Qu’est-ce que le hameçonnage par SMS et comment vous en protéger ?

Un smartphone près de vous est peut-être sur le point de recevoir un SMS mal intentionné. Il s’agit d’un message prétendant souvent provenir de votre banque qui vous demande des informations personnelles ou financières, par exemple votre numéro de compte ou votre code secret. Divulguer ces informations revient à donner les clés de votre compte bancaire à des voleurs.

Le hameçonnage est un mot-valise pour « SMS » (services de messages courts, mieux connus sous le nom de textos) et « phishing » (hameçonnage en anglais). Lorsque les cybercriminels « partent à la pêche », ils envoient des e-mails malveillants visant à inciter le destinataire à ouvrir une pièce jointe contenant un programme malveillant ou à cliquer sur un lien malveillant. Dans le cadre du hameçonnage par SMS, les cybercriminels utilisent des SMS au lieu des e-mails.

Quel appât utilisent les hameçonneurs par SMS ?

Les smartphones nous servent principalement à envoyer et recevoir des messages texte. Experian a révélé que les utilisateurs de téléphones mobiles âgés de 18 à 24 ans envoyaient plus de 2 022 SMS par mois (soit 67 par jour en moyenne) et en recevaient 1 831.

D’autres facteurs font que cette menace est particulièrement insidieuse. La plupart des gens connaissent les risques de fraude par e-mail. Vous avez probablement appris à vous méfier des e-mails disant « Salut, regarde ce super lien » et qui ne contiennent aucun message personnel de l’expéditeur supposé.

Lorsque les gens sont sur leurs téléphones portables, ils sont moins prudents. Bon nombre d’entre eux supposent que leurs smartphones sont plus sécurisés que les ordinateurs. Mais la sécurité des smartphones a des limites et ne peut pas vous protéger directement contre le hameçonnage par SMS. Comme l’a indiqué WillisWire, la cybercriminalité ciblant les appareils mobiles est en plein essor, à l’instar de l’utilisation de ces appareils. En revanche, bien que les appareils Android demeurent la principale cible des programmes malveillants, simplement en raison de leur grand nombre et de la plus grande flexibilité qu’offre la plateforme aux clients (et aux cybercriminels !), le hameçonnage par SMS concerne l’ensemble des plateformes, à l’instar des SMS en eux-mêmes. Cela met les utilisateurs d’iPhone et d’iPad en danger, étant donné qu’ils se sentent souvent à l’abri des attaques. Bien que la technologie mobile de l’iOS d’Apple jouisse d’une bonne réputation en matière de sécurité, aucun système d’exploitation mobile ne peut en lui-même vous protéger des attaques de type hameçonnage par SMS. Le fait que vous utilisiez votre smartphone lors de vos déplacements, en étant souvent distrait ou pressé, constitue un autre facteur de risque. Cela signifie que vous êtes davantage susceptible de vous faire avoir en baissant votre garde et en répondant sans réfléchir après avoir reçu un SMS vous demandant vos informations bancaires ou d’encaisser un bon d’achat.

Ce que recherchent les hameçonneurs par SMS

En résumé, à l’instar de la plupart des cybercriminels, ils souhaitent voler vos données personnelles, qu’ils peuvent ensuite utiliser pour voler de l’argent (le vôtre généralement, mais il peut parfois s’agir de celui de votre entreprise). Les cybercriminels emploient deux méthodes pour voler ces données. Ils peuvent vous inciter à télécharger un programme malveillant qui s’installe tout seul sur votre téléphone. Ce programme malveillant peut se déguiser en application légitime, vous poussant ainsi à saisir vos informations confidentielles et à les transmettre aux cybercriminels. Autre méthode, le lien contenu dans le message de hameçonnage peut vous diriger vers un faux site sur lequel il vous est demandé de saisir des informations personnelles sensibles que les cybercriminels peuvent utiliser pour voler votre identité en ligne.

Étant donné que de plus en plus de personnes utilisent leurs smartphones personnels pour le travail (une tendance appelée BYOD, pour « bring your own device », ou « apportez votre propre appareil », en français), le hameçonnage par SMS devient une menace pour les entreprises comme pour les particuliers. Par conséquent, il n’est guère surprenant que, selon Cloudmark, le hameçonnage soit devenu la principale forme de SMS malveillant.

Protégez-vous

La bonne nouvelle, c’est qu’il est facile de se protéger contre les potentielles conséquences de ces attaques. En effet, vous pouvez vous protéger en ne faisant rien. L’attaque ne cause des dégâts que si vous mordez à l’hameçon. Il vous faut garder certaines choses à l’esprit afin de vous protéger contre ces attaques.

• Vous devez considérer les alertes de sécurité urgentes et les offres ou les affaires « vous devez agir maintenant » comme des signes précurseurs d’une tentative de piratage.
• Aucune institution financière et aucun commerçant ne vous enverra de SMS vous demandant de mettre à jour les informations de votre compte ou de confirmer le code de votre carte bancaire. Si vous recevez un message semblant provenir de votre banque ou d’un commerçant chez lequel vous réalisez des achats, et qu’il vous est demandé de cliquer sur un lien contenu dans le message, il s’agit d’une fraude. Contactez directement votre banque ou le commerçant en cas de doute.
• Ne cliquez jamais sur un lien de réponse ou un numéro de téléphone contenu dans un message dont vous n’êtes pas sûr.
• Recherchez les numéros suspects qui ne ressemblent pas à de vrais numéros de téléphone portable, par exemple « 5 000 ». Comme l’indique Network World ces numéros sont associés à des services d’envoi d’e-mail par SMS, qui sont parfois utilisés par des arnaqueurs afin d’éviter de donner leur véritable numéro de téléphone.
• Ne conservez pas d’informations bancaires ou relatives à votre carte de crédit sur votre smartphone. Si les informations ne s’y trouvent pas, les voleurs ne peuvent pas les voler, même en introduisant un programme malveillant dans votre téléphone.
• Refusez de mordre à l’hameçon et ne répondez pas, tout simplement.
• Signalez toute attaque de hameçonnage par SMS à la FCC pour essayer de protéger les autres.

N’oubliez pas, comme le phishing par e-mail, le hameçonnage par SMS est une escroquerie qui consiste à tromper la victime et à la faire coopérer en cliquant sur un lien ou en fournissant des informations. En effet, la protection la plus simple contre ces attaques consiste à ne rien faire. Tant que vous ne répondez pas, un SMS malveillant ne peut rien faire. Ignorez-le et il disparaîtra.