Qu’est-ce que le smishing (phishing par SMS) ?

Comment se déroulent les attaques par smishing ?

Comme toutes les formes de phishing, les attaques de smishing efficaces ont deux objectifs : gagner la confiance de la victime, puis l’exploiter pour lui soutirer des informations privées ou de l’argent. Comment les escrocs s’y prennent-ils ?

Examinons tout d’abord les vecteurs d’attaque. Le smishing, également appelé phishing par SMS, n’est pas nécessairement réalisé par le biais d’un SMS, ni même sur un appareil mobile. Il peut également se manifester dans des applications de messagerie, des forums ou des plateformes de réseaux sociaux telles que Facebook, X (Twitter) ou Reddit.

Les expéditeurs se font souvent passer pour des entités que leurs victimes « connaissent » d’une manière ou d’une autre, par exemple, des institutions financières, des détaillants, des supérieurs hiérarchiques ou des organismes de la fonction publique.

Les messages de smishing efficaces convainquent les victimes de prendre des mesures immédiates. En général, ils soumettent à la victime un événement négatif qu’elle doit éviter (fermeture du compte, frais, mesures disciplinaires, etc.) ou un événement positif qu’elle doit revendiquer (récompense, livraison, etc.). Dans les deux cas, le message demande quelque chose, comme des informations privilégiées ou un paiement. Si la ruse réussit, le hacker remporte son prix.

Récemment, des « kits de phishing » prêts à l’emploi et des outils d’IA générative ont facilité la tâche de hackers désireux de lancer plus rapidement leurs attaques.

Pourquoi les attaquants lancent-ils des escroqueries par smishing ?

La plupart des escroqueries par smishing, comme les autres escroqueries par phishing, ont une motivation financière. Les cybercriminels peuvent s’en prendre directement aux informations financières pour voler l’argent des victimes, ou ils peuvent rechercher des informations pour les vendre sur le marché noir, comme des données personnelles de valeur ou la propriété intellectuelle d’une entreprise. Plus rarement, certaines campagnes de smishing tentent d’inciter les victimes à télécharger des malwares.

Les attaques de smishing bénéficient également d’un manque général de formation et de sensibilisation des cibles, tout particulièrement en ce qui concerne le phishing par e-mail. En outre, un nombre bien moins important de solutions de sécurité sont conçues pour détecter ou bloquer les escroqueries par smishing. Pour couronner le tout, de nombreux services de voix sur IP (VoIP) permettent d’abuser très facilement de l’identification de l’appelant pour afficher des numéros ou des noms spécifiques.

Le smishing permet également de couvrir un large champ, ce qui en fait un atout de taille pour les acteurs potentiels de cybermenace. Compte tenu des 4,6 milliards d’utilisateurs de smartphones en 2023 et des plus de 5 milliards prévus d’ici 2027 (Statista), le nombre de victimes potentielles est en effet illimité.

Types d’attaques de smishing

L’une des raisons pour lesquelles le smishing et d’autres types de phishing sont si insidieux est qu’il existe de nombreuses façons d’élaborer une attaque de smishing. Examinons quelques-unes des approches et des structures les plus courantes des auteurs de smishing.

• Les escroqueries liées aux prix et aux colis exploitent l’excitation des victimes à propos d’un objet qu’elles sont persuadées d’avoir gagné (carte-cadeau, loterie, etc.) ou d’un article en attente de livraison. Les hackers se font souvent passer pour une grande société de vente au détail ou de livraison de colis (Amazon, Costco, FedEx ou UPS, par exemple) et demandent une rectification d’adresse, des informations relatives à la carte de crédit, des frais d’envoi, etc. En général, ils dirigent les victimes vers un lien malveillant conçu pour aider à voler ces informations.
• Les escroqueries bancaires et financières exploitent la sensibilité financière pour provoquer des réactions fortes et rapides. Les hackers se font passer pour une société bancaire ou, pour amplifier l’effet de peur, pour une autorité fiscale telle que l’IRS aux États-Unis, et informent la victime d’un problème de compte bancaire, d’un remboursement en attente, d’un paiement en retard, d’une enquête, ou d’un prétexte similaire, pour voler les identifiants de connexion, les numéros de sécurité sociale, les numéros de carte de crédit ou d’autres informations bancaires.
• Les escroqueries à l’investissement, comme le populaire « pig butchering » (littéralement, dépeçage de porc), manipulent les victimes (les « porcs ») pour qu’elles investissent dans des crypto-monnaies, en leur promettant souvent des rendements élevés. Les escrocs incitent les victimes à créer des comptes sur de fausses plateformes d’échange de crypto-monnaies ou de produits financiers, qui offrent souvent de bons rendements dans un premier temps, afin de donner un faux sentiment de légitimité. Une fois que l’escroc a obtenu un accès non autorisé au compte de la victime, il effectue des transactions frauduleuses, « dépeçant » le compte de tous ses fonds.
• Les escroqueries à la vérification de compte et au mot de passe incitent les victimes à compromettre leurs comptes, souvent, paradoxalement, en leur faisant croire que leurs comptes ont été compromis. Cette technique peut aller de pair avec l’usurpation d’URL pour créer de faux portails de connexion convaincants. Dans certaines attaques complexes de vol de compte, les hackers peuvent demander des réponses à des questions de sécurité ou des codes d’authentification multifacteur (MFA), ce qui leur permet de contourner des mesures de cybersécurité supplémentaires.
• Les escroqueries opportunistes et d’actualité profitent des craintes, des espoirs ou du sentiment de responsabilité sociale des victimes à l’égard d’événements ou de tendances actuels pour leur soutirer de l’argent et/ou des informations personnelles. Les exemples courants au cours des dernières années sont notamment la fraude à la prise de rendez-vous pour le vaccin COVID-19, les fausses organisations caritatives liées aux guerres et aux catastrophes naturelles, les escroqueries économiques liées aux prêts étudiants, aux impôts, aux paiements de relance et aux opportunités d’emploi, etc.

Exemples d’escroqueries par smishing

Examinons à présent quelques exemples de tentatives concrètes de smishing, ainsi que certains des signaux annonciateurs de ces attaques, qui peuvent vous aider à les identifier en tant que cyber-attaques.

Exemple 1 : Smishing - Colis USPS

Ce message comporte de nombreux signaux d’alerte qui permettent de l’identifier facilement comme une tentative de smishing. Notez l’absence de détails spécifiques, tels qu’un nom ou l’emplacement d’un entrepôt, l’espacement bizarre et l’étrange chaîne « 7cng.vip » dans l’URL fournie.

De plus, selon le service d’inspection postale des États-Unis, « USPS n’enverra pas de SMS ni d’e-mails aux clients sans que le client n’ait d’abord demandé le service avec un numéro de suivi, et il ne contiendra PAS de lien »

Exemple 2 : Smishing - Enquête Costco

Ce texte de smishing est un peu plus difficile à identifier, mais comporte néanmoins de nombreux signes révélateurs. Premièrement, Costco Wholesale Corporation ne s’appelle pas « CostcoUSA ». Comme le faux message USPS, le libellé est un peu guindé et artificiel. Le signe le plus révélateur d’un smishing est l’URL, car les communications légitimes de Costco proviennent toujours d’un domaine Costco.

Les auteurs de smishing peuvent se montrer extrêmement intelligents, mais si vous savez quoi chercher, il existe souvent des moyens subtils et moins subtils de repérer leurs tentatives.

Comment se protéger contre une attaque de smishing ?

Il est difficile d’éviter complètement le smishing, mais il existe heureusement de nombreux moyens efficaces de s’en défendre avant qu’il ne cause le moindre préjudice :

• Ignorez-le tout simplement. Si vous recevez un message de smishing, vous n’avez rien à faire. Une fois que vous avez déterminé que le message n’est pas légitime, vous pouvez simplement le supprimer sans autre conséquence. Le smishing ne fonctionne pas si la victime ne mord pas à l’hameçon.
• Faites preuve d’esprit critique. L’un des meilleurs moyens d’identifier une tentative de smishing est de prendre le temps de réfléchir, exactement ce que les hackers espèrent que les victimes ne feront pas. Si vous recevez un message texte suspect, prenez du recul et réfléchissez aux circonstances. Vous attendiez-vous à recevoir un message de l’expéditeur supposé ? L’expéditeur s’est-il clairement identifié ? La demande est-elle raisonnable ?
• Recherchez les signaux indicateurs. Examinez les détails. Le message provenait-il d’un numéro de téléphone étrangement similaire au vôtre ? Si c’est le cas, il pourrait s’agir d’un « neighbor spoofing ». Contient-il des adresses e-mail ou des liens ? Assurez-vous qu’ils correspondent aux coordonnées réelles ou aux canaux officiels que vous attendez de la part de l’expéditeur. Le message contient-il des détails vagues ou des erreurs ? Avant leur envoi, la plupart des messages commerciaux légitimes sont soigneusement vérifiés pour détecter les erreurs.
• Vérifiez d’abord. Si vous n’êtes toujours pas sûr qu’un message est légitime ou non, vous pouvez vérifier auprès de l’expéditeur en passant par un canal officiel. Par exemple, vous pouvez rechercher un numéro de service clientèle ou contacter un représentant par chat sur le site Web de votre banque.
• Bloquez et/ou signalez l’expéditeur. Vous pouvez réduire vos propres risques et diminuer la probabilité que d’autres soient victimes de smishing en bloquant et en signalant les tentatives de smishing. La plupart des applications de messagerie privée ainsi que les systèmes d’exploitation Apple iOS et Android intègrent des fonctions de blocage et de signalement qui permettent également de signaler les messages suspects lorsque d’autres utilisateurs les reçoivent.

Que faire si vous êtes victime d’un smishing

Si vous réalisez, ou même soupçonnez fortement, que vous avez été victime d’un smishing, vous pouvez toujours limiter les dégâts d’une attaque menée à bien.

1. Signalez l’attaque aux autorités compétentes. La plupart des banques ont mis en place de solides cadres de gestion de la fraude, et elles peuvent même être en mesure de vous aider à récupérer les fonds perdus. En cas de fraude plus grave ou d’usurpation d’identité, vous pouvez envisager de porter plainte auprès de la police ou de contacter une agence gouvernementale telle que le Federal Bureau of Investigation (FBI) ou la Federal Trade Commission (FTC).
2. Mettez à jour les informations d’identification compromises. Si un hacker possède les détails de votre compte, il est impossible de savoir quand il les utilisera. Modifiez immédiatement les mots de passe, les codes PIN et autres éléments concernés. Si vous recevez un e-mail légitime confirmant un changement de mot de passe que vous n’avez pas demandé, contactez immédiatement l’expéditeur.
3. Restez à l’affût de toute activité malveillante. Une fois que vous avez effectué ce qui précède, surveillez les signes de nouvelles compromissions dans les domaines concernés. Vous pouvez demander que des alertes à la fraude soient activées sur de nombreux comptes pour vous aider à identifier les activités suspectes.

Protection de Zscaler contre les attaques de smishing

Étant donné qu’elle repose sur l’exploitation de la nature humaine, la compromission des utilisateurs est l’un des défis de sécurité les plus difficiles à relever. Pour détecter les violations actives et minimiser les dommages qu’elles peuvent causer, vous devez appliquer des contrôles efficaces de prévention du phishing dans le cadre d’une stratégie Zero Trust plus large.

La plateforme Zscaler Zero Trust Exchange™, construite sur une architecture Zero Trust globale pour minimiser la surface d’attaque, empêcher les compromissions, supprimer les déplacements latéraux et arrêter la perte de données, protège contre les attaques de smishing et autres cybermenaces en :

• Prévenant les compromissions : des fonctionnalités telles que l’inspection TLS/SSL complète, l’isolation du navigateur, le filtrage des URL et la détection des sites de phishing (y compris les liens dans les SMS et sur les appareils mobiles), le contrôle d’accès basé sur des règles et les renseignements sur les menaces protègent les utilisateurs contre les sites Web malveillants.
• Éliminant les déplacements latéraux : une fois dans votre réseau, les hackers peuvent se propager, causant encore plus de dégâts. Grâce au Zero Trust Exchange, les utilisateurs se connectent directement aux applications, et non à votre réseau, limitant ainsi le rayon d’action d’une attaque. Les leurres permettent de tromper les hackers et détecter les déplacements latéraux.
• Bloquant les menaces internes : notre architecture de proxy cloud arrête les tentatives d’exploitation des applications privées avec une inspection inline complète et détecte également les techniques d’attaque les plus sophistiquées grâce à des tactiques de tromperie avancées.
• Endiguant la perte de données : le Zero Trust Exchange inspecte les données en mouvement et au repos pour empêcher tout vol potentiel de données par un hacker actif.