Qu’est-ce que le smishing et quels en sont les risques ?

Le smishing est une abréviation de “SMS” et “phishing”. Il s’agit d’un type d’hameçonnage qui consiste à envoyer de faux SMS semblant provenir d’une source de confiance, afin d’inciter les victimes à cliquer sur un lien malveillant. Le smishing est donc aux arnaques par SMS ce que le vishing est à l’hameçonnage par téléphone.

L’objectif des cybercriminels est toujours le même : accéder à vos données personnelles et confidentielles, ceci dans le but de voler votre argent, d’usurper votre identité ou de revendre ces informations sur le dark web. Les hackers peuvent également utiliser le smishing pour diffuser différents types de malware, tels qu’un logiciel espion capable de récolter les données contenues dans votre téléphone.

Tandis que les ventes de smartphones augmentent de manière exponentielle et que des milliards de SMS sont envoyés chaque jour dans le monde, cette menace tend elle aussi à s’accroître et doit être prise au sérieux.

Le smishing fonctionne exactement de la même façon que le phishing par e-mail. Un pirate envoie un SMS suffisamment convaincant pour inciter sa cible à cliquer sur un lien et à fournir ses informations personnelles. Cette technique repose sur l’ingénierie sociale : tout est fait pour tromper votre vigilance et vous pousser à agir rapidement.

Par ailleurs, les utilisateurs ont tendance à faire davantage confiance aux SMS qu’aux e-mails, ce qui rend cette méthode particulièrement lucrative pour les cybercriminels.

Certaines techniques de smishing sont particulièrement élaborées et s’associent avec d’autres canaux, par exemple en vous indiquant un numéro de téléphone à appeler, qui vous met alors en relation avec un faux représentant du service concerné.

Heureusement, il existe plusieurs moyens de détecter une tentative de phishing par SMS.

Vous n’êtes pas certain que le SMS que vous venez de recevoir est une tentative d’escroquerie ? Voici quelques signes qui devraient vous guider.

• Le message crée un sentiment d’urgence et vous incite à agir le plus vite possible.
• L’expéditeur vous demande de transmettre des informations sensibles. Une organisation légitime ne vous demandera jamais votre mot de passe ou vos coordonnées bancaires par le biais d’un SMS.
• Le message provient d’un numéro suspect. Prêtez attention au format du numéro utilisé : celui-ci peut indiquer qu’un e-mail a été envoyé sous forme de SMS. Toutefois, notez qu’un SMS provenant du numéro habituel d’une institution de confiance ne suffit pas à garantir sa légitimité.
• L’offre annoncée est trop belle pour être vraie : par exemple, vous avez gagné un jeu-concours auquel vous ne vous souvenez pas avoir participé.
• Le message contient des fautes d’orthographe : c’est souvent le signe d’une tentative d’hameçonnage.

Retrouvez également nos conseils si vous avez malencontreusement cliqué sur un lien et que vous vous demandez comment savoir si un site est frauduleux.

Retrouvez ci-dessous des exemples répandus de smishing :

• Un message de votre banque indiquant que votre compte a été compromis, et vous demandant de transmettre des informations personnelles pour confirmer votre identité ;
• Une institution gouvernementale vous sommant de cliquer rapidement sur un lien pour régulariser votre situation ;
• Un SMS d’une plateforme de streaming annonçant que votre compte sera clôturé si vous ne cliquez pas sans délai sur le lien ;
• Un message contenant un lien vers un formulaire, qui vous invite à renseigner vos coordonnées bancaires pour recevoir un lot ou télécharger une application ;
• Un message vous invitant à vérifier le statut d’un colis qui vous a été expédié ;
• Un message semblant provenir d’un de vos contacts, vous demandant de l’aide ou de l’argent.

Ce ne sont là que quelques exemples courants d’hameçonnage par SMS ; les fraudeurs redoublent de créativité pour inventer de nouveaux scénarios toujours plus convaincants. De la même manière que le phishing par e-mail, les techniques et les prétextes liés aux attaques par smishing évoluent en permanence. Retrouvez quelques pistes pour éviter d’en être victime.

• Si vous recevez un SMS vous incitant à cliquer sur un lien sans attendre, ne cliquez surtout pas et ne répondez jamais à l’expéditeur. En répondant, vous indiquez en effet au criminel que votre numéro de téléphone est actif, vous exposant à d’autres attaques futures.
• En cas de doute, appelez directement l’organisation concernée (service client de votre opérateur, banque…) via son numéro de téléphone officiel pour vérifier la légitimité du message.
• Ne communiquez jamais d’informations personnelles ou bancaires par SMS.
• Signalez le SMS frauduleux au 33700, le numéro de lutte contre les spams par SMS et téléphone, puis bloquez l’expéditeur. Enfin, supprimez le message concerné.

• Maintenez le système d’exploitation de votre smartphone ainsi que vos applications à jour.
• Utilisez un VPN pour vous protéger contre les menaces en ligne. La fonction Protection Anti-menaces Pro de NordVPN permet d’éviter les sites web malveillants, sur votre téléphone mais aussi sur tous vos autres appareils.

Défendez-vous contre les cyberattaques : munissez-vous d’un VPN de qualité.