Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email & Collaboration Threat Protection

    Smishing (Phishing par SMS) : Définition, exemples et moyens de prévention

    En quoi le smishing diffère-t-il des attaques de phishing classiques et comment pouvez-vous éviter de tomber dans le piège du smishing ?

    by Giulian Garruba

    Key Points

    • Les attaques de smishing se concentrent sur votre smartphone ou votre tablette, de la même manière que le phishing cible votre courrier électronique.
    • La messagerie SMS est l'une des formes de communication les plus populaires au monde, ce qui en fait une cible attrayante pour les attaques malveillantes.
    • Se faisant passer pour un contact de confiance, un site web ou même une autorité contrôlée par l'État, les attaques de smishing vous obligent à partager volontairement des informations sensibles.

    La définition du smishing est claire si l'on considère la combinaison de deux mots que la plupart des gens connaissent déjà : SMS et phishing. Malheureusement, la pratique néfaste du smishing réussit à piéger d'innombrables utilisateurs et à les inciter à partager des informations sensibles avec des cyberattaquants par le biais de SMS.

    En d'autres termes, une attaque par smishing se concentre sur votre smartphone ou votre tablette, de la même manière que le phishing cible votre courrier électronique. Mais comment ces attaques se produisent-elles, qu'est-ce qui les différencie des attaques de phishing classiques et comment pouvez-vous éviter de tomber dans le piège du smishing ?

    Nous vous présentons ici tous les faits essentiels que vous devez connaître sur le phishing par SMS et vous expliquons comment repérer un SMS malveillant avant de communiquer des informations sensibles.

    Qu'est-ce que le Smishing ? 

    Le smishing fonctionne généralement de deux manières.

    • Envoi d'un SMS au destinataire pour lui demander des informations sensibles.
    • Envoi à un destinataire d'un message SMS contenant un lien malveillant.

    Aujourd'hui, la messagerie SMS est l'une des formes de communication les plus populaires au monde. Le nombre de messages envoyés fait que les cyber-attaquants l'ont identifié comme une cible pour les attaques malveillantes contre les entreprises et les particuliers. Cela signifie que le smishing est une voie très lucrative à explorer pour les cyberattaquants.

    De nombreuses personnes connaissent déjà le phishing par courrier électronique, mais avec les milliards de smartphones et de tablettes utilisés, peu sont conscients de la menace que représente l'hameçonnage. Cela s'explique souvent par le fait que le phishing par SMS est relativement nouveau et que nous avons appris à faire confiance à ce moyen de communication, nous minimisons généralement les soupçons que nous pourrions avoir quant aux dommages qu'un message texte peut causer.

    En outre, les messages de smishing sont censés imiter le registre informel que nous utilisons dans ce média, afin de vous mettre suffisamment à l'aise pour que vous cliquiez sur un lien ou partagiez des informations.

    En quoi le smishing diffère-t-il des attaques de phishing ? 

    La principale différence entre une escroquerie par smishing et une attaque par phishing est qu'elles sont mises en œuvre sur des plates-formes différentes. Les escroqueries Phishing sont toujours envoyées par courrier électronique, qui est généralement plus sophistiqué, car il peut contenir plus d'informations trompeuses et même des liens malveillants dans les images ou le texte.

    Les attaques par smishing n'en sont pas moins dangereuses, car elles profitent de notre confiance et de notre familiarité avec la plateforme et son format de réponse instantanée pour nous inciter à partager des informations sensibles sans trop réfléchir.

    Comment fonctionne une attaque par smishing ? 

    Se faisant passer pour une source fiable, peut-être un contact, un site web que vous utilisez régulièrement ou même une autorité contrôlée par l'État, vous pouvez être contraint de partager volontairement des informations sensibles lorsque vous répondez à un SMS malveillant que vous avez reçu. Souvent, il y a un délai qui vous incite à répondre immédiatement, et vous pouvez recevoir des SMS ultérieurs vous indiquant qu'il ne reste plus beaucoup de temps pour résoudre le problème.

    Ce type de pression amène souvent les utilisateurs à se plier à des demandes mineures, même si un simple fragment d'information partagée peut suffire aux cyberattaquants pour s'introduire dans des appareils, des réseaux et des données plus critiques. Le cyber-attaquant peut également tenter d'instaurer une plus grande confiance afin que vous partagiez davantage d'informations au fil du temps.

    Vous pouvez également être amené à télécharger sur votre appareil un malware qui collecte des données sans que vous vous en rendiez compte. Enfin, vous pouvez également être amené à cliquer sur un lien qui vous demande des informations confidentielles, qui sont ensuite reçues par les cybercriminels.

    En fin de compte, toutes ces demandes apparaîtront dans votre boîte de réception SMS comme n'importe quel autre message, ce qui fait qu'il est difficile de se préparer à une attaque par smishing si vous n'êtes pas déjà conscient de la menace.

    Qu'est-ce que l'auteur d'une attaque de smishing gagne à la suite d'une attaque de smishing ?

    Comme tous les acteurs malveillants du secteur de la cybersécurité, les smishers cherchent des failles à exploiter pour obtenir des données personnelles, soit par le biais de demandes d'informations simples mais frauduleuses, soit en utilisant le malware installé sur votre appareil.

    Ces données peuvent être utilisées pour usurper votre identité, obtenir des mots de passe, établir des profils d'habitudes d'utilisation et suivre le comportement des utilisateurs. En fin de compte, les cyberattaquants cherchent généralement à voler de l'argent, que ce soit en piratant des comptes bancaires ou des cartes de crédit ou en rançonnant des données critiques.

    Gartner® Magic Quadrant™: Mimecast nommé Leader

    Mimecast est à nouveau reconnu pour l'exhaustivité de sa vision et sa capacité d'exécution dans le quadrant magique 2025 de Gartner®™ pour la sécurité de la messagerie électronique.
    Télécharger le rapport

    Signes que vous êtes victime d'une fraude 

    L'identification des signes d'une attaque présumée peut être illustrée au mieux par une série d'exemples de smishing.

    Demandes de partage de données d'identification

    C'est peut-être le type d'escroquerie par smishing le plus courant, car il est généralement le plus crédible pour l'utilisateur final. Par exemple, si vous recevez un SMS vous demandant des données personnelles, telles que des noms d'utilisateur ou des mots de passe, c'est un signal d'alarme immédiat.

    En général, un pirate qui pratique le smishing se fait passer pour une banque ou une autre source faisant autorité afin de paraître plus légitime. Ils peuvent même suggérer que votre compte a été compromis et que vos données sont nécessaires pour mettre fin à toute activité frauduleuse. Malheureusement, la réalité est que le SMS est la fraude.

    De même, des sources prétendument dignes de confiance peuvent vous demander de suivre un lien pour saisir des informations ou même d'appeler un numéro de téléphone où un représentant du service clientèle "" prendra vos coordonnées. Dans tous les cas, la divulgation d'informations critiques est synonyme de succès pour l'attaquant.

    Demandes de téléchargement de logiciels

    Un autre type d'attaque de phishing par SMS se présente sous la forme d'une demande de téléchargement de logiciels, d'applications ou de mises à jour sur votre appareil. Une fois installés, les malware fonctionnent à l'intérieur de votre système d'exploitation existant, contrôlant des fonctions spécifiques et collectant des informations et des données sensibles.

    Ce type de smishing conduit souvent à des appareils détournés que les cyber-attaquants peuvent utiliser pour miner des crypto-monnaies. Bien que cette activité ne mobilise généralement qu'une petite partie de votre puissance de traitement, elle peut entraîner une surcharge des appareils et les rendre inutilisables.

    Demandes de virement de fonds

    Tout SMS demandant un transfert d'argent doit immédiatement vous mettre la puce à l'oreille. Cependant, les attaques de phishing par SMS sont devenues de plus en plus sophistiquées au cours de la dernière décennie, ne s'appuyant plus sur le prince nigérian promettant des millions, mais se faisant le plus souvent passer pour quelqu'un que vous connaissez.

    Les cyberattaquants peuvent recueillir des informations sur vos proches à partir de vos médias sociaux, voire s'approprier leur numéro de téléphone, afin de présenter une crise que seul l'argent liquide peut résoudre. Même si une petite somme est demandée, le nombre même d'escroqueries par smishing signifie que les cyber-attaquants sont susceptibles d'engranger beaucoup d'argent.

    Les escrocs qui pratiquent le smishing peuvent aussi prendre l'apparence d'un travailleur caritatif et profiter de la bonne volonté des gens pour faire des dons à des organisations caritatives qui n'existent pas.

    Comment prévenir les attaques de smishing

    Les auteurs de smishing utilisent un large éventail de méthodes pour tenter de vous escroquer de l'argent ou des données par le biais d'un SMS, et la meilleure forme de prévention et de protection est de savoir à quoi s'attendre. En règle générale, une série de signes révélateurs vous alerteront d'une attaque par smishing. Rappelez-vous : 

    • Ne soyez pas tenté de répondre à des demandes urgentes provenant de sources inconnues.
    • Méfiez-vous des liens intégrés, en particulier ceux qui proviennent de personnes qui n'ont pas de contact avec vous.
    • Vérifiez le numéro dont vous recevez le message et ne répondez pas par SMS s'il vous semble reconnaissable mais que vous avez des soupçons.
    • Ne stockez pas de cartes, de coordonnées bancaires ou d'autres informations critiques sur votre téléphone, car le malware pourrait y avoir accès.
    • Les banques et autres autorités ne vous demanderont pas de confirmer des informations sensibles par SMS. Il s'agit d'un signal d'alarme immédiat.
    • Recherchez des outils avancés capables de détecter les activités suspectes sur vos appareils.

    Le bilan

    L'utilisation des smartphones ne cesse de croître, tout comme le nombre et la sophistication des attaques par smishing. Par conséquent, la vigilance et l'éducation sur leur développement sont essentielles pour éviter ce type d'activité malveillante. En outre, le fait de toujours signaler les attaques de phishing par SMS à votre fournisseur de réseau peut contribuer à prévenir d'autres attaques à l'avenir. 

    **Ce blog a été initialement publié le 3 janvier 2023. 

    Solutions de protection contre les menaces
    09BLOG_1.jpg
    Up Next
    Email & Collaboration Threat Protection |
    La différence entre le phishing et le spam

    Related Articles

    Email & Collaboration Threat Protection
    Enquêter sur une mauvaise conduite dans Slack et Microsoft Teams : Ce qu'il faut faire, ce qu'il ne faut pas faire et les considérations relatives à la vie privée
    Email & Collaboration Threat Protection
    Australia Under Siege: The Alarming Scale of Government Impersonation Scams
    Email & Collaboration Threat Protection
    Pourquoi Mimecast mène la lutte contre la fraude par email en 2024

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page