part de ma banque ?
Si vous avez un doute, contactez directement votre banque. Il est peu probable qu’elle ait envoyé ce message. À ce propos, assurez-vous d’obtenir le numéro de téléphone d’une source que vous connaissez, comme son site Internet par exemple. Dans tous les cas, n’utilisez aucune coordonnée provenant de ce SMS.
Y a-t-il un moyen de filtrer automatiquement l’hameçonnage par SMS ?
Bien sûr qu’il y en a un ! De nombreuses solutions de sécurité
utilisent depuis longtemps des filtres intégrés pour détecter
les liens suspects qui se trouvent dans les SMS et les
applications de messagerie. Nous utilisons Google Message, il
est relativement efficace.
Après bien entendu il y a des solutions payantes :)
En savoir plus...
Vous pouvez nous contacter sur les réseaux sociaux, depuis notre site internet dans l'espace contact et suivre également l'une de nos formations en à votre domicile avec le SERVICE A LA PERSONNE !