Comment reconnaître un message de smishing

"Nous avons essayé de livrer votre colis LP83693627378FR, mais il n'y a aucun affranchissement. Suivez les instructions ici : https://bit.ly/eb8UH"

À la réception de ce genre de SMS sur notre mobile, nous avons tous la même réaction. D'abord, on se réjouit de ce colis inattendu qui nous attend. Chouette, j'avais oublié ! Le doute vient immédiatement après : "Attends, mais c'est bizarre comme message non ? Qui est l'expéditeur ? On dirait du SPAM...". On relit le texte avant de cliquer sur le lien, ressassant les arguments dans un sens comme dans l'autre en rapprochant dangereusement le doigt de l'écran. C'est souvent un éclair irrationnel qui achève la réflexion : "Tant pis si je manque le colis, je ne cliquerai pas sur ce lien", avant de fermer votre application de messagerie. Ou alors.. "Faisons confiance, il ne peut rien m'arriver de grave". Et voilà, vous venez de succomber au charme d'un SMS frauduleux. Pour éviter cela, voyons ensemble à quoi correspond cette attaque et surtout les conseils pour savoir comment la repérer, et ainsi augmenter votre sécurité.

Une définition rapide du smishing

Que les experts en cybersécurité ne se moquent pas trop vite, un rapport d'une université allemande estime que 45% des messages de "smishing" (phishing par SMS) sont ouverts par les destinataires. Loin de représenter une minorité de réfractaires à la technologie, les victimes du smishing sont simplement dépassées par des techniques de fraude de plus en plus élaborées, et des cybercriminels de plus en plus sournois. Au point que ce risque soit classé Menace n°1 pour les particuliers, selon un rapport de Cybermalveillance de 2020 ! La cyber est donc bien un domaine à surveiller.

Pour la définition formelle, le phishing est une pratique frauduleuse consistant à envoyer des courriels prétendant provenir d'entreprises réputées ou de proches afin d'inciter les individus à révéler des données personnelles, telles que des mots de passe et des numéros bancaire. Le smishing est donc la même pratique que le phishing ("hameçonnage", ou mails frauduleux), avec le même objectif (vous faire cliquer), mais réalisée par message texte, ou SMS.

Smishing Crédit Agricole

Un exemple typique de smishing de votre banque, portant sur un sujet sensible : les finances

Pourquoi des SMS ?

Les faux SMS sont un moyen très courant pour les escrocs d'attirer une victime pour la faire ouvrir une pièce jointe ou installer un logiciel. Cependant, la technique a réellement explosé avec la généralisation du télétravail et l'augmentation en flèche du temps passé à la maison. C'est en fait l'essor du commerce en ligne et de l'économie de la livraison qui est à l'origine d'une grande partie de l'usage frauduleux de SMS. Car plus de temps à la maison, plus de commandes ; plus de commandes, plus de livraisons ; plus de livraisons, plus de SMS de livraison ; plus de SMS... plus d'arnaques potentielles qui auraient pu passer en SPAM !

Les textos étant le moyen de communication privilégié par les services de relation client après le mail, rien d'étonnant à ce que ce moyen de communication soit utilisé. Ayant compris que la vigilance sur les mails s'accentuait auprès du grand public, les escrocs ne font que se diversifier, et profitent de l'actualité pour toucher plus de victimes potentielles.

De plus, le contexte d'utilisation des deux moyens de communication sont différents : on lit en général un mail avec plus d'attention qu'un SMS. On fait moins attention à l'expéditeur. On y réagit souvent plus rapidement, et les hackers (ou cybercriminels) adorent nous faire agir sans trop réfléchir... C'est donc principalement pour leur proximité avec le quotidien des individus que cette technique est employée.

Comment se passe une attaque par smishing ?

Imaginez-vous la situation suivante, basée sur l'actualité. Alors que vous avez réalisé votre première dose de vaccin Covid-19, vous avez rendez-vous la semaine prochaine pour compléter votre schéma vaccinal. Un matin, vers 8h30, vous recevez un message de Doctolib vous informant que votre rendez-vous a été annulé, et que vous devez en planifier un nouveau au plus vite. C'est bien votre prénom qui s'affiche dans le message, votre centre de vaccination... et le SMS est pressant : si vous ne vous connectez pas au plus vite à la plateforme, vous risquez de devoir attendre encore plusieurs semaines avant de retrouver un créneau. Et ça, ça n'arrange pas votre resto prévu vendredi prochain avec Camille et Véro.

Ils sont malins chez Doctolib en plus, il n'y a qu'à aller sur le lien pour modifier facilement le rendez-vous ! Pratique, non ? Allez, vous êtes bientôt arrivé à votre station de métro en plus, c'est maintenant qu'il faut le faire avant de commencer la journée de boulot et ne plus y penser. Vous cliquez donc sur le lien indiqué, et êtes redirigé comme prévu vers le site web de Doctolib. Il n'y a plus qu'à rentrer ses identifiants pour modifier l'horaire. Vous renseignez votre adresse mail et votre mot de passe en un tour de main, et appuyez sur "Me connecter". Sauf que là...

Sauf que là, rien ne se passe justement. La page de connexion se charge de nouveau, vous réclamant encore le précieux sésame. Vous obtempérez, bien décidé à la changer, cette vaccination. Ah, ça marche enfin ! Voyons la page de mes rendez-vous. Bizarre, mon ancien horaire est toujours affiché. Pas de problème apparent, pas de notification. Tout est bien qui finit bien, le site a peut-être commis une erreur en vous envoyant ce SMS après tout. Vous rangez votre téléphone dans votre sac, et oubliez la mésaventure.

Evidemment, ce n'était pas une erreur, mais une stratégie bien rodée. Qui a commencé plusieurs mois avant même que vous ne receviez le fameux SMS sur votre mobile. Voyons ce qui s'est passé.

Smishing Covid

Outre mon exemple de Doctolib, les cybercriminels surfent sur l'actualité pour leurs attaques par smishing

Anatomie des attaques par smishing

Voilà la partie de l'histoire à laquelle vous n'avez pas eu accès. Un cybercriminel a eu accès à vos informations personnelles (prénom, numéro de téléphone) dans une brèche de données impliquant un site sur lequel vous êtes inscrit. Le fichier contient des milliers de noms, récupérés pour quelques dizaines d'euros seulement sur le Dark Web. Vous ne le savez pas, mais vos renseignements figurent sur cette liste électronique, et suffisent pour vous piéger.

Une fois en possession de la liste, le hacker a répliqué les messages et le site Internet (voir l'application) de Doctolib, plutôt facilement en vérité. Le site factice ainsi construit se base sur les mêmes mécanismes que ceux du hameçonnage ou phishing traditionnel, ayant un seul objectif : vous faire entrer vos identifiants. Il est construit de telle sorte que vous êtes redirigé vers la plateforme officielle dès lors que vous renseignez vos informations, afin de limiter au maximum le doute d'arnaque et vous faire croire que vous êtes en sécurité.

Le cybercriminel souhaite que sa victime (vous) reste en confiance.

Et souvenez-vous, vous êtes tombé dans le panneau ! L'escroc a donc mis la mains sur votre adresse mail et votre mot de passe Doctolib. Rien de grave, me direz vous ? Sauf que c'est exactement là que les problèmes commencent. D'une part, être en capacité de s'introduire sur une plateforme de santé pose un problème de données personnelles. Vos rendez-vous médicaux ainsi que votre suivi peuvent donc être épiés par un individu malveillant, qui ne manquera pas d'en faire bon usage (i.e. de trouver des moyens de revendre les informations qu'il glanera). L'autre souci, c'est que le pirate a maintenant accès à un exemple de vos mots de passe. Or, si vous faites partie des 93% des français utilisant des mots de passe faibles, il est probable que vous réutilisiez ces derniers pour plusieurs services.

Le hacker n'a plus qu'à réessayer votre sésame sur différents sites, ou bien déchiffrer le schéma de construction de vos mots de passe (mais si vous savez, "NomDuSite2021!"). Vos autres services sont ainsi en péril, et les données qu'ils contiennent également. Évidemment, le graal de ce genre d'actions est d'obtenir vos identifiants bancaires avec votre numéro de téléphone, pour contourner les démarches d'authentification multi-factorielle. Même sans aller jusque là, vos données sont dans la nature et vous n'en avez même pas conscience.

Il existe une infinité de scénarios de la sorte, tous conçus dans l'objectif de vous faire tomber dans le panneau. Et attention, même si j'ai uniquement abordé les SMS comme vecteur d'attaque, les fraudes ne s'arrêtent pas ! Toutes les plateformes de messagerie peuvent faire l'objet d'un piratage. De plus, même les téléphones peuvent être infectés par des virus. On en parle dans cette newsletter de juillet 2021.

Smishing WhatsApp

Un compte WhatsApp peut tout à fait être piraté à des fins malveillantes !

Et si on parlait des techniques pour se protéger maintenant ?

Comment repérer un message de smishing ?

La majorité de ces techniques sont similaires à celles utilisées pour identifier un mail de phishing. On retrouve par exemple :

  • Vérifier l'adresse (ou le numéro) de l'émetteur
  • Observer attentivement les liens partagés, et ne pas hésiter à les soumettre à un vérificateur d'URL
  • Se méfier des message à caractère urgent ou à propos de sujets importants (santé, finances). L'ingénierie sociale se base sur ces leviers pour nous faire prendre des décisions irrationnelles.
  • De la même manière, des détails très voire trop précis sont souvent utilisés pour ajouter de la véracité au discours. Souvent, c'est le contexte qui permet d'identifier un message potentiellement suspect.
  • La règle d'or sur Internet : "Si c'est trop beau pour être vrai, c'est que ça l'est sûrement". Peu de chances que vous soyez miraculeusement contacté par un prince saoudien voulant vous offrir de l'argent.

Mais également des méthodes propres aux appareils portables :

  • Les numéros de téléphone qui n'en ont pas l'air (une série de 4 chiffres par exemple) sont souvent des mails envoyés sur un téléphone
  • Ne téléchargez uniquement des apps qui proviennent des stores officiels (App Store ou Android Play Store par exemple)
  • Non, le smishing n'arrive pas qu'aux utilisateurs d'Android ! Apple addicts, vous êtes prévenus...

Dans tous les cas, le meilleur conseil reste de ne cliquer nulle-part, de ne rien télécharger, et de toujours vérifier avec un autre canal de communication. Si le doute subsiste, prenez la peine de vous connecter au service en question par vous-même, sans passer par le lien fourni. Ne donnez aucun information, et tout se passera bien ! Et supprimez ce message pour ne pas être tenté par la suite...

Et si j'ai cliqué sur le lien, donné mes informations, ou téléchargé un fichier ?

Pas de panique face aux arnaques, il suffit de changer tous les identifiants concernés par les informations que vous avez laissé échapper. Si ces informations concernent votre banque, contactez-la au plus vite et bloquez votre carte de crédit.

Si vous avez téléchargé une pièce-jointe frauduleuse, suivez ces trois étapes selon la gravité de la chose :

1. Supprimez votre historique de données

2. Restaurez votre appareil depuis une ancienne sauvegarde

3. Restaurez votre téléphone aux réglages d'usine. Avec ça, plus de problèmes.

4. Signaler à vos proches que leurs informations (même bancaires) sont peut-être à risque

Plus tranquille maintenant ?

Avec ces conseils en tête normalement, vous devriez vous sentir plus en sécurité face à cette technique de hameçonnage. Les arnaques des hackers évoluent sans cesse, et c'est pour cette raison qu'il faut constamment rester vigilant, sans être paranoïaque. Et même si la cyber n'est pas votre domaine !

Donc détendez-vous, suivez les conseils et tout se passera bien tant que vous ne cliquez nulle-part 😉

Nous utilisons des cookies, comme décrit dans notre politique de confidentialité.

Cookie Settings

We use cookies to improve user experience. Choose what cookie categories you allow us to use. You can read more about our Cookie Policy by clicking on Cookie Policy below.

These cookies enable strictly necessary cookies for security, language support and verification of identity. These cookies can’t be disabled.

These cookies collect data to remember choices users make to improve and give a better user experience. Disabling can cause some parts of the site to not work properly.

These cookies help us to understand how visitors interact with our website, help us measure and analyze traffic to improve our service.

These cookies help us to better deliver marketing content and customized ads.