Qu’est-ce que le smishing et comment s’en protéger ?

smishing
Sommaire

Le smishing est une technique de fraude par message (SMS, email…).

Cette technique se développe de plus en plus du fait que la quasi-totalité de la population possède un numéro de téléphone ou d’une adresse email.

Cette technique de fraude est plus communément connue dans le cadre des

arnaques au CPF

Comment les « smishers » opèrent-ils ? Et comment s’en protéger ?

1- Définition de « Smishing »

Le « Smishing » est un terme inventé dans les années 1990 par contraction des mots “SMS » et “Phishing ” (« Phishing » se traduisant par “hameçonnage” en français).

Le smishing qui désigne une forme de phishing utilisant des messages textuels (SMS, Emails…) pour tenter de tromper les utilisateurs et de les inciter à divulguer des informations sensibles ou à télécharger des logiciels malveillants.

Au début, le smishing était principalement utilisé pour envoyer du spam et des messages publicitaires non sollicités, mais il a rapidement évolué pour devenir une forme de fraude en ligne utilisée par les cybercriminels pour voler des informations sensibles ou infecter les appareils des utilisateurs avec des logiciels malveillants.

Les messages de smishing peuvent prendre diverses formes, par exemple des alertes urgentes prétendant provenir de banques ou d’autres entreprises, ou des offres alléchantes de prix ou de services.

Les arnaqueurs, aussi appelés “smishers”, utilisent des techniques de hameçonnage qui peuvent tromper les victimes en faisant croire qu’ils sont des sources fiables ou des personnes qu’elles connaissent.
Ils essaient souvent de créer un sentiment d’urgence ou de besoin pour inciter les utilisateurs à agir rapidement et à ne pas réfléchir aux conséquences de leurs actions.

Une fois qu’une victime a été piégée, elle peut être victime d’un vol de données, d’un vol d’identité et d’autres menaces à sa sécurité.

2- Les risques liés au smishing

Le smishing est une menace sérieuse qui exige une vigilance et la connaissance des techniques de piratage et des réseaux sociaux.

Les fraudeurs sont très habiles à créer des messages qui semblent réels et des alertes qui incitent les utilisateurs à révéler des informations personnelles.

Les risques liés au smishing sont les mêmes que ceux liés à toute autre forme d’hameçonnage, en particulier :

  • Le vol d’informations personnelles et financières, notamment les numéros de carte de crédit et les mots de passe.
     
  • L’installation de logiciels malveillants sur les appareils des victimes, qui peuvent compromettre la sécurité et leur vie privée.
     
  • L’utilisation du chantage pour forcer les victimes à réaliser des activités frauduleuses, telles que le blanchiment d’argent ou le vol d’identité.
     
  • Le détournement de fonds des victimes.
     
  • La persécution ou harcèlement, en particulier en raison du caractère public des messages et des possibilités de partage.

3- Les techniques courantes de hameçonnage par smishing

Les auteurs de smishing empruntent des techniques déjà connues telles que le phishing, le spam ou le hameçonnage.

Avec le pishing, ils envoient des emails ou des messages texte qui semblent provenir d’une source légitime et demandent aux destinataires de fournir des informations personnelles, telles que des identifiants et des mots de passe.

Le spam consiste à envoyer des emails non sollicités qui peuvent contenir des liens vers des sites Web contenant des logiciels malveillants qui peuvent voler des informations.

Le hameçonnage va inciter les destinataires à cliquer sur un lien ou à ouvrir un fichier qui contient des logiciels malveillants.

Envoi de messages trompeurs
Les smishers envoient des messages aux utilisateurs qui les invitent à cliquer sur un lien ou à fournir des informations personnelles.
Les messages peuvent être envoyés par SMS, courrier électronique, via des applications de messagerie instantanée (Whatsapp, Snapchat…).


Alertes et notifications
Les auteurs de smishing peuvent envoyer des alertes urgentes prétendant provenir de banques ou d’autres entreprises, dans lesquelles ils demandent aux utilisateurs de fournir des informations sensibles ou de cliquer sur un lien menant à un site web malveillant.

Ces alertes peuvent créer un sentiment d’urgence et inciter les utilisateurs à agir rapidement sans réfléchir aux conséquences de leurs actions.

Utilisation de faux numéros
Les arnaqueurs peuvent envoyer des messages à partir de faux numéros (numéro volé ou redirigé), ce qui rend difficile pour les utilisateurs de vérifier la fiabilité et de remonter aux auteurs du message.

Tentatives de “social engineering”
Il s’agit de manipuler des personnes, en se faisant passer pour une organisation légitime ou une personne haut placée dans l’entreprise, pour qu’ils leur fournissent volontairement des données sensibles telles que des numéros de cartes de crédit, des mots de passe, des informations bancaires.

Utilisation de faux sites Web
Les smishers vont créer des sites Web trompeurs qui ressemblent à ceux d’entreprises connues.
Ces sites Web peuvent être utilisés pour recueillir des informations personnelles ou pour tenter de télécharger des logiciels malveillants sur l’ordinateur des utilisateurs.

Les offres alléchantes
Les auteurs de smishing peuvent envoyer des offres alléchantes de prix ou de services, comme des offres de crédit à taux avantageux ou des produits des prix exceptionnellement bas.

Ces offres semblent trop belles pour être vraies mais elles incitent les utilisateurs à cliquer sur un lien ou à télécharger un fichier joint, mais en réalité, il s’agit souvent d’arnaques.

Le Spam et les publicités non sollicitées
Les smishers envoient souvent du spam et des publicités non sollicitées dans le but de promouvoir des produits ou des services.


Ces messages peuvent être très envahissants et inciter les utilisateurs à cliquer sur un lien ou à télécharger un fichier joint, mais ils peuvent aussi  contenir des logiciels malveillants et inciter les utilisateurs à divulguer des informations sensibles.

4- Les objectifs des arnaqueurs

Les auteurs de smishing ont généralement pour objectif de tromper les utilisateurs et de les inciter à divulguer des informations sensibles ou à télécharger des logiciels malveillants.
Les principaux objectifs des arnaqueurs sont :

Le vol d’informations sensibles
Les auteurs de smishing peuvent essayer de voler des informations sensibles telles que des mots de passe, des numéros de carte de crédit ou des coordonnées bancaires.
Une fois ces informations obtenues, ils peuvent les utiliser pour effectuer des transactions frauduleuses.

Le vol d’identité
Les arnaqueurs peuvent voler l’identité des utilisateurs et effectuer des transactions frauduleuses à leur nom.
Cela peut inclure l’ouverture de comptes bancaires ou de crédits à la consommation, l’achat de biens ou de services en ligne ou la création de faux comptes sur les réseaux sociaux.

Ils peuvent aussi revendre ces informations à d’autres arnaqueurs, qui les utiliseront à leur tour pour effectuer des fraudes.
Les arnaqueurs peuvent également utiliser ces informations pour des campagnes de phishing supplémentaires et des tentatives d’extorsion.

L’infection d’appareils avec des logiciels malveillants
En incitant les utilisateurs à télécharger des fichiers joints ou à cliquer sur des liens dans un message, les smishers peuvent essayer d’installer des logiciels malveillants sur les appareils des utilisateurs visés.

L’objectif peut être de perturber les services des utilisateurs. Voire de détruire des données des personnes visées (rendre indisponible un site internet, effacer des base de données…).

Ou bien, les arnaqueurs installent des “backdoors” (portes d’entrée dérobées) pour avoir accès à un plus grand nombre d’informations sur les victimes et leurs relations.
Surtout lorsque des entreprises sont visées, les arnaqueurs vont chercher à récupérer les informations sur le plus de personnes possible au sein d’une organisation.

L’utilisation des données personnelles à des fins de marketing
Les arnaqueurs peuvent vendre ou louer les données personnelles à des entreprises qui souhaitent utiliser ces informations à des fins publicitaires.
Cela peut inclure l’envoi de spam ou de publicités non sollicitées, ou l’utilisation des données pour cibler les utilisateurs avec des publicités ciblées.

L’utilisation des données personnelles à des fins de chantage
Les arnaqueurs peuvent utiliser les données personnelles volées pour menacer leurs victimes de publier ces informations sur internet ou de les utiliser à des fins malveillantes s’ils ne paient pas une rançon.


▶️ Vidéo qui montre exemple courant de smishing

Source : Jérôme Le Coin Retraite

5- Comment se protéger contre le smishing

Voici des recommandations et bons reflexes à adopter pour éviter les arnaques par smishing.

A. Vérifier les messages et les liens

  • Vérifiez l’expéditeur.
    Assurez-vous que le message provient d’une source connue et digne de confiance.
    Si le message semble suspect, ne répondez pas et ne cliquez pas sur les liens inclus.
    Ne vous fiez pas aux numéros d’expéditeur fournis dans les messages.
     
  • Soyez méfiant envers les messages qui exigent une action immédiate.
    Les messages smishing sont souvent conçus pour créer un sentiment d’urgence afin que vous agissiez sans y réfléchir.
     
  • Ne cliquez jamais sur un lien ou téléchargez un fichier provenant d’un message SMS ou d’un e-mail suspect, car il pourrait vous rediriger vers un site frauduleux.
    Vérifiez le lien en le copiant et en le collant dans un moteur de recherche.
     
  • Toujours vérifier l’URL d’un site web avant de saisir des informations sensibles.
    L’url d’un site non sécurisée doit immédiatement soulever de la suspicion.

B. Prendre des mesures supplémentaires pour sécuriser les informations

  • Utiliser un mot de passe complexe et le modifier régulièrement.
    Ne pas utiliser le même mot de passe pour tous vos comptes.
     
  • Installer et maintenir à jour un logiciel de sécurité sur tous ses appareils.
     
  • Mettez à jour régulièrement votre système d’exploitation pour bénéficier des dernières mises à jour de sécurité.
     
  • Ne pas ouvrir des liens ou des pièces jointes dans des messages suspects.
     
  • Ne pas enregistrer des informations sensibles sur des appareils ou des sites web non sécurisés.
     
  • Ne partagez pas votre mot de passe et n’utilisez pas le même mot de passe pour vos comptes en ligne.
     
  • Mettez en place a double authentification (vérification en 2 étapes).
    Activez les notifications de sécurité sur votre téléphone et votre compte bancaire pour vous informer des activités suspectes.

C. Être vigilant et conscient

  1. Ne fournissez jamais d’informations personnelles ou financières par e-mail ou téléphone.
     
  2. Ne répondez pas à des messages SMS ou e-mails suspects, et ne donnez jamais aucune information personnelle ou financière.
     
  3. Vérifier régulièrement ses comptes bancaires et informer immédiatement sa banque en cas de transactions suspectes.
     
  4. Ne communiquez pas vos informations bancaires à des personnes ou organisations que vous ne connaissez pas.
Julie Michel - Skills Mag
Julie Michel
Julie Michel
Rédactrice web spécialisée dans le référencement naturel, je baigne dans le milieu de la communication depuis bientôt 10 ans. Diplômée de Sciences Po Lille en Communication Corporate, j'ai aussi été formée au management des ressources humaines. C'est donc naturellement que je me suis intéressée au secteur de la formation et à ses problématiques.

Abonnez-vous à notre newsletter

Sur le même sujet

Enjeux de la formation
Le référent égalité et son rôle dans l'entreprise - Skills Mag
Pourquoi former un référent égalité, et quel est son rôle en entreprise ?

Sept années après la vague #meetoo, on pourrait penser que les questions d’égalité entre les femmes et les hommes seraient acquises, que ce soit dans l’espace public, l’enseignement ou au sein de nos environnements. Or, d’après le dernier baromètre du Haut Conseil à l’Égalité (HCE), loin de reculer, le sexisme s’ancre dans toutes le sphères de la société : 80 % des personnes interrogées considèrent que le traitement professionnel entre les hommes et les femmes est inégalitaire. Dans les faits, cela se traduit, toujours selon le HCE, par une différence de salaire de 22 % en faveur des salariés masculins. Le rôle du référent égalité semble donc plus que central.

Enjeux de la formation
Les billets d'Alexandra C’est quoi aujourd’hui un collaborateur acteur - Skills Mag
Les billets d’Alexandra : C’est quoi aujourd’hui un collaborateur acteur ?

Le collaborateur acteur représente le Graal, soit le point d’équilibre parfait entre l’objectif d’engagement des salariés et l’établissement d’une entreprise apprenante.

Enjeux de la formation
Parcours onboarding et formation - Skills Mag
Quand les services formation prennent en main le parcours onboarding en entreprise

Selon la Society for Human Resource Management (SHRM), 69 % des employés sont plus susceptibles de rester dans une entreprise pendant trois ans s’ils ont eu une expérience d’intégration positive. Un parcours onboarding solide pour les nouveaux employés permettent par ailleurs à ceux-ci d’être efficaces plus rapidement.

Encore faut-il respecter un certain nombre de principes. Les parcours d’onboarding doivent jongler entre les besoins stratégiques de l’entreprise et le niveau des nouveaux employés. Comme toujours, il convient d’adapter votre calendrier aux profils des personnes concernées. Elles doivent donc comprendre différents formats.

Voici les quelques bonnes pratiques pour un parcours qui booste vos onboardings en vue d’une organisation vraiment apprenante.

Partez à la recherche de nouvelles compétences !

Événements & Webinaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *