in

SMS, conseils pour éviter l’hameçonnage et les arnaques par SMS

Le hameçonnage par SMS a pris des ampleurs insoupçonnées des derniers mois, selon les expertises gouvernementales au premier confinement 2020, il aurait augmenté de 600 %, donc il est important de prendre des précautions et de suivre les conseils pour éviter les arnaques par SMS

SMS hameçonnage arnaques par SMS
SMS hameçonnage arnaques par SMS

SMS, conseils pour éviter l’hameçonnage et les arnaques par SMS ; les escroqueries par hameçonnage par SMS sont une tactique de plus en plus attrayante pour les cybercriminels. Cela s’explique notamment par le fait que les SMS constituent un moyen simple et peu couteux pour les escrocs de se faire passer pour ce qu’ils ne sont pas afin de mieux tromper leurs cibles.

Leur technique consiste à envoyer des messages à des utilisateurs choisis au hasard en faisant passer pour des entreprises ou entités bien connues que les gens connaissent et en qui ils ont confiance.

Souvent, les sms envoyés contiennent un lien hypertexte. En cliquant sur le lien indiqué, les victimes peuvent s’exposer à un vol d’identité ou mettre en danger la sécurité de l’appareil sur lequel le message est lu.

Si les arnaques par SMS sont devenues aujourd’hui un fléau qui ne cesse de prendre de l’ampleur, il est heureusement possible de s’empêcher d’en être victime. Mais comment faire exactement ? Découvrez dans cet article nos conseils pour éviter l’hameçonnage et les arnaques par SMS.

Qu’est-ce que l’hameçonnage ?

L’hameçonnage ou phishing en anglais est un type d’attaque d’ingénierie sociale dans laquelle les cybercriminels incitent les victimes à transmettre des informations sensibles ou à installer des programmes malveillants sur l’appareil via lequel le message est lu.

Les informations en question peuvent être l’identité de la personne victime (nom, prénom, date de naissance, photo, numéro identité, numéro sécurité sociale…), ses informations bancaires, les identifiants de ses comptes personnels et professionnels et bien d’autres encore.

Il existe différentes formes d’attaques par hameçonnage. La plus connue et la plus répandue reste l’hameçonnage par émail. Il y a également le vishing qui utilise l’appel vocal pour tromper les gens. Mais depuis quelques années, un type d’attaque par hameçonnage en particulier fait des ravages. Il s’agit du smishing ou hameçonnage par sms en français.

Même s’il utilise une technique très banale, juste en envoyant un sms frauduleux contenant un lien hypertexte, ce type d’hameçonnage fait de gros dégâts, car le SMS est un canal qui, à la différence des emails et des réseaux sociaux notamment, permet d’atteindre pratiquement tout le monde, en tous lieux et à toute heure.

Qu’est-ce qu’une arnaque par SMS ou Smishing ?

Arnaque par SMS, Smishing, hameçonnage par SMS ou encore SMS frauduleux. Ces termes désignent plus ou moins la même chose : le vol d’informations d’identité des utilisateurs en ligne qui utilise l’ingénierie sociale et les SMS comme moyen de communication.

Pour ceux qui l’ignorent, l’ingénierie sociale ou social engineering en anglais est, dans le contexte de cybersécurité, une pratique de manipulation psychologique à des fins d’escroquerie. L’ingénierie sociale possède d’autres noms plus parlants comme le piratage psychologique ou bien la fraude psychologique.

Ainsi, si le Smishing connait des réussites, c’est par ce qu’il exploite les faiblesses psychologiques, sociales et plus largement organisationnelles des individus ou organisations pris pour cibles, que c’et un moyen aisé de communiquer, et que certaines personnes son très crédules.

Les criminels aiment le smishing parce que les utilisateurs ont tendance à faire confiance aux messages texte, par opposition aux e-mails, dont beaucoup de gens sont plus méfiants, en raison des attaques de phishing, très répandues depuis presque toujours.

Alors, à quoi les arnaques par SMS ressemblent-elles ?

Les cybercriminels tentent de vous inciter à fournir des informations de compte, telles qu’un nom de connexion, un mot de passe ou des informations de carte de crédit, en appuyant sur un lien qui vous mène à un site Web.

Ici, ils peuvent obtenir suffisamment d’informations pour voler votre identité. Ou vous pourriez être invité à répondre à des questions par SMS ou conseillé d’appeler un numéro de téléphone.

Dans certains cas, vous recevrez un message texte avec un sentiment d’urgence, dans le genre :

« Cher client, la Bank xxx a besoin que vous vérifiiez immédiatement votre code PIN pour confirmer que vous êtes bien le titulaire du compte. Certains comptes ont été piratés. Nous vous demandons instamment de vous protéger en confirmant vos informations ici. »

En entrant votre nom d’utilisateur et votre code PIN sur l’interface utilisateur factice proposée par les attaquants, vous allez vous faire voler vos informations bancaires, parfois ils changent un peu leur façon d’agir, mais dans la forme, c’est toujours ainsi ou presque qu’ils procèdent.

Parfois, pour améliorer leur chance de réussite, les escrocs tentent de tirer parti de quelque chose d’opportun et d’actualité. Par exemple, depuis que le Covid est apparu, de nombreux français ont reçu des SMS frauduleux leur invitant à se faire vacciner ou encore les informant qu’ils sont des cas contacts.

Quelques conseils utiles pour prévenir les Smishing

Éviter les escroqueries par smishing est simple. Ne pas cliquer sur des liens dans des messages texte inconnus ou inattendus est le premier réflexe à avoir. Cependant, les cybercriminels qui utilisent ce type d’escroqueries regorgent souvent d’astuces destinées à nous piéger.

Voici donc quelques conseils utiles qui vont vous aider prévenir les arnaques au SMS, même les plus sophistiquées :

  • Évitez de cliquer sur les messages INCONNUS qui comportent des liens. De plus, pensez à qui vous a envoyé le message. Est-ce une personne que vous connaissez ? Si ce n’est pas le cas, n’y prêtez pas attention !
  • Ne répondez jamais aux SMS qui vous posent des questions sur vos finances personnelles.
  • Si vous avez reçu des messages concernant les actifs de votre entreprise ou les partenariats que vous avez avec eux et/ou la banque qui leur est associée, appelez l’entreprise ou les entreprises pour voir s’il s’agit d’une demande légitime avant de répondre.
  • Si les messages texte (avec le numéro inconnu) demandent une réponse rapide, c’est un signe clair de SmiShing ! Ne répondez pas !
  • Faites des recherches approfondies avant de répondre à un message. Il existe de nombreux sites Web qui permettent à quiconque d’effectuer une recherche basée sur un numéro de téléphone et de voir toute information permettant de savoir si un numéro est légitime ou non.
  • Ne rappelez jamais un numéro de téléphone associé au texte dont vous n’êtes pas au courant.
  • Si le message indique « Cher utilisateur, félicitations, vous avez gagné… » C’est forcément une arnaque, ou en tous cas beaucoup d’arnaques commencent ainsi. Fuyez.
  • Vérifiez l’heure à laquelle le message inconnu a été envoyé. Si le message texte a été envoyé à une heure inhabituelle, c’est forcément un SMS frauduleux.
  • Assurez-vous d’être conscient et informé de la politique de vos applications bancaires. Il est important de reconnaître qu’il existe une politique qui protège votre argent ainsi que d’autres informations personnelles associées au compte bancaire.

Jean-jacques Latour revient sur les menaces cyber les plus courantes en ce moment

Jean-Jacques Latour, n’est autre que le responsable de l’expertise en cybersécurité Cybermalveillance.gouv.fr. Récemment, il a présenté le paysage de la cybercriminalité dans l’Hexagone en 2021. Selon lui, la crise sanitaire a alimenté l’augmentation de la cybercriminalité sous toutes ses formes. Mais une en particulier a explosé : les attaques par hameçonnage, la catégorie de cyberttaque dans laquelle figure le Smishing.

Durant le premier confinement par exemple, les attaques par hameçonnage auraient augmenté de près de 600%. Et depuis le phénomène n’a cessé de prendre de l’ampleur, plaçant l’hameçonnage à la tête des formes de cyberattaques les plus fréquentes en France. La plupart de ces attaques, a-t-il ajouté, étaient liées au contexte de crise.

Mais il n’y a pas que le Covid ! Le responsable de la cybercriminalité en France revient aussi sur l’arnaque consistant à se faire passer pour une société de transport ou de livraison de colis. Ainsi, il invite les gens à rester vigilant, car les arnaqueurs ne manquent jamais d’idées.

Jean-Jacques Latour donne ses conseils pour se protéger des arnaques aux sms

La Dépêche du Midi a récemment invité Jean-Jacques Latour, responsable de l’expertise en cybersécurité de la plate-forme gouvernementale Cybermalveillance.gouv.fr, pour parler des moyens pour se protéger des arnaques au sms.

Voici une liste non exhaustive des conseils qu’il a livrés :

  • www.cybersurveillance.gouv.fr, donne d’excellents conseils, suivez-les.

Ce site gouvernemental est relativement bien fait, il vous donne d’excellents conseils, suivez les, et n’hésitez pas à suivre leurs recommandations, toutes les menaces liées au numérique y sont généralement recensées, n’hésitez pas à le visiter autant que nécessaire.

Sa mission  première à Cybermalveillance.gouv.fr est  d’assister,  et de leurs donner les moyens de s’en protéger, pour les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les risques numériques.

  • https://www.interieur.gouv.fr

Autre site gouvernemental, pour déclarer les arnaques par SMS et par E mail, dans lequel vous trouverez notamment la plate forme Pharos, qui est l’acronyme « français » de plate forme d’harmonisation et des signalements, et qui existe depuis 2009.

Crée à l’époque par le gouvernement français, et destiné pour y  pour signaler des contenus et comportements en ligne illicites. PHAROS enregistre les adresses IP (internet protocol) des émetteurs dont seuls les fournisseurs d’accès et de service sur internet connaissent.

Vous y trouverez aussi une excellente étude très détaillée sur l’insécurité et la délinquance en 2021,
qui traite des données de la Metropole et des DROM, intégrant aussi les indicateurs liés au contexte sanitaire du Covid-19, et bien d’autres paramètres sur les violences au sens large.
  • Qu’est-ce qu’une adress IP

Une adresse IP (Internet Protocol) est un numéro d’identification qui est attribué de façon permanente ou provisoire à chaque périphérique (odrinateur) relié à un réseau, elle est différente et unique pour chaque ordinateur (c’est quelque part comme un numéro de carte d’identité).
Une adresse IP s’écrit d’une manière très particulière, elle  se présente sous la forme d’une série de nombres séparés par des points, par exemple 192.168.1.30, et si vous souhaitez voir la votre, il vous suffit de taper dans le fenêtre de commande ou dans le champ Exécuter : IPconfig.

Attention, nous avons écrit qu’une adresse IP est unique, mais si vous vérifiez sur un routeur, vous en trouverez plusieurs, autant d’adresses IP que de sous-réseaux gérés, car les routeurs, agissent et réagissent sous-réseau, par sous-réseau et c’est pour cela qu’ils ont des IP différentes.

  • 33700, la plateforme de lutte contre les spams SMS et les messages vocaux

C’est la formule magique pour signaler aux autorités toutes les anomalies, liées aux spams SMS, MMS ou message vocaux, et vous devrez aller simplement  sur https://www.33700.fr, ce numéro fut crée en 2008, par les services de la Communication, dirigés à l’époque par  Luc Chatel, Ministre.
Ce numéro est géré actuellement par l’AFMM (association Française du Multimédia Mobile), qui gère aussi les numéros courts à 5 chiffres, correspondant aux SMS surtaxés. En novembre 2008, elle fut fondée par les opérateurs Bouygues Télécom, Orange France et SFR.
  • Pharos, la plate forme en ligne spécialisée, pour les signalements.

C’est une plateforme en ligne, qui permet de signaler en temps réel, les contenus et les comportements illicites du monde de l’internet (que cela soient des sites, des blogs, des forums, des tchats ou des réseaux).

Née en 2009, la Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (Pharos), elle est  intégrée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

« PHAROS » est accessible sur plusieurs sites spécialisés, parmi eux,  le site www.internet-signalement.gouv.fr, mais également sur le site www.signal-spam.fr et le site www.33700-spam-sms.fr

  • Soyez toujours attentif

La première règle à retenir est de toujours rester très attentif. On a tendance à nous méfier des mails et des sms au contenu bâclé avec des fautes d’orthographe, mais Jean-Jacques LATOUR revient sur l’importance d’être vigilant et attentif sur pratiquement tout. « Même si certains emails ou messages de phishing sont très bien conçus, certains signaux peuvent vous alerter », a-t-expliqué, en nous invitant de chercher les petits détails qui peuvent nous aider à reconnaître les sms frauduleux.

  • Si vous avez des doutes, changez vos mots de passe

Si par inattention ou sans le vouloir, vous avez donné vos informations, votre mot de passe par exemple, réagissez immédiatement. Evitez de l’enregistrer si des logiciels vous proposent de le faire.

Dans l’immédiat, changez-le sur le site ou service concerné. Vous ne devez pas donner aux arnaqueurs le temps d’exploiter les informations que vous leur avez livrées.

  • N’hésitez pas à déclarer l’incident aux autorités concernées

Dernier conseil, signalez l’incident aux autorités concernées. Ces dernières proposent souvent des conseils très utiles qui vous aideront à limiter les casses ou à l’avenir ne plus être victime de ce type d’arnaques, si d’autres vont jusqu’à mener des investigations pour tenter de trouver les auteurs des méfaits.

Par ailleurs, en signalant un incident, vous permettez aussi aux autorités de l’identifier et par la suite le signaler aux autres utilisateurs, et souvenez vous qu’un SMS n’est jamais payant pour celui qui le reçoit, et l’attaque ne sera virulente que si vous mordez à l’hameçon.

Aussi la meilleure des réponses est de ne jamais ouvrir un fichier ou un Message qui vous semble inconnu ou bizarre, que vous recevez à des heures indues, ou qui est truffé de fautes d’orthographes, même si ces derniers temps les hackeurs ont fait des progrès, de ce côté là.

Auteur Antonio Rodriguez, Directeur Clever Technologies.

Pour en savoir plus, sur les arnaques SMS  :

 

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

Attaque Man in the Middle

HDM, & Keeper (MITM) pour protéger votre entreprise des attaques, qu’est-ce qu’une Attaque Man in the Middle

ITOA et pourquoi l'avoir fait évoluer en AIOps

Qu’est-ce que l’ITOA et pourquoi l’avoir fait évoluer en AIOps