Les attaques informatiques utilisent des moyens de plus en plus pousser pour attaquer leurs cibles : on connait tous le phishing par e-mail, mais les pirates utilisent d’autres canaux plus intrusifs, comme le QR code ou encore le SMS.
Le smishing : c’est quoi exactement ?
Le smishing, contraction de l’anglais « SMS » et « phishing », est une technique frauduleuse utilisée par les cybercriminels pour obtenir des informations sensibles des utilisateurs via des messages SMS. Il s’agit d’une forme d’attaque par hameçonnage qui exploite la confiance des individus, pour les inciter à divulguer des données personnelles, comme des identifiants de connexion, des numéros de carte bancaire ou d’autres informations confidentielles.
Contrairement au phishing traditionnel qui se base principalement sur des e-mails frauduleux, le smishing se sert des SMS pour atteindre les utilisateurs sur leurs téléphones mobiles… un support et écran sur lequel on est beaucoup moins vigilant, du fait de la taille de l’écran, et de la relation qui existe entre un smartphone et son propriétaire. En effet, sur un smartphone, on y reçoit nos codes de sécurité 2FA, nos alertes de consommation, nos rappels de RDV médecin etc.
Ces messages peuvent sembler légitimes, provenant souvent de numéros de téléphone falsifiés ou de sources qui paraissent fiables, comme des institutions financières ou des services gouvernementaux.
Comment les pirates obtiennent votre numéro de mobile ?
Les pirates informatiques peuvent obtenir les numéros de téléphone mobile de diverses manières. Certaines méthodes courantes incluent l’achat de bases de données volées, l’utilisation de logiciels malveillants pour extraire les contacts d’un appareil compromis, ou encore le recours à des techniques de « phishing » sur d’autres plateformes en ligne pour inciter les utilisateurs à fournir leurs numéros de téléphone.
De plus, avec la prolifération des réseaux sociaux et des fuites de données en ligne, il est devenu plus facile pour les cybercriminels d’obtenir des informations personnelles, y compris les numéros de téléphone, de leurs cibles potentielles.
Quelles différences entre phishing et smishing ?
La principale différence entre le phishing et le smishing réside dans le canal de communication utilisé. Alors que le phishing se fait généralement par e-mail, le smishing se déroule via des messages SMS. Cependant, les deux techniques ont des objectifs similaires : tromper les utilisateurs pour qu’ils divulguent des informations confidentielles ou cliquent sur des liens malveillants.
De plus, le smishing a tendance à exploiter le sentiment d’urgence en incitant les utilisateurs à agir rapidement, souvent en prétendant qu’il y a un problème avec leur compte ou en offrant une récompense attrayante. Cette tactique vise à contourner la méfiance des utilisateurs et à les inciter à réagir impulsivement.
Comment identifier une attaque par smishing ?
Pour identifier une attaque par smishing, vous devez être attentif aux signes révélateurs suivants :
- Méfiez-vous des messages non sollicités provenant de sources inconnues ou suspectes.
- Soyez attentif aux erreurs grammaticales ou typographiques dans le message, ce qui peut indiquer une tentative de fraude.
- Vérifiez l’adresse ou le numéro de téléphone de l’expéditeur pour vous assurer qu’il correspond à celui d’une entité légitime.
- Ne cliquez pas sur les liens inclus dans le message, surtout s’ils semblent suspects ou vous dirigent vers des sites web non sécurisés… rendez-vous plutôt sur l’application du service en question, ou bien le site officiel par vous-même, en saisissant l’adresse du site web
- Si le message vous demande de fournir des informations sensibles, ou de répondre rapidement, prenez du recul et vérifiez l’authenticité de la demande auprès de la source officielle.
En suivant ces conseils de vigilance, vous pouvez réduire les risques de devenir victime d’une attaque par smishing, et protéger vos informations personnelles et professionnelles contre les cybercriminels.