Qu’est-ce que le smishing ?
Le smishing, également connu sous le nom de phishing par SMS, est une escroquerie dans laquelle un fraudeur vous envoie un faux SMS se présentant souvent comme provenant d’une organisation officielle. L’objectif est de vous inciter à partager vos données personnelles ou à cliquer sur un lien infecté qui transmet des malwares à votre appareil.
Les messages d’hameçonnage vous poussent souvent à répondre en utilisant des termes suscitant l’urgence tels que « Répondez vite ! » ou « URGENT ». L’escroc espère que vous agirez sans réfléchir, c’est-à-dire que vous partagerez des données personnelles ou cliquerez sur un lien malveillant qui vous mènera à un faux site Web ou au téléchargement d’un malware.
La différence entre le smishing et le phishing
Le mot « smishing » est la combinaison de « SMS » et de « phishing », et fait référence aux escroqueries par phishing envoyées par SMS. Les messages de phishing et de smishing sont des types d’attaques qui visent à obtenir vos données personnelles ou à infecter votre appareil avec des malwares. Contrairement au phishing, le smishing se fait uniquement par le biais de messages SMS, mais les deux ont le même objectif.
La différence entre le smishing et le vishing
Les attaques par vishing sont comparables aux attaques par smishing dans la mesure où il s’agit dans les deux cas d’attaques par phishing menées par l’intermédiaire de votre téléphone. Mais le vishing se fait par le biais d’appels et de messages vocaux, tandis que le smishing se fait par le biais de SMS.
Dans les deux cas, l’escroc se fait passer pour une entité honnête, telle que le fisc ou votre banque. Les attaques par vishing et phishing ont le même objectif : obtenir des données personnelles pour voler de l’argent, commettre une usurpation d’identité, ou perpétrer une autre escroquerie.
Le smishing et le vishing sont deux types d’attaques de phishing, ou hameçonnage.
Comment fonctionne une attaque par smishing ?
Les attaques par smishing utilisent généralement une combinaison de tactiques d’ingénierie sociale et d’usurpation d’identité. Une fois qu’un numéro de téléphone a été usurpé, il suffit à l’escroc de vous convaincre d’agir sans trop réfléchir. Il présente une situation plausible et joue sur vos émotions pour vous inciter à transmettre vos données sensibles, à envoyer de l’argent ou à cliquer sur un lien malveillant.
Comme le smishing se fait par SMS, les « smishers » disposent d’un espace limité pour essayer de vous faire répondre. Ils doivent donc se présenter comme une entreprise ou une organisation digne de confiance, car ils ont moins de temps pour vous convaincre qu’avec d’autres méthodes d’attaque telles que les e-mails. Ils peuvent se faire passer pour une boutique, une entreprise de livraison, une administration ou votre banque.
Exemples de smishing
Les attaques de smishing se présentent sous la forme d’un SMS honnête qui semble provenir d’une organisation de confiance ou parfois d’un ami ou d’un membre de la famille. Le SMS frauduleux semble crédible et pertinent pour sa cible. Voici quelques-uns des scénarios les plus courants que les attaques par smishing utilisent comme couverture.
-
Smishing sous forme de confirmation de la commande : Dans la tristement célèbre escroquerie à l’iPhone 12, les fraudeurs ont envoyé des SMS de smishing offrant un accès en avant-première à l’iPhone 12. Pour participer à l’opération et recevoir un téléphone, il suffisait aux victimes de s’acquitter d’une petite somme correspondant aux frais d’expédition. En réalité, les personnes saisissaient les données de leur carte sur un faux site Web et leurs comptes bancaires ont été dévalisés.
-
Le smishing dans le secteur des services financiers : Le message de smishing se présente sous la forme d’une notification d’une organisation financière, telle que votre banque, vous invitant à accéder à votre compte. Mais si vous accédez à votre compte en suivant leur lien, vous donnerez également accès au pirate.
-
Arnaque par smishing à la carte-cadeau ou aux faux gains : Le message de smishing prétend que vous avez gagné une carte cadeau ou un cadeau et qu’il vous suffit d’appuyer sur un lien pour le réclamer. Lorsque vous suivez le lien et saisissez vos données personnelles, en réalité, vous les donnez au pirate.
-
Arnaque par smishing à la livraison : dans ce type d’attaque par smishing, vous recevez un SMS de confirmation de la part de ce qui semble être UPS ou une autre entreprise de livraison, vous informant qu’un colis doit vous être livré. Semblable à un SMS de confirmation de commande, il peut vous inviter à suivre un lien pour confirmer la livraison.
Comment éviter le smishing ?
Voici quelques conseils à suivre pour éviter les attaques par smishing :
-
Ne cliquez pas sur les liens contenus dans les messages provenant de numéros inconnus.
-
Vérifiez l’URL des liens qui vous ont été envoyés.
-
Soyez prudent avec les messages qui vous poussent à répondre de manière urgente et que vous ne connaissez pas.
-
Vérifiez les numéros inconnus avant de répondre.
-
Appelez directement l’entreprise ou la personne pour vérifier la fiabilité d’un SMS.
-
Installez un logiciel antivirus fiable pour empêcher les malwares de s’introduire dans votre appareil.
Éviter le smishing grâce à des conseils simples
Vous ne pouvez pas totalement éviter que les SMS de smishing n’atteignent votre téléphone, mais vous pouvez prendre certaines mesures pour limiter le risque d’interagir avec ces SMS et d’en être victime. Il est essentiel de sécuriser votre appareil et vos comptes, ainsi que d’utiliser un logiciel antivirus.
Ne répondez pas non plus directement aux messages suspects. Utilisez plutôt un autre moyen de communication (e-mail ou numéro de téléphone) pour contacter l’organisation dont le SMS de smishing se réclame et demandez-lui de vérifier le message. Et si vous ne connaissez pas l’organisation de l’expéditeur, ignorez et bloquez le message.
Mettez à jour le système d’exploitation et les applications de votre téléphone. En disposant de la version la plus récente du logiciel de votre téléphone, vous êtes assuré de recevoir les correctifs nécessaires pour remédier aux éventuelles failles de sécurité.
Vous devez également créer des mots de passe forts et uniques pour chaque compte. Un gestionnaire de mots de passe vous aidera dans cette tâche et vous évitera de devoir vous souvenir des mots de passe.
Mais même les mots de passe forts ne sont pas infaillibles. Chaque fois que vous le pouvez, mettez en place une authentification à deux facteurs (2FA) ou une authentification à plusieurs facteurs (MFA). Vous bénéficiez ainsi d’une protection supplémentaire si l’un de vos mots de passe est piraté ou fait l’objet d’une violation de données.
L’authentification à deux facteurs et l’authentification à plusieurs facteurs impliquent des méthodes de vérification supplémentaires pour accéder aux comptes.
Naviguez en toute sécurité avec AVG AntiVirus
Une application de sécurité tout-en-un telle qu’AVG AntiVirus peut vous aider à éviter les faux sites ou les sites de phishing en bloquant les liens, les téléchargements et les pièces jointes non sécurisés. Elle analyse également les réseaux Wi-Fi afin de détecter les failles de sécurité, ce qui vous permet d’être plus en sécurité en ligne. Téléchargez AVG AntiVirus dès aujourd’hui pour renforcer votre sécurité contre les menaces en ligne.