Smishing : phishing par message texte

Comme nous sommes constamment en ligne sur le Web, il existe différents dangers sur Internet qui doivent être abordés. Le TCS aimerait participer activement à la lutte contre ces dangers et risques et est donc devenu membre de la SISA Swiss Internet Security Alliance.

Les utilisateurs et utilisatrices reçoivent régulièrement des messages les invitant à cliquer sur un lien dans des SMS, sur WhatsApp ou d’autres services de messagerie texte. Il s’agit de ce que l’on appelle le « smishing », un néologisme issu de la contraction des termes SMS (messages courts) et phishing (vol de données d’accès via des messages falsifiés). Nombreux sont ceux qui connaissent les attaques de phishing par e-mail mais qui ne sont pas conscients que le même danger les guette également sur les smartphones.

Les attaques de smishing visent à voler des données personnelles et à les utiliser ensuite à des fins frauduleuses. Comme pour le phishing, le vol de données fonctionne souvent à l’aide de messages falsifiés. La seule différence est que la cyberattaque ne se fait pas par e-mail, mais par SMS ou par des services de messagerie comme WhatsApp. Le côté insidieux est que les attaques de smishing sont étonnamment bien conçues et peuvent donc toucher n’importe qui.

De nombreux utilisateurs et utilisatrices connaissent désormais le phishing et examinent leur boîte de réception e-mail avec une méfiance saine. Les filtres anti-spam des fournisseurs de messagerie aident en outre à prévenir efficacement les tentatives de phishing. Ce mécanisme de protection automatisé fait fondamentalement défaut sur de nombreux smartphones. Les expéditeurs de SMS ou de messages texte sont souvent considérés comme fiables par les destinataires et les messages sont par conséquent ouverts sans précaution.

En outre, tout est un peu plus petit et plus rapide sur le téléphone portable... On est en déplacement, on se laisse souvent distraire et on réagit beaucoup plus vite à un message. On répond ainsi aux attentes des smishers qui provoquent justement cela, par exemple:

• La divulgation d’informations personnelles vers des comptes en ligne (identité, identifiant Apple, informations financières, etc.)
• Le fait de cliquer sur un lien qui télécharge un logiciel malveillant sur l’appareil
• La souscription à un abonnement

La procédure est similaire à celle du phishing par e-mail: la peur est souvent utilisée comme moyen de pression. Les messages avertissent souvent que les accès seront bloqués ou que le compte des personnes concernées a déjà été piraté. Mais dans de nombreux cas, il s’agit aussi de demandes de réinitialisation du mot de passe, de messages d’authentification de comptes, d’une demande de mise à jour de vos données d’utilisateur ou même de l’envoi d’un colis postal.

Une méthode courante d’attaque par smishing utilise des noms de marques ou des noms d’entreprises connues avec des liens qui prétendent mener à leur site Web. Le pirate informe généralement l’utilisateur qu’il a gagné de l’argent ou envoie un lien malveillant censé servir au suivi de colis.

Les utilisateurs sont donc invités à réagir rapidement, faute de quoi ils s’exposeraient à des conséquences désagréables. Malheureusement, les messages courts sont souvent assez crédibles.

• Ne vous laissez pas mettre sous pression et lisez attentivement.
• Contrôlez l’expéditeur et appelez-le si nécessaire... Non pas via le numéro de téléphone qui apparaît dans le message texte, mais via le numéro officiel.
• N’ouvrez pas de documents si vous ne faites pas totalement confiance à l’expéditeur.
• Faites les mises à jour recommandées sur votre smartphone.
• Pour les utilisateurs d’Android: installez un antivirus et un logiciel antispam.
• Vous avez déjà cliqué ou saisi des informations? Suivez nos recommandations sur les « Premiers secours en cas de cyber-accident » et signalez impérativement le message au Centre national pour la cybersécurité, ou NCSC en abrégé.
• Supprimez le message.