Nous sommes de plus en plus sensibilisés à la problématique du phishing (hameçonnage en français) mais que connaissons-nous du Smishing ? Avec souvent un temps d’avance, les hackeurs rivalisent d’imagination !
Nous sommes informés sur le risque de télécharger des applications malveillantes mais sommes-nous suffisamment sensibilisés aux risques liés au smishing ? Après des décennies d’envois d’e-mails frauduleux (spams, scams, fraude au président…), les pirates informatiques se tournent également vers la fraude par SMS. Et pour cause ! De nombreux utilisateurs, avisés aux risques liés au phishing, sont néanmoins peu vigilants lorsqu’ils s’agit de consulter leurs SMS.
Le Smishing en chiffres
Le taux de lecture d’un SMS avoisine les 95%. (Médiamétrie)
Le SMS devient donc – avec l’e-mail – un des canaux de communication privilégiés par les pirates informatiques pour « hameçonner » les utilisateurs et/ou introduire leurs malwares (cheval de Troie, virus…) dans un système numérique.
LookOut, spécialiste de la sécurité sur mobile, indique qu’en 2020, les attaques d’hameçonnage par sms ont augmenté de 37%. Par ailleurs, selon le nombre de terminaux mobiles, ce type d’attaque peut coûter jusqu’à 150 millions de $. (source : globalsecurity mag).
Qu’est-ce que le Smishing ?
Contraction de SMS et Phishing, le Smishing, consiste à envoyer sur un téléphone mobile, un message requérant une action telle que transmettre des données confidentielles (coordonnées, informations financières, numéros de compte, codes secrets…), rappeler un numéro en urgence, cliquer sur un lien, annexe ou image frauduleux et/ou être redirigé vers un site Web malveillant.
Les fraudeurs utilisent la même tactique, les mêmes caractéristiques que les e-mails de phishing pour leurrer les utilisateurs et les inciter à agir :
- Utiliser des enseignes ou administrations de confiance (Banque, impôts, organisation d’utilité publique, prestataire de services…)
- la manipulation psychologique : urgence, enthousiasme, curiosité, peur, confiance, anxiété, empathie…
Tout comme pour les attaques par phishing, les conséquences peuvent s’avérer désastreuses : vol de données, usurpation d’identité, espionnage, récupération des mots de passe, codes, coordonnées bancaires.
Comment se protéger d’un SMS frauduleux ?
- Rester vigilant lorsque le numéro de téléphone est suspect.
- Mener des investigations sur Internet pour vérifier s’il s’agit d’un numéro légitime ou un Smishing.
- N’appeler que des numéros valides, officiels.
- Ne pas répondre à un SMS comportant une notion d’urgence, une demande de code, identifiant, changement de mot de passe…
- S’abstenir de cliquer sur les liens, annexes ou images transmis par SMS. S’il s’agit d’une personne connue (collègue, responsable, ami…) qui envoie un fichier, un lien inattendu : toujours vérifier en contactant directement l’expéditeur concerné.
- Eviter de télécharger ou installer d’application à partir d’un lien envoyé par SMS.
- Ne jamais transmettre d’informations, de données confidentielles, personnelles ou professionnelles.
- Ne pas relayer un SMS (chaine, pétition, infox).
- En cas de doute, ne jamais appuyer.
Nous le savons. A ce jour, l’humain demeure le maillon faible de la cybersécurité. D’autant plus que les canaux de cyberattaques, véritables “opportunités” pour les cybercriminels, se multiplient. Et de fait, les formes de fraudes se développent et évoluent au fil des avancées technologiques : phishing, smishing mais aussi vishing (hameçonnage vocal par téléphone) sont donc autant de menaces auxquelles les organisations risquent d’être, un jour, confrontées et contre lesquelles elles doivent se tenir prêtes.
Il est donc urgent que l’humain devienne un atout majeur de toute organisation. S’entourer de collaborateurs éclairés et vigilants, sensibilisés à la cybersécurité et formés à savoir déjouer les pièges de l’hameçonnage quel que soit sa façon de véhiculer (e-mail, sms ou par téléphone) est la clé de la cyber-résilience de toute organisation.
