Le « Smishing » ou hameçonnage (phishing) par SMS
Si vous recevez un SMS prétendument émis par une administration, votre banque, un service de livraison ou toute autre entité, et que le message, souvent alarmant, vous presse de prendre rapidement des mesures telles qu’une connexion, une confirmation, une mise à jour ou un paiement, sous peine de restrictions de service ou de frais supplémentaires, soyez prudent. Il est possible que vous soyez confronté à une tentative d’hameçonnage par SMS, également connue sous le nom de « smishing ».
1. Qu’est-ce que l’hameçonnage par SMS ou smishing ?
L’hameçonnage, connu sous le nom de phishing par SMS ou smishing, est une tactique utilisée par les cybercriminels pour duper leurs victimes en usurpant l’identité d’entités connues telles que administrations, banques, services de livraison, ou services en ligne, à travers des messages textes. Sous une fausse identité et prétexte, le smishing implique l’envoi de courts messages incitant généralement les victimes à divulguer des informations personnelles, des données de carte bancaire, voire des identifiants de connexion (mots de passe).
Les cybercriminels peuvent également tenter d’infecter les smartphones des victimes avec des applications malveillantes (virus) dans le but de voler des données personnelles et bancaires ou de prendre le contrôle de l’appareil. Une autre variante du smishing consiste à inciter la victime à rappeler un numéro fourni dans le message, ouvrant ainsi la porte à une escroquerie.
L’objectif ultime des cybercriminels est d’utiliser de manière frauduleuse les informations et les accès obtenus illégalement aux comptes ou aux téléphones compromis. Des messages d’hameçonnage, traditionnellement transmis par courriel, sont désormais largement adaptés aux SMS, ciblant des sujets tels que les impôts, l’Assurance Maladie/carte Vitale, les banques, les livraisons de colis, et autres.
2. Pourquoi l’hameçonnage par SMS se développe-t-il ?
La montée de l’hameçonnage par SMS s’explique par plusieurs facteurs. Tout d’abord, les cybercriminels tirent parti de la popularité croissante des services d’information par SMS adoptés par les administrations, banques, sociétés de livraison, services en ligne et autres entités. Ils utilisent ces canaux de communication pour contrefaire l’identité de ces organisations, en imitant leurs pratiques.
La préférence des cybercriminels pour le smishing s’explique principalement par la difficulté accrue à repérer les SMS frauduleux par rapport aux courriels d’hameçonnage. Les SMS permettent une communication brève avec un langage moins élaboré, réduisant ainsi le risque de fautes d’orthographe ou de syntaxe qui pourraient éveiller des soupçons. De plus, l’expéditeur n’est identifié que par un numéro de téléphone standard, un numéro court ou un libellé succinct, ce qui complique la vérification de l’authenticité de l’émetteur. La nouveauté relative du smishing par rapport à l’hameçonnage classique par courriel contribue également à une moindre méfiance.
La brièveté des SMS, leur apparence crédible, la difficulté à identifier leur source et le caractère relativement récent du phénomène du smishing suscitent davantage la curiosité que la prudence. De plus, la difficulté à repérer un site Internet malveillant sur un téléphone mobile après avoir cliqué sur un lien SMS est accentuée par la taille réduite de l’écran et la troncation fréquente de l’adresse du site.
Les cybercriminels ont adapté leurs campagnes de smishing à notre utilisation croissante des téléphones portables, devenus des moyens privilégiés d’accès à Internet et aux services en ligne. Ces appareils sont constamment à portée de main, contiennent de nombreuses informations personnelles sensibles et permettent une gestion réactive des données. En exploitant nos habitudes de réception instantanée des notifications et alertes sur nos téléphones, le smishing capitalise sur notre propension à réagir rapidement.
3. Comment se déroule l’hameçonnage par SMS ?
Les individus ciblés reçoivent un message texte qui semble provenir d’organismes tels que l’Assurance Maladie (Ameli), la Direction Générale des Finances Publiques (Impots.gouv.fr), des services de livraison de colis (Chronopost, La Poste), des banques, des opérateurs téléphoniques, des fournisseurs de services en ligne (messagerie, réseaux sociaux, VOD), des sites de commerce électronique, etc.
Ce message incite systématiquement la personne à prendre des mesures pour divers prétextes. Il peut s’agir de résoudre des problèmes tels que le blocage d’un compte en ligne ou bancaire, un incident de paiement, une mise en conformité réglementaire, annuler une commande non passée par la victime, obtenir un remboursement d’une administration, finaliser la livraison d’un colis, mettre à jour ou confirmer des informations personnelles, etc.
Le message est généralement alarmant, voire anxiogène ou énigmatique. Il mentionne souvent qu’une action doit être effectuée immédiatement sous peine de suspension de compte, de paiement d’une pénalité, ou même de prélèvement d’un paiement indu. La concision du message, avec un minimum d’informations, contribue également à son caractère inquiétant, incitant ainsi la victime à réagir rapidement.
Exemples de SMS frauduleux :
Les messages de smishing peuvent avoir divers objectifs, notamment :
Le vol d’informations personnelles, de données de carte bancaire et/ou d’identifiants de connexion.
Dans ce scénario, le SMS frauduleux contient un lien, incitant la victime à cliquer pour donner suite au message. En général, elle est redirigée vers un site Internet trompeur créé par des escrocs, adoptant les éléments visuels de l’organisme dont l’identité est usurpée. Sur ce site, la victime est sollicitée pour fournir des informations personnelles telles que son nom, ses adresses électronique et postale, sa date de naissance, son numéro de téléphone portable, ses coordonnées de carte bancaire, voire ses identifiants et mots de passe, etc.
L’infection par un virus
Certains stratagèmes de smishing ont pour but d’installer un virus sur le téléphone mobile des victimes. Dans ce contexte, les SMS frauduleux contiennent un lien qui déclenche une alerte incitant la victime à installer une application ou à effectuer une mise à jour d’une application déjà présente sur son téléphone (par exemple, un navigateur Internet). En réalité, cette application ou mise à jour contient un virus. Une fois installé, ce logiciel malveillant permet aux cybercriminels d’entreprendre diverses actions néfastes, telles que le vol des mots de passe utilisés sur le téléphone (applications bancaires, emails, gestion du téléphone), l’interception de SMS de double authentification, l’envoi de SMS frauduleux, l’émission d’appels via la ligne téléphonique de l’appareil, etc.
L’incitation à rappeler un numéro de téléphone
Dans cette forme de smishing, le SMS ne contient pas de lien, mais encourage la victime à composer un numéro de téléphone spécifié, en utilisant divers prétextes tels que la nécessité d’opposer une opération bancaire ou de signaler une fraude en ligne. La victime, pensant appeler un organisme officiel, devient ainsi plus susceptible de tomber dans des escroqueries du type « fraude au faux conseiller bancaire ».
Dans certains cas, le numéro fourni peut être une ligne surtaxée, générant des revenus pour les escrocs à chaque appel effectué, et ces coûts seront ensuite facturés à la victime.
4. Quelles peuvent être les conséquences de l’hameçonnage par SMS ?
En fonction du type de smishing, plusieurs informations personnelles et financières peuvent être dérobées. Les cybercriminels peuvent exploiter ou revendre ces données à d’autres escrocs en vue d’une utilisation malveillante. Les conséquences possibles incluent la fraude à la carte bancaire, la tromperie impliquant de faux conseillers bancaires, le piratage de comptes, entre autres.
Si le téléphone est infecté par un virus, les cybercriminels peuvent également accéder aux mots de passe et utiliser l’appareil compromis pour mener des actions malveillantes. Cela pourrait inclure l’envoi de SMS d’hameçonnage ou surtaxés, ainsi que la réalisation d’appels sans le consentement de la victime.
5. Que faire si vous recevez un message d’hameçonnage par SMS ?
- Évitez de divulguer des informations sensibles en réponse à un SMS, car aucune administration ou entreprise légitime ne vous sollicitera par ce moyen pour obtenir vos informations personnelles, données bancaires ou mots de passe.
- En cas de doute, vérifiez l’information du message par vous-même en contactant directement l’organisme concerné ou en accédant à votre espace personnel sur son site Internet ou son application mobile officiels.
- Avant de cliquer sur un lien suspect, examinez sa crédibilité. En cas de doute, allez directement sur le site de l’organisme en question par vos propres moyens, comme par exemple via un lien favori que vous avez créé ou via son application mobile.
- Si vous avez déjà cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si elle ne correspond pas exactement au site légitime, il s’agit probablement d’un site frauduleux. Un seul caractère modifié dans l’adresse peut suffire à vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page.
- N’installez jamais d’application en dehors des sites ou magasins officiels. Si, après avoir cliqué sur un lien dans un SMS, une alerte vous incite à télécharger ou mettre à jour une application, ne suivez pas ces instructions et fermez la page.
- Signalez le message frauduleux sur la plateforme 33700 ou transférez-le par SMS au 33700 (service gratuit). Ce service prendra des mesures pour bloquer l’émetteur du message.
6. Et si vous êtes victime d’hameçonnage par SMS ?
- En cas de doute, contactez immédiatement l’administration ou l’entreprise supposée être à l’origine du SMS pour confirmer la légitimité du message. Vous trouverez les coordonnées officielles sur leur site Internet.
- Prenez des mesures immédiates : si vous avez partagé des informations sur vos moyens de paiement ou si des débits frauduleux sont constatés sur votre compte, faites opposition sans délai auprès de votre institution bancaire ou financière.
- Gardez des preuves, notamment le message frauduleux reçu et les détails du site Web malveillant visité (adresse du site, captures d’écran, etc.).
- En cas de divulgation de mot de passe, modifiez-le immédiatement sur le site ou le service concerné, ainsi que sur tous les autres sites où vous utilisiez ce mot de passe compromis (consultez nos recommandations pour une gestion optimale des mots de passe).
- Signalez toute opération frauduleuse effectuée avec votre carte bancaire à la plateforme Perceval du ministère de l’Intérieur.
- Déposez une plainte au commissariat de police, à la brigade de gendarmerie, ou par écrit au procureur de la République du tribunal judiciaire compétent, en fournissant toutes les preuves en votre possession. Si vous êtes un particulier, bénéficiez gratuitement de l’accompagnement d’une association de France Victimes au 116 006 (appel et service gratuits), le numéro d’aide aux victimes du ministère de la Justice, ouvert 7 jours sur 7 de 9h à 19h.
- Pour obtenir des conseils dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits), ouverte de 9h à 18h30 du lundi au vendredi.
test emma