Zpedia 

/ Qu’est-ce que le smishing (phishing par SMS) ?

Qu’est-ce que le smishing (phishing par SMS) ?

Le smishing est un type d’attaque d’ingénierie sociale menée via des SMS frauduleux. Comme les autres attaques de phishing, les escroqueries par smishing s’appuient sur la confiance ou la peur humaine pour créer un sentiment d’urgence et inciter les victimes à divulguer des informations sensibles (par exemple, des identifiants de connexion, des numéros de carte de crédit). Le smishing est une tactique couramment utilisée pour le vol d’identité.

Comment arrêter les attaques de phishing avec Zscaler

Comment se déroulent les attaques par smishing ?

Comme toutes les formes de phishing, les attaques de smishing efficaces ont deux objectifs : gagner la confiance de la victime, puis l’exploiter pour lui soutirer des informations privées ou de l’argent. Alors, comment les escrocs s’y prennent-ils ?

Examinons tout d’abord les vecteurs d’attaque. Le smishing, également appelé phishing par SMS, ne doit pas nécessairement être effectué par le biais d’une SMS, ni même sur un appareil mobile. Il peut également se manifester dans des applications de messagerie, des forums ou des plateformes de réseaux sociaux, telles que Facebook, X (Twitter) ou Reddit.

Les expéditeurs se font souvent passer pour des entités que leurs victimes « connaissent » d’une manière ou d’une autre, par exemple, des institutions financières, des détaillants, des supérieurs hiérarchiques ou des organismes de la fonction publique. Cela incite les victimes à baisser leur garde et à ne pas réfléchir de manière critique à ce que les hackers leur demandent de faire.

Les messages de smishing efficaces convainquent les victimes de prendre des mesures immédiates. En général, ils soumettent à la victime un événement négatif qu’elle doit éviter (fermeture du compte, frais, mesures disciplinaires, etc.) ou un événement positif qu’elle doit revendiquer (récompense, livraison, etc.). Dans les deux cas, le message demande quelque chose, comme des informations privilégiées ou un paiement. Si la ruse réussit, le hacker gagne son prix.

Récemment, les « kits de phishing » prêts à l’emploi et des outils d’IA générative ont facilité la tâche de hackers désireux de lancer plus rapidement leurs attaques.

Citation

« Les acteurs malveillants exploitent des kits de phishing et des outils d’IA pour lancer des campagnes d’e-mails, de smishing et de vishing très efficaces à grande échelle. »

Deepen Desai, RSSI mondial et responsable de la sécurité, Zscaler

Pourquoi les hackers font-ils appel à des escroqueries par smishing ?

La plupart des escroqueries par smishing, comme les autres escroqueries par phishing, sont motivées par des raisons financières. Les cybercriminels peuvent s’en prendre directement aux informations financières des victimes pour voler leur argent, ou ils peuvent rechercher des informations pour les vendre sur le marché noir, comme des données personnelles de valeur ou la propriété intellectuelle d’une entreprise. Plus rarement, certaines campagnes de smishing tentent d’inciter les victimes à télécharger des malwares.

Les attaques de smishing bénéficient également d’un manque général de formation et de sensibilisation des cibles, tout particulièrement en ce qui concerne le phishing par e-mail. Au-delà de cela, beaucoup moins de solutions de sécurité sont conçues pour détecter ou bloquer les escroqueries par smishing. Pour couronner le tout, de nombreux services de voix sur IP (VoIP) permettent d’abuser très facilement de l’identification de l’appelant pour afficher des numéros ou des noms spécifiques.

Le smishing permet également de couvrir un large champ, ce qui en fait un atout de taille pour les acteurs potentiels de cybermenace. Avec plus de 4,6 milliards d’utilisateurs de smartphones en 2023 et des projections de plus de 5 milliards prévus d’ici 2027 (Statista), le nombre de victimes potentielles est en effet illimité.

Types d’attaques de smishing

L’une des raisons pour lesquelles le smishing et d’autres types de phishing se révèlent si insidieux est que les possibilités d’élaborer une attaque par smishing sont nombreuses. Examinons quelques-unes des approches et des structures les plus courantes des auteurs de smishing.

  • Les escroqueries liées aux prix et aux colis exploitent l’enthousiasme des victimes à l’égard de quelque chose qu’elles croient avoir gagné (une carte-cadeau, de l’argent de loterie, etc.) ou d’un article en attente de livraison. Les hackers se font souvent passer pour une grande entreprise de vente au détail ou de livraison de colis, tels qu’Amazon, Costco, FedEx ou UPS, et demandent une rectification d’adresse, des informations relatives à la carte de crédit, des frais d’expédition, etc. En général, ils dirigent les victimes vers un lien malveillant conçu pour aider à voler ces informations.
  • Les escroqueries bancaires et financières exploitent la sensibilité financière pour provoquer des réactions fortes et rapides. Les hackers se font passer pour une société bancaire ou, pour amplifier l’effet de peur, pour une autorité fiscale telle que l’IRS aux États-Unis, et informent la victime d’un problème lié à leur compte bancaire, d’un remboursement en attente, d’un paiement en retard, d’une enquête, ou d’un prétexte similaire, pour voler les identifiants de connexion, les numéros de sécurité sociale, les numéros de carte de crédit ou d’autres informations bancaires.
  • Les escroqueries à l’investissement, comme le célèbre stratagème de « pig butchering » (littéralement, dépeçage de porc), manipulent les victimes (les « porcs ») pour qu’elles investissent dans des crypto-monnaies, en leur promettant souvent des rendements élevés. Les escrocs incitent leurs victimes à créer des comptes sur de fausses plateformes de crypto-monnaie ou de négociation financière, qui offrent souvent de bons rendements dans un premier temps, afin de donner un faux sentiment de légitimité. Une fois que l’escroc a obtenu un accès non autorisé au compte de la victime, il effectue des transactions frauduleuses, « dépeçant » le compte de tous ses fonds.
  • Les escroqueries à la vérification de compte et au mot de passe incitent les victimes à compromettre leurs comptes, souvent, paradoxalement, en leur faisant croire que leurs comptes ont été compromis. Cette technique peut aller de pair avec l’usurpation d’URL pour créer de faux portails de connexion convaincants. Dans certaines attaques complexes de vol de compte, les hackers peuvent demander des réponses à des questions de sécurité ou des codes d’authentification multifacteur (MFA), leur permettant de contourner des mesures de cybersécurité supplémentaires.
  • Les escroqueries opportunistes et d’actualité profitent des craintes, des espoirs ou du sentiment de responsabilité sociale des victimes à l’égard de tendances ou d’événements actuels pour leur soutirer de l’argent et/ou des informations personnelles. Parmi les exemples courants au cours des dernières années, citons la fraude à la prise de rendez-vous pour le vaccin COVID-19, les fausses organisations caritatives liées aux guerres et aux catastrophes naturelles, les escroqueries économiques liées aux prêts étudiants, aux impôts, aux paiements de relance et aux opportunités d’emploi, etc.

Exemples d’escroqueries par smishing

Examinons à présent quelques exemples de tentatives concrètes de smishing, ainsi que certains des signaux d’alerte annonciateurs de ces attaques, qui peuvent vous aider à les identifier en tant que cyberattaques.

Exemple 1 : Smishing - Colis USPS

Image

Ce message comporte de nombreux signaux d’alerte qui permettent de l’identifier facilement comme une tentative de smishing. Notez l’absence de détails spécifiques, tels qu’un nom ou l’emplacement de l’entrepôt, l’espacement inhabituel et l’étrange chaîne « 7cng.vip » dans l’URL fournie. 

De plus, selon le service d’inspection postale des États-Unis, « USPS n’enverra pas de SMS ni d’e-mails aux clients sans que le client n’ait d’abord fait la demande d’un tel service avec un numéro de suivi, et il ne contiendra PAS de lien »

Exemple 2 : Smishing - Enquête Costco

Image

Ce texte de smishing est un peu plus difficile à identifier, mais comporte néanmoins de nombreux signes révélateurs. Premièrement, Costco Wholesale Corporation ne se fait pas appeler « CostcoUSA ». Comme le faux message USPS, le libellé est un peu guindé et artificiel. Le signe le plus révélateur du smishing est l’URL, car les communications légitimes de Costco proviennent toujours d’un domaine Costco.

Les auteurs de smishing peuvent se montrer extrêmement intelligents, mais si vous savez quoi chercher, il existe souvent des moyens subtils, et moins subtils, de repérer leurs tentatives.

Comment se protéger contre une attaque de smishing ?

Il est difficile d’éviter complètement le smishing, mais il existe heureusement de nombreux moyens efficaces de s’en défendre avant qu’il ne cause le moindre préjudice :

  • Ignorez-le simplement : si vous recevez un message de smishing, tout ce que vous avez à faire… est de ne rien faire. Une fois que vous avez déterminé que le message n’est pas légitime, vous pouvez simplement le supprimer sans autre conséquence. Le smishing ne fonctionne pas si la victime ne mord pas à l’hameçon.
  • Faites preuve d’esprit critique : l’une des meilleures façons d’identifier une tentative de smishing est de prendre le temps de réfléchir, exactement ce que les hackers espèrent que les victimes ne feront pas. Si vous recevez un message texte suspect, prenez du recul et réfléchissez aux circonstances. Vous attendiez-vous à recevoir un message de l’expéditeur supposé ? L’expéditeur s’est-il clairement identifié ? La demande est-elle raisonnable ?
  • Recherchez les signaux d’alerte : examinez les détails. Le message provient-il d’un numéro de téléphone étrangement similaire au vôtre ? Si c’est le cas, il pourrait s’agir d’un cas de « neighbor spoofing ». Contient-il des adresses e-mail ou des liens ? Assurez-vous qu’ils correspondent aux véritables coordonnées ou aux canaux officiels que vous attendez de l’expéditeur. Le message contient-il des détails vagues ou des erreurs ? La plupart des messages commerciaux légitimes sont soigneusement vérifiés pour détecter les erreurs.
  • Vérifiez d’abord : si vous n’êtes toujours pas sûr qu’un message est légitime ou non, vous pouvez vérifier auprès de l’expéditeur en passant par un canal officiel. Vous pouvez, par exemple, rechercher un numéro de service clientèle ou contacter un représentant par chat sur le site Web de votre banque.
  • Bloquez et/ou signalez l’expéditeur : vous pouvez réduire vos propres risques et diminuer la probabilité que d’autres soient victimes de smishing en bloquant et en signalant les tentatives de smishing. La plupart des applications de messagerie privée, ainsi que les systèmes d’exploitation Apple iOS et Android, intègrent des fonctions de blocage et de signalement qui permettent également de signaler les messages suspects lorsque d’autres utilisateurs les reçoivent.

Que faire si vous êtes victime d’un smishing

Si vous vous rendez compte, ou même soupçonnez fortement, que vous avez été victime de smishing, vous pouvez toujours agir pour limiter les dégâts d’une attaque menée à bien.

  1. Signalez l’attaque aux autorités compétentes. La plupart des banques ont mis en place de solides cadres de gestion des fraudes, et elles peuvent même vous aider à récupérer les fonds perdus. En cas de fraude plus grave ou d’usurpation d’identité, vous pouvez envisager de porter plainte auprès de la police ou de contacter une agence gouvernementale telle que le Federal Bureau of Investigation (FBI) ou la Federal Trade Commission (FTC).
  2. Mettez à jour les informations d’identification compromises. Si un hacker possède les détails de votre compte, il est impossible de savoir quand il les utilisera. Modifiez immédiatement vos mots de passe, codes PIN et autres éléments concernés. Si vous recevez un e-mail légitime confirmant un changement de mot de passe que vous n’avez pas demandé, contactez immédiatement l’expéditeur.
  3. Soyez à l’affût de toute activité malveillante. Une fois que vous avez suivi les recommandations précédentes, surveillez les signes de nouvelles compromissions dans les domaines concernés. Vous pouvez demander que des alertes à la fraude soient activées sur de nombreux comptes pour vous aider à identifier les activités suspectes.

Protection de Zscaler contre les attaques de smishing

Étant donné qu’elle repose sur l’exploitation de la nature humaine, la compromission des utilisateurs est l’un des défis de sécurité les plus difficiles à relever. Pour détecter les violations actives et minimiser les dommages qu’elles peuvent causer en cas de succès, vous devez déployer des contrôles efficaces de prévention du phishing dans le cadre plus large d’une stratégie Zero Trust.

La plateforme Zscaler Zero Trust Exchange™ s’appuie sur une architecture globale Zero Trust pour minimiser la surface d’attaque, empêcher la compromission, éliminer les déplacements latéraux et arrêter la perte de données. Elle permet de protéger les entreprises contre les attaques de smishing et autres cybermenaces par différents moyens :

  • Prévenir les compromissions : des fonctionnalités telles que l’inspection TLS/SSL complète, l’isolation du navigateur, le filtrage des URL et la détection des sites de phishing (notamment les liens contenus dans les SMS et sur les appareils mobiles), le contrôle d’accès basé sur des politiques et les renseignements sur les menaces en temps réel protègent les utilisateurs contre les sites Web malveillants.
  • Éliminer les déplacements latéraux : une fois dans votre réseau, les hackers peuvent se propager et causer encore plus de dégâts. Avec Zero Trust Exchange, les utilisateurs se connectent directement aux applications, et non à votre réseau, limitant ainsi le rayon d’action d’une attaque. Des leurres permettent de tromper les hackers et de détecter les déplacements latéraux.
  • Arrêter les menaces internes : notre architecture proxy cloud arrête les tentatives d’exploitation d’applications privées grâce à une inspection inline complète et détecte même les techniques d’attaque les plus sophistiquées grâce à des tactiques de tromperie avancées.
  • Arrêter la perte de données : Zero Trust Exchange inspecte les données en mouvement et au repos pour empêcher le vol potentiel de données par un hacker actif.

Protégez votre entreprise contre le smishing et autres attaques de phishing grâce à la puissance d’une architecture Zero Trust complète.

Ressources suggérées

Qu’est-ce que le phishing ?
Lire l'article
Le rapport 2023 sur le phishing révèle un bond de 47,2 % des attaques de phishing.
Lire le blog
Des escroqueries par SMS incitent les clients des banques indiennes à installer des applications malveillantes.
Lire le blog
Escroquerie et hameçonnage pendant que vous faites vos courses
Lire le blog
SMiShing avec Punycode
Lire le blog

01 / 03

Foire aux questions