Qu'est-ce que le smishing et comment l'éviter

Colin Asher 9 févr. 2021

Plus on pourra faire d'opérations sur les mobiles, plus le smishing se développera.

Vous avez peut-être déjà entendu parler du phishing ou hameçonnage. Il s'agit d’une pratique criminelle consistant à envoyer de faux e-mails pour inciter des utilisateurs à divulguer leurs informations personnelles sensibles (mots de passe, coordonnées bancaires, etc.). Sachez que cette pratique se fait aussi par SMS, on parle alors de « smishing ». Le principe est le même : obtenir des informations personnelles à l’aide de faux SMS. Mais ne vous en faites pas, vous pouvez vous en protéger.

Psychologie du smishing

Plus on pourra faire d'opérations sur les mobiles, plus le smishing se développera. Vous devez donc apprendre à reconnaître des SMS détournés. Si nous avons pris l’habitude de recevoir des spams par e-mail, nous avons tendance à trop nous fier aux SMS.

Les attaquants comptent sur votre réactivité suite à un faux message paraissant authentique et semblant provenir, par exemple, de votre banque. L'une de leurs tactiques consiste à insérer des messages comme « Urgent ! » ou « Répondez vite ! » pour vous inciter à réagir. Évidemment, moins vous réfléchissez, plus vous facilitez la tâche aux escrocs. Et même en faisant bien attention, vous pourriez tomber dans le piège.

À quoi ressemblent les numéros de smishing ?

Certains faux SMS proviennent de numéros de téléphone étranges, mais ils peuvent aussi tout simplement utiliser le nom d'une entreprise au lieu d'un numéro (comme le font déjà de nombreuses vraies entreprises). On a déjà observé ce type de procédé en République tchèque, avec des SMS semblant provenir du service postal. Ce qui porte à confusion, c’est que de nombreuses entreprises réelles utilisent un « short code » (numéro d’envoi court) pour envoyer des SMS, au lieu d’utiliser un numéro standard. Et oui, comme les escrocs. Pire encore, ces faux SMS s'insèrent parfois dans vos fils de discussion existants ! Oui, c’est de plus en plus sordide, mais poursuivez votre lecture, cher lecteur, et vous trouverez de quoi repérer ces faux SMS.

Mode opératoire du smishing

Voici un exemple d’escroquerie par smishing. Vous recevez un SMS, soi-disant de votre banque, vous demandant de télécharger sa nouvelle application. Vous cliquez sur le lien dans le corps du SMS, et atterrissez sur une page Web exactement comme celle de votre banque (ou du moins telle que vous vous l'imaginiez, et d’ailleurs comment vous en rappelleriez-vous, sachant que la version mobile est généralement différente de la version Web et que les banques n’ont généralement pas de pages Web ou d'URL facilement mémorables).

Vous êtes maintenant sur cette page d'apparence officielle qui ne présente aucun signe de phishing. Un bouton vous invite à télécharger une application bancaire. Malgré la banalité de cette opération, vous pourriez peut-être repérer que le lien n'affiche pas le logo de Google Play ou de l'App Store. Apple ne vous laissera pas télécharger d’applications ne provenant pas de l’App Store, mais Android oui, ce qui explique pourquoi les appareils Android sont plus exposés aux logiciels malveillants. Dans les deux cas, ces magasins ont un processus de vérification minutieux, donc il y a moins de chances qu'un pur bout de malware s’y trouve (bien que cela se soit déjà produit).

Si vous avez cliqué et êtes sur l’écran de téléchargement, vous n’avez pas encore mordu à l’hameçon puisque vous pouvez encore vous en sortir en ne téléchargeant pas la fausse application. Mais si vous téléchargez la fausse application, vous pourriez avoir un sérieux problème. Une fois téléchargée, cette application vous invitera probablement à saisir vos informations bancaires, qui atterriront directement entre les mains des pirates. Ou, dans le cas particulièrement mesquin du smishing par la poste tchèque, la fausse application récemment téléchargée (et pleine de malwares) aura disparu et créé une superposition pour apparaître dans vos autres applications et vous inviter à saisir vos informations de carte de crédit. On connaît la suite.

Quelques conseils pour reconnaître une attaque de smishing

  • Si le SMS provient d'un numéro que vous ne connaissez pas ou d'une entreprise avec laquelle vous ne faites pas affaire, ne cliquez sur aucun lien. Simple, mais efficace.

  • Que vous ayez peur ou non du smishing, la règle d’or pour sécuriser votre vie numérique est d’utiliser des mots de passe différents pour chacun de vos comptes. Oui, trouver un mot de passe fort n’est pas si simple, mais les gestionnaires de mots de passe peuvent vous aider, et à long terme, cela en vaut la peine si vous faites l’objet d'une arnaque.

  • Procurez-vous Avast Antivirus Gratuit, pour reconnaître les sites Web de phishing et éviter d’appuyer sur des liens frauduleux.

  • Méfiez-vous des numéros étranges, mais rappelez-vous, comme mentionné ci-dessus, que les numéros étranges peuvent toujours être légitimes, alors réfléchissez bien avant d’appuyer. Et en cas de doute, n’appuyez jamais. Vous pouvez aussi rechercher le numéro sur Internet, peut-être découvrirez-vous que ce numéro est déjà associé à une arnaque.

  • Ignorez les SMS comportant des messages comme « Félicitations, vous avez gagné ! », « Urgent ! », ou « Répondez vite ! ».

  • L’océan numérique regorge de techniques de phishing étranges. Vous pouvez toujours tomber dans un piège mais le meilleur moyen de vous défendre, c'est de bien vous renseigner.

 

--> -->