Les attaques par smishing (phishing par SMS) sont en pleine explosion, ciblant les utilisateurs en se faisant passer pour des services officiels comme les banques, les administrations ou les transporteurs. Ces escroqueries visent à récupérer des informations personnelles et bancaires en incitant la victime à cliquer sur un lien frauduleux.
Le fonctionnement du smishing et son impact
Le smishing repose sur l’envoi de SMS imitant des messages légitimes. Les victimes reçoivent un lien menant vers un faux site où elles sont invitées à entrer des informations sensibles, comme leurs identifiants bancaires. Selon une étude récente, près de 39 % des consommateurs ont été exposés à ce type d’arnaque en 2023, ce qui montre l’ampleur du phénomène.
Les cybercriminels utilisent parfois des attaques conversationnelles, où ils interagissent avec la victime pour la manipuler, voire passent des appels téléphoniques pour renforcer la crédibilité de leur piège.
Les arnaques aux livraisons de colis : un piège efficace
Les escroqueries utilisant les services de livraison comme Chronopost, La Poste ou UPS sont particulièrement redoutables. Un faux message informe la victime qu’un colis est bloqué en attente de paiement, incitant à régler des « frais de port » ou des « taxes ». Ces messages deviennent encore plus dangereux lorsque des bases de données clients sont compromises, comme cela a été le cas récemment avec Chronopost.
Les pirates utilisent des informations réelles (nom, adresse) pour personnaliser les SMS et rendre leurs attaques plus convaincantes. Une fois les informations saisies, ils peuvent vider des comptes bancaires ou installer des logiciels malveillants sur le smartphone.
Pourquoi ces arnaques sont difficiles à bloquer ?
Le smishing est plus complexe à détecter que le phishing par e-mail car :
- Les numéros d’expéditeurs sont souvent légitimes ou usurpés.
- Les taux de clics sur SMS sont jusqu’à huit fois supérieurs à ceux des e-mails frauduleux.
- Certains logiciels malveillants peuvent envoyer des SMS à l’insu des victimes, compliquant la détection par les opérateurs mobiles.
Google propose des fonctionnalités pour lutter contre les SMS indésirables via son application Google Messages. Cette application intègre une protection contre le spam qui détecte et filtre automatiquement les messages suspects. Lorsqu’un message est identifié comme potentiellement indésirable, il est déplacé dans le dossier « Spam et bloqués », et une alerte peut vous en informer.
Apple aussi propose des fonctionnalités intégrées à iOS pour aider les utilisateurs à se protéger contre les SMS indésirables et les tentatives de smishing.
Même si ces fonctionnalités ont le mérite d’exister, elles ne restent pas infaillibles.
Comment se protéger efficacement du smishing ?
Voici quelques réflexes à adopter :
- Ne jamais cliquer sur un lien dans un SMS suspect – privilégier les applications officielles ou les sites web directs.
- Vérifier l’expéditeur – en cas de doute, contacter directement l’organisme concerné via ses canaux officiels.
- Activer la double authentification – pour sécuriser ses comptes bancaires et éviter les accès non autorisés.
- Signaler les messages frauduleux – via le numéro 33700 pour les signalements en France.
- Éviter de renseigner ses données bancaires via un lien reçu par SMS – aucun organisme officiel ne demande cela par message.
Avec l’augmentation des menaces, les utilisateurs doivent rester vigilants et adopter des pratiques de cybersécurité adaptées. Les autorités et les entreprises travaillent à renforcer la détection de ces fraudes, mais la première ligne de défense reste la prudence individuelle.
Nyukom a levé depuis peu une cellule de formation pour sensibiliser les utilisateurs d’une entreprise afin de se prémunir sur ce type d’attaque.
Qu’en pensez-vous ? Seriez-vous intéressé par une telle formation au sein de votre entreprise ?
Prenez contact avec nous dès à présent en vous rendant ici.
