Resources

Protection contre le Smishing (Phishing par SMS) : Sécurisez Vos SMS

Vous en avez probablement entendu parler, vous en avez probablement reçu. Le smishing est essentiellement du phishing via SMS et constitue un vecteur très populaire pour les arnaques. Sur cette page, nous allons explorer en profondeur tout ce que vous devez savoir sur le smishing.

Arsen Team
7 minutes read
What is vishing?

Qu'est-ce que le smishing ?

Le smishing, ou SMS Phishing, est essentiellement du phishing diffusé par le biais de services de messagerie instantanée, tels que les SMS.

Le smishing ne se limite pas aux SMS traditionnels et peut également être utilisé sur des applications de messagerie instantanée comme WhatsApp, Telegram ou Signal.

Il s'agit d'un vecteur de distribution pour les attaques d'ingénierie sociale, ciblant généralement des individus dans le but d'obtenir des informations ou de voler de l'argent par le biais d'escroqueries.

Comme toutes les attaques d'ingénierie sociale, le smishing se fait passer pour une marque ou une personne et utilise différentes techniques de manipulation pour augmenter les chances de succès de l'attaque.

Étant donné que le niveau de protection des téléphones personnels est souvent inférieur à celui des protections des emails, le smishing a généralement de meilleures chances d'atteindre sa cible.

Le smishing est une forme d'attaque très courante, et en savoir plus à son sujet peut vous aider à prévenir des conséquences désastreuses.

Histoire du Smishing

Début des années 2000 : la montée en puissance des téléphones mobiles

Avec l'essor de l'utilisation des téléphones mobiles au début des années 2000, les escrocs ont adapté leurs techniques pour exploiter ce nouveau média.

Les premières tentatives de smishing étaient relativement simples, consistant souvent en des messages texte incitant les destinataires à visiter des sites web malveillants ou à appeler des numéros de téléphone frauduleux.

2010 : l'ère des smartphones

L'essor des smartphones a conduit à des attaques de smishing plus sophistiquées, diffusant des malwares, utilisant des liens intégrés et exploitant des vulnérabilités des systèmes d'exploitation mobiles.

2016 : contourner les protections 2FA

Avec l'essor de l'authentification multifactorielle, les attaques de smishing sont utilisées en combinaison avec des attaques de phishing ou de vishing pour extraire des mots de passe à usage unique de leurs victimes et accéder à des comptes protégés.

2018 : spear smishing

Tout comme le phishing, le smishing personnalisé et ciblé devient plus populaire en 2018. Ces attaques intègrent souvent des données divulguées ou des informations obtenues par Open Source Intelligence (OSINT) pour augmenter l'efficacité des attaques.

2020 : l'ère Covid et l'escroquerie USPS

Pendant la pandémie de Covid-19, il y a eu une augmentation des attaques de phishing et de smishing. L'utilisation accrue des communications numériques pour le travail à distance et les interactions sociales a facilité de nouvelles attaques.

Une attaque très populaire a commencé à émerger, prétendant être un SMS de livraison en attente de paiement, usurpant l'identité de l'USPS.

Comment fonctionne le smishing

Le smishing, ou phishing par SMS, fonctionne à travers une série d'étapes bien conçues pour tromper les individus afin qu'ils révèlent des informations sensibles ou téléchargent des logiciels malveillants. Comprendre comment fonctionne le smishing peut aider les utilisateurs à reconnaître et éviter ces attaques. Voici une description détaillée du processus.

Étape 1 : Planification de l'attaque et sélection des cibles

Les cybercriminels rassemblent des informations sur les cibles potentielles. Cela peut impliquer l'achat de listes de contacts sur le dark web, la collecte de profils sur les réseaux sociaux ou l'utilisation de données provenant de violations de données précédentes. Plus les informations sont personnalisées, plus l'attaque sera convaincante.

Les cibles peuvent varier des individus aux grandes organisations.

Dans un contexte d'entreprise, les cibles de grande valeur, telles que les cadres ou les employés ayant accès à des informations sensibles, sont souvent prioritaires.

Pour les individus, les attaques à grande échelle sont courantes, parfois synchronisées avec des événements spécifiques comme le Black Friday ou des opérations de vente spécifiques, augmentant ainsi le nombre de livraisons de colis depuis des sites de commerce électronique et le succès des escroqueries de smishing liées aux livraisons de colis.

Étape 2 : Conception du message

Comme pour toutes les attaques d'ingénierie sociale, les messages créent souvent un sentiment d'urgence ou de peur pour inciter à une action immédiate. Des exemples incluent des alertes sur une activité suspecte de compte, des demandes de paiement urgentes ou des notifications de livraison de colis.

L'utilisation d'informations personnelles, telles que le nom de la cible ou des détails spécifiques sur ses activités, augmente la crédibilité du message. Les messages personnalisés sont plus susceptibles de susciter une réponse.

Enfin, selon le prétexte choisi, les attaquants usurpent souvent les numéros de téléphone ou créent des messages qui semblent provenir de sources fiables, telles que des banques, des agences gouvernementales ou des entreprises bien connues. Cela rend le message plus légitime.

Étape 3 : Livraison du message

Les messages sont envoyés via SMS (Short Message Service) ou MMS (Multimedia Messaging Service). Alors que le SMS est basé sur le texte, le MMS peut inclure des images, des vidéos ou d'autres contenus multimédias pour rendre le message plus convaincant.

Le message inclut généralement un lien vers un site web malveillant. Le lien peut être raccourci à l'aide de raccourcisseurs d'URL pour masquer la destination réelle ou être conçu pour ressembler à des URL légitimes.

Les raccourcisseurs et les redirections de liens sont également utiles pour protéger les liens contre l'inspection par les systèmes de sécurité et les filtres.

Certains messages peuvent inclure des numéros de téléphone à appeler ou des pièces jointes à télécharger. Ces numéros de téléphone mènent souvent à des centres d'appels d'escroquerie, tandis que les pièces jointes peuvent contenir des logiciels malveillants.

Étape 4 : Engagement de la victime

En fonction du type d'attaque et de l'infrastructure déployée par l'attaquant, plusieurs choses peuvent se produire à ce stade.

Si la cible clique sur un lien, elle est redirigée vers un site web de phishing conçu pour imiter un site légitime. Le site demandera à l'utilisateur d'entrer des informations personnelles, telles que des identifiants de connexion, des numéros de carte de crédit ou des numéros de sécurité sociale.

Les informations saisies sur le site de phishing sont capturées par les attaquants et utilisées pour le vol d'identité, la fraude financière ou d'autres attaques.

Certains liens ou pièces jointes peuvent mener au téléchargement de logiciels malveillants, tels que des enregistreurs de frappe, des ransomwares ou des logiciels espions, qui peuvent compromettre l'appareil et les données de la cible ou être utilisés comme première étape d'une attaque plus complexe.

Si la cible appelle un numéro fourni, elle peut parler avec un escroc qui utilise des techniques d'ingénierie sociale pour extraire des informations sensibles, souvent en prétendant être un représentant d'une organisation légitime.

Étape 5 : Exploitation

Les informations volées sont utilisées pour commettre diverses formes de fraude, telles que des transactions non autorisées, le vol d'identité ou la prise de contrôle de comptes. Les cybercriminels peuvent également vendre les informations sur le dark web pour être utilisées par d'autres attaquants.

Dans les environnements organisationnels, les attaquants peuvent utiliser les identifiants volés pour accéder aux réseaux internes, conduisant à des violations de données, des attaques par ransomware ou d'autres campagnes de phishing.

Reconnaître le smishing

Signes d'alerte

Comme pour de nombreuses tentatives d'ingénierie sociale, il existe quelques signes d'alerte communs qui devraient éveiller votre curiosité et vous inciter à être très prudent quant à la manière dont vous interagissez avec le message que vous avez reçu.

Ces signes d'alerte incluent :

  • Messages inattendus : les messages non sollicités doivent être traités avec prudence.
  • Orthographe et grammaire : bien que cela ne soit PAS une méthode infaillible pour détecter une attaque, les attaques de smishing de faible qualité existent encore, et une mauvaise orthographe ou grammaire doit toujours être considérée comme un signe d'avertissement.
  • Salutations génériques : tout comme les erreurs d'orthographe, c'est un signe d'avertissement pour les attaques de faible qualité.
  • Mécanisme d'urgence et de pression : pour créer une réaction émotionnelle, les attaques de smishing courantes s'appuieront sur l'urgence, la peur et l'autorité pour vous faire réagir.

Exemples de messages de smishing

Voici quelques exemples courants de messages utilisés dans les attaques de phishing :

  • Alerte bancaire : "Votre compte a été temporairement suspendu en raison d'une activité suspecte. Veuillez visiter [URL bancaire factice] pour vérifier vos informations et restaurer l'accès."
  • Arnaques de livraison de colis : "Votre colis est en attente en raison de détails de livraison incorrects. Mettez à jour vos informations ici : [lien malveillant]."
  • Arnaques au remboursement d'impôts : "Vous avez un remboursement d'impôts en attente. Cliquez ici pour le réclamer : [URL factice de l'agence fiscale]."

Risques et conséquences du smishing

Tout comme le phishing, il est essentiel de considérer les risques et les conséquences du smishing dans deux contextes différents : l'impact personnel et l'impact sur les entreprises.

Impact personnel

Sur le plan personnel, si vous êtes victime d'une attaque de smishing, vous pourriez subir les conséquences suivantes :

  • Perte financière : Vous pouvez subir des pertes financières directes si vous fournissez des informations bancaires ou de carte de crédit en réponse à un message de smishing. Les transactions non autorisées, les frais frauduleux et les comptes bancaires vidés sont des conséquences courantes.
  • Vol d'identité : Les informations personnelles, telles que les numéros de sécurité sociale, les adresses et les dates de naissance, peuvent être collectées par le smishing. Ces informations peuvent être utilisées pour ouvrir de nouveaux comptes, demander des prêts ou commettre d'autres formes de vol d'identité.
  • Détresse émotionnelle : L'impact psychologique de ces attaques est élevé. Les victimes de smishing éprouvent souvent une détresse émotionnelle importante, incluant l'anxiété, la peur et un sentiment de violation. Le processus de récupération après un vol d'identité ou une fraude financière peut être long et stressant.
  • Violation de la vie privée : La perte d'informations personnelles peut entraîner une grave violation de la vie privée. Les victimes peuvent voir leurs détails personnels exposés sur le dark web ou utilisés dans d'autres escroqueries et attaques.

Impact sur les entreprises

Les entreprises peuvent être affectées à une échelle différente par les attaques de smishing :

  • Violations de données : Les attaques de smishing ciblant les employés peuvent entraîner des violations de données. Les identifiants compromis peuvent permettre aux attaquants d'accéder à des informations sensibles de l'entreprise, à la propriété intellectuelle et aux données des clients.
  • Sanctions financières : Les entreprises peuvent faire face à des sanctions financières importantes en raison de la non-conformité réglementaire si une violation de données survient à la suite d'une attaque de smishing. Des lois telles que le RGPD et le CCPA imposent des amendes sévères pour les violations de données impliquant des informations personnelles.
  • Perturbation opérationnelle : Les attaques de smishing peuvent entraîner des perturbations opérationnelles. Les logiciels malveillants ou les ransomwares introduits via le smishing peuvent paralyser les opérations commerciales, entraînant des temps d'arrêt et des pertes de productivité.
  • Dommages à la réputation : Une attaque de smishing réussie qui conduit à une violation de données peut gravement nuire à la réputation d'une entreprise. Les clients et les partenaires peuvent perdre confiance, entraînant la perte d'opportunités commerciales et des dommages à long terme à la réputation.

Prévention et protection contre le smishing

La prévention des attaques de smishing doit être mise en œuvre en trois couches principales dans le cadre d'une stratégie de défense en profondeur.

Éducation et sensibilisation

La première couche de défense consiste à former les individus, grâce à du contenu de sensibilisation et à des campagnes de simulation, à comprendre le risque et à adopter des comportements plus sécurisés, tels que signaler ces attaques aux autorités compétentes et aux services internes.

Les attaques de smishing ciblent les personnes et leurs réactions ; la formation est la couche de défense la plus rentable que vous puissiez appliquer.

Bonnes pratiques et procédures

Spécifiquement dans un contexte organisationnel, des procédures doivent prévenir les attaques en ajoutant des points de contrôle et des frictions pour perturber le schéma d'attaque.

Par exemple, les informations sensibles ne doivent pas être transmises sans un processus de vérification spécifique. Les paiements ne doivent pas être effectués depuis un appareil mobile, etc.

Certaines de ces procédures peuvent être renforcées par des outils de sécurité, d'autres doivent s'appuyer sur une formation adéquate des employés.

Outils de sécurité

Les outils de sécurité qui peuvent limiter le risque de smishing sont nombreux :

  • Applications de sécurité mobile : permettant une protection contre les menaces en temps réel, le blocage des SMS et des appels.
  • Gestion des appareils mobiles (MDM) : pour contrôler, surveiller et gérer facilement les paramètres de sécurité et les applications sur les appareils mobiles.
  • Authentification multifactorielle (MFA) : renforçant la sécurité en cas de vol d'identifiants ou d'attaques de logiciels espions, rendant plus difficile l'exploitation des identifiants.
  • Surveillance des fuites : surveiller la présence de numéros de téléphone sur le dark web peut aider à prévenir les attaques en renforçant la sécurité ou en changeant les numéros.

Réponse à une attaque de smishing

Réagir efficacement à une attaque de smishing est crucial pour minimiser les dommages et prévenir toute exploitation supplémentaire.

Actions immédiates

Les premières choses à faire sont les suivantes :

  • Ne répondez pas et n'interagissez pas avec le message texte suspect.
  • Alertez les parties concernées : en fonction du contexte, il peut s'agir de la personne ou du service usurpé, comme votre banque, ou d'une équipe de sécurité dédiée dans votre organisation.

Si vous avez interagi avec le message texte et pensez que vous pourriez être compromis, déconnectez votre téléphone du réseau. Vous pouvez le faire en activant le mode avion pour empêcher la communication des malwares avec le réseau.

Sécuriser vos comptes

Si vous pensez avoir été compromis, vous pouvez essayer de renforcer la sécurité de vos comptes. Ce sont également de très bonnes mesures de prévention :

  • Changez vos mots de passe en utilisant un outil de gestion des mots de passe.
  • Activez la MFA pour renforcer la sécurité de l'authentification.
  • Surveillez vos comptes et vos dernières connexions lorsque cela est possible, pour voir si une activité suspecte a déjà eu lieu.

Scanner et nettoyer les appareils

Si vous suspectez que vous avez déjà installé un malware déployé via une attaque de smishing, vous devriez également scanner et nettoyer votre appareil mobile :

  • Exécutez un logiciel de sécurité : un logiciel anti-malware à jour peut scanner et détecter les malwares potentiels sur votre téléphone.
  • Mettez à jour votre logiciel : les correctifs de sécurité aideront à prévenir l'exploitation de certaines failles de sécurité qui aident les malwares à se propager et à obtenir un accès plus élevé à votre mobile.

L'avenir du smishing

Une grande partie de l'évolution des attaques de smishing peut déjà être observée dans les attaques de phishing actuelles.

Nous prévoyons une augmentation des attaques conversationnelles, ce qui les rendra plus difficiles à détecter.

Les attaques conversationnelles engagent une discussion avec la victime, créant une relation de confiance et réduisant le nombre d'éléments suspects, tels que les liens malveillants dans le contenu des SMS.

Les attaques conversationnelles multilingues, à grande échelle, sont désormais possibles avec l'essor des LLM (modèles de langage large) et les progrès qu'ils apportent à la sphère de l'IA générative.

Elles seront également utilisées en combinaison avec des attaques de vishing et de phishing pour améliorer l'engagement des victimes, créer des facteurs de confiance supplémentaires et augmenter la complexité des schémas d'attaque, les rendant plus difficiles à détecter.

Book a demo

Learn what makes Arsen the go-to platform to help CISOs, cyber experts, and IT teams protect their organizations against social engineering.

Obtenir une démonstration

Questions fréquentes

Le phishing est un terme plus large qui englobe diverses méthodes de communication trompeuses pour voler des informations sensibles, y compris les emails (phishing), les appels téléphoniques (vishing) et les messages texte (smishing). Le smishing se réfère spécifiquement aux attaques de phishing menées via SMS ou messages texte.

  • Messages non sollicités provenant de numéros inconnus.
  • Messages qui créent un sentiment d'urgence ou de peur, incitant à une action immédiate.
  • Demandes d'informations personnelles, de détails financiers ou d'identifiants de connexion.
  • Fautes de grammaire et d'orthographe.
  • URLs suspectes ou raccourcies.
  • Messages prétendant provenir d'organisations réputées mais utilisant des salutations génériques comme "Cher Client."

Si vous recevez un message texte suspect :

  • Ne répondez pas au message et ne cliquez sur aucun lien.
  • Ne téléchargez aucune pièce jointe.
  • Vérifiez le message en contactant l'expéditeur supposé en utilisant les coordonnées officielles (par exemple, les numéros de téléphone du site officiel de l'organisation).
  • Signalez le message à votre opérateur mobile et à l'organisation usurpée.
  • Supprimez le message de votre appareil.

Oui, cliquer sur des liens malveillants ou télécharger des pièces jointes provenant d'un message de smishing peut entraîner l'installation de logiciels malveillants sur votre appareil. Ces malwares peuvent voler des informations personnelles, suivre vos activités ou donner aux attaquants le contrôle de votre appareil.

Pour vous protéger contre les attaques de smishing :

  • Soyez prudent avec les messages non sollicités, surtout ceux qui demandent des informations personnelles ou une action urgente.
  • Vérifiez l'authenticité des messages en contactant directement l'expéditeur via des canaux officiels.
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues.
  • Activez les fonctionnalités de sécurité sur votre téléphone, comme les logiciels antivirus et les filtres anti-spam.
  • Utilisez l'authentification à deux facteurs (2FA) pour vos comptes.

Si vous êtes victime d'une attaque de smishing :

  • Changez immédiatement les mots de passe de tous les comptes affectés.
  • Activez l'authentification à deux facteurs (2FA) sur vos comptes.
  • Surveillez vos comptes financiers pour toute transaction non autorisée.
  • Signalez l'incident à votre banque, à votre opérateur mobile et à toute organisation affectée.
  • Envisagez de lancer un scan de sécurité sur votre appareil pour vérifier la présence de malware.

Oui, plusieurs outils et applications peuvent aider à prévenir le smishing :

  • Applications de sécurité mobile offrant une détection des menaces en temps réel, le blocage des appels et le filtrage des SMS.
  • Logiciels antivirus et anti-malware pour les appareils mobiles.
  • Filtres anti-spam fournis par les opérateurs mobiles ou les applications de messagerie.
  • Gestionnaires de mots de passe pour créer et stocker des mots de passe forts et uniques.

Les attaquants peuvent obtenir des numéros de téléphone par divers moyens, notamment :

  • Achat de listes de numéros de téléphone sur le dark web.
  • Récolte de numéros à partir de profils sur les réseaux sociaux et d'annuaires en ligne.
  • Exploitation de violations de données qui exposent des informations personnelles.
  • Utilisation d'outils automatisés pour générer des numéros de téléphone.

Ignorer les messages de smishing est généralement la meilleure chose à faire. Cependant, si vous recevez fréquemment de tels messages, cela peut indiquer que votre numéro de téléphone figure sur une liste ciblée par des attaquants. Il est important de rester vigilant et de signaler les tentatives de smishing persistantes à votre opérateur mobile et aux autorités compétentes.