2023, juillet 27

Sécurité

10 min read

Matt S.

Le smishing expliqué : Comprendre le phishing par SMS

Le smishing est une activité frauduleuse réalisée à partir de SMS. Il s'agit d'une attaque par laquelle des personnes sont incitées à fournir des informations sensibles par le biais de messages textuels.

Il est amusant de penser qu'il existe probablement des dizaines, voire des centaines de façons dont les pirates informatiques, les escrocs et les cybercriminels essaient de nous tromper. Certains sont plus sophistiqués que d'autres et visent des entreprises de premier plan. D'autres s'en prennent à des gens ordinaires pour obtenir des avantages financiers ou voler des informations personnelles. L'une des méthodes de piratage qui entre dans cette dernière catégorie est appelée Smishing ou hameçonnage par SMS.

Dans ce guide, nous vous expliquerons ce que c'est, comment cela fonctionne, pourquoi vous pouvez être exposé à ce risque, d'où viennent ces escroqueries et bien d'autres choses encore. Nous espérons qu'après avoir lu notre guide, vous serez en mesure d'identifier une telle attaque et de mieux vous protéger, vous et vos biens. Alors, c'est parti !

Smishing (hameçonnage par SMS) - 101 Aperçu

Tout d'abord, examinons les principes de base. Il s'agit de la définition, de laanatomieou comment il fonctionne, et d'autres choses à savoir à son sujet.

Qu'est-ce que le Smishing ?

Pour répondre à la question "Qu'est-ce que le Smishing ?hameçonnage. Le mothameçonnagedécrit une tactique de cyber-escroquerie. Elle ressemble àpêcheparce que le pirate lance l'appât et attend que l'on vienne le chercher.poisson(par exemple, la victime) à mordre.

Voici une illustration de base de son fonctionnement.

En général, un hameçonnage de qualité nécessite de bonnes compétences en ingénierie sociale et un savoir-faire décent en matière de programmation ou l'accès à des logiciels malveillants de grande qualité. Les hameçonneurs tentent de se faire passer pour des organisations légitimes ou des personnes sérieuses et envoient des programmes nuisibles, des liens frauduleux et veulent que les utilisateurs peu méfiants entreprennent une action qui les amènerait :

Infecter votre appareil avec des logiciels malveillants
Voler vos informations personnelles ou votre argent
Faire tout ce qui précède

Comme vous pouvez le constater, peu de gens sont au courant. On ne peut pas non plus dire que le smishing n'est pas une chose sérieuse. Chaque année, il cause des millions de dollars de dommages aux entreprises et aux particuliers.

Ainsi, le Smishing, ou sa signification

est un simple hameçonnage par SMS.

Comment cela fonctionne-t-il ? Anatomie des attaques de phishing par SMS

L'anatomie ou le processus complet d'une attaque de Smishing présente deux points de vue. L'un est celui du pirate et l'autre celui de la victime. Pour que l'attaque soit efficace et atteigne ses objectifs, elle doit être convaincante, bien placée et bien exécutée.

Regardez l'exemple ci-dessous.

Une méthode populaire d'hameçonnage par SMS a été utilisée dans tous les États-Unis et surtout dans l'Union européenne. Les gens recevaient des liens de connexion leur permettant de payer des amendes pour avoir enfreint les restrictions relatives aux coronavirus. En réalité, il n'y a pas eu de violation ni d'amende, mais les gens se sont quand même laissés prendre.

Mais voyons ce qui distingue cette attaque et ce qui différencie une action de phishing par SMS bien exécutée d'une tentative infructueuse. Une attaque de smishing réussie comporte généralement plusieurs éléments clés :

Usurpation d'identité de l'expéditeur

. Les cybercriminels utilisent des appareils, des applications et une ingénierie de réseau mobile astucieuse pour manipuler les informations de l'expéditeur affichées sur le téléphone du destinataire. Un pirate souhaite se faire passer pour une personne de confiance, par exemple une banque, un opérateur téléphonique, une institution de santé, un inspecteur des impôts, etc.

Un message au contenu convaincant

. Le contenu des messages de smishing est soigneusement conçu pour attirer l'attention du destinataire et créer un sentiment d'urgence ou de curiosité. Il doit être crédible. Une information sur un prix ou une loterie donnée à l'improviste ne suffit plus. Les pirates ont besoin de penser à quelque chose d'intelligent, ils mentionnent donc des sujets vagues pour susciter la curiosité : problèmes avec votre compte bancaire, suspensions de comptes et de services, etc. Regardez l'image ci-dessous.

Liens malveillants

. Les messages de smishing doivent contenir des URL raccourcis ou des liens directs menant à des sites web frauduleux conçus pour collecter des informations sensibles, installer des logiciels malveillants ou mener d'autres activités malveillantes. Dans le cas contraire, l'attaque ne fonctionnera pas. Tous les experts en cybersécurité déconseillent d'ouvrir les liens contenus dans les messages malveillants et d'être très vigilants lorsqu'il s'agit de textes urgents. Il existe unexcellente lecture sur Lookout.com si vous souhaitez mieux comprendre les risques liés à l'ouverture d'un tel lien.

Techniques d'ingénierie sociale

. Les cybercriminels utilisent des tactiques psychologiques pour persuader les destinataires d'agir sans mettre en doute l'authenticité du message. Il peut s'agir de la peur d'une perte financière, de la promesse d'une récompense ou d'un prix, voire d'appels émotionnels. Cette partie est liée à laun contenu de message convaincantque nous avons mentionnée précédemment.

Collecte de données

. Lorsque les victimes tombent dans le piège de l'hameçonnage et saisissent leurs informations personnelles sur un faux site web, ou lorsque le logiciel malveillant est installé, ces données sont collectées par l'attaquant et potentiellement utilisées à des fins frauduleuses.

Qui est le plus exposé au risque d'être ciblé par des attaques de smishing ?

L'Office des statistiques nationales du Royaume-Uni a réalisé une étude salutaire sur la menace que représentent les attaques par hameçonnage. Il en ressort qu'au Royaume-Uni, les personnes âgées de 25 à 44 ans sont les plus exposées. L'une des escroqueries les plus répandues concerne les sociétés de livraison.

Ce graphique de Kaspersky montre la répartition de ce que les hameçonneurs tentent d'usurper. Les sociétés de livraison, les magasins en ligne, les systèmes de paiement et les banques sont en tête de liste.

Une autre étude de l'Infosec Institute a interrogé 300 entreprises pour connaître leur expérience interne. Il en ressort que les cadres de haut niveau sont les plus souvent ciblés. Environ 27 % des PDG ont été visés par au moins une attaque informatique.

smishing

ou d'hameçonnage, les directeurs financiers étant le deuxième poste le plus ciblé avec une fréquence de 17 %.

En outre, si vous travaillez dans des secteurs particuliers, vous pouvez vous attendre à être une cible plus recherchée pour les attaques de phishing qui tentent d'accéder à votre système de l'intérieur ou d'installer un ransomware. Par conséquent, si vous travaillez dans l'une de ces niches, vous devez être conscient des risques potentiels. Pour les personnes qui travaillent dans des institutions financières, des sociétés SaaS et des fournisseurs de services de médias sociaux, le risque semble être le plus élevé.

Le graphique de Statista montre les secteurs d'activité en ligne les plus ciblés par les attaques de phishing au cours du troisième trimestre 2022.

D'où proviennent la plupart des attaques par smishing ?

Il est également utile de savoir d'où proviennent généralement ces attaques. Si vous êtes originaire de ces pays, si vous y passez du temps ou si vous avez des contacts dans ces pays, il est plus probable que vous soyez exposé aux risques. Dans le cas de l'hameçonnage par courrier électronique, les frontières du pays n'ont pas une grande incidence sur la portée de l'attaque, mais dans le cas de l'hameçonnage par SMS, le lieu est extrêmement important en raison de l'aspect d'ingénierie sociale beaucoup plus pertinent. Ainsi, le pirate pourrait tirer profit de la connaissance et/ou de la compréhension de certains événements et sujets d'actualité dans votre pays.

La carte ci-dessous montre d'où viennent la plupart des expéditeurs de phishing.

La carte de Barracuda montre que les deux pays qui comptent le plus d'expéditeurs de phishing (par habitant) sont originaires du Nigeria, de l'Ouzbékistan, des États baltes, de l'Ukraine, de l'Iran, du Yémen, de la Colombie et de quelques autres pays. La région où le phishing est le plus répandu semble être l'actuelle CEI et la région de l'ancienne URSS. L'enquête à l'origine de la publication de la carte a montré qu'un grand nombre de ces attaques proviennent de fournisseurs légitimes de services en nuage. Ils supposent que les pirates peuvent compromettre des serveurs légitimes ou l'hébergement de courriels et infiltrer les systèmes.

Quels sont les pays les plus visés par les attaques de phishing par SMS ?

Savoir d'où proviennent ces attaques est une chose. Savoir quand vous êtes le plus susceptible de devenir une cible en est une autre. Il suffit de regarder les données compilées par Kaspersky, l'un des plus grands développeurs de logiciels antivirus, pour l'année 2021. La carte ci-dessous illustre les attaques de phishing (smishing inclus) dans le monde entier. La carteplus rougePlus le pays est représenté sur la carte, plus l'utilisateur est susceptible d'être la cible d'escroqueries par hameçonnage.

Cette carte indique la probabilité qu'un utilisateur appuie sur un lien envoyé par l'hameçonneur. Le classement est le suivant :

La probabilité qu'un utilisateur suive un lien d'hameçonnage par SMS, e-mail, etc. *Cette liste indique la proportion d'utilisateurs confrontés au phishing par rapport au nombre total d'utilisateurs de Kaspersky dans ce pays/territoire,

Brésil - 12,39
France - 12,21
Portugal - 11,40
Mongolie - 10,98
Réunion française - 10,97
Brunei - 10,89
Madagascar - 10,87
Andorre - 10,79
Australie - 10,74
Équateur - 10,73

Si vous vous trouvez dans l'un de ces pays, soyez très prudent lorsque vous cliquez sur un lien. Les experts en cybersécurité recommandent de résoudre tout problème lié à un compte ou à une banque directement avec l'entreprise (par exemple, par téléphone ou dans ses bureaux). Cela prend un peu plus de temps, mais cela élimine les risques inutiles.

Les attaques de smishing les plus connues de l'histoire (Exemples de smishing)

Au cours de la dernière décennie, avec l'augmentation rapide de l'utilisation des smartphones, les gens ont commencé à connaître

Qu'est-ce que le smishing ?

Le Smishing est une forme d'escroquerie qui peut frapper n'importe qui, n'importe où et n'importe quand, et qui peut vous affecter. Cependant, comme les escroqueries deviennent de plus en plus sophistiquées et que les gens ne reconnaissent toujours que les menaces sont réelles et répandues, il y a toujours des situations où ce ne sont pas des dizaines, ni des centaines, mais des milliers de personnes qui sont victimes d'escroqueries par smishing. Prenons quelques exemples dans l'histoire.

Fuite de Twilio

En août 2022, Twilio, l'un des principaux fournisseurs de solutions de communication et d'API dans le nuage, qui soutient plus de 150 000 entreprises dans le monde entier, a confirmé avoir été victime d'une énorme violation de données.

Les données compromises comprenaient des informations personnelles - noms, numéros de téléphone, adresses électroniques et parfois même des données financières. Les hameçonneurs par SMS ont eu recours à l'ingénierie sociale et ont utilisé des messages frauduleux pour tromper les employés de Twilio et accéder à leur base de données. Il s'agit d'une attaque très bien organisée qui a causé des dommages considérables et qui n'a pas pu être remontée jusqu'aux acteurs malveillants, mais qui a finalement été stoppée.

Pour en savoir plus.

Faux enquêteur de fraude dans l'Ohio

Pour une habitante de l'Ohio, la journée avait commencé normalement, mais elle a reçu un message qui l'a fait paniquer presque instantanément. Voici ce qu'il disait.

"Chase, avez-vous tenté d'effectuer un virement d'un montant de 7500 $ ? Répondez Y si reconnu, ou NO pour arrêter la fraude."

De fil en aiguille, un homme qui s'est fait passer pour un enquêteur de la Chase Bank a fini par voler 15 000 USD sur les comptes bancaires de la jeune femme. Elle n'est pas la seule dans ce cas, puisque les Américains perdraient plus de 326 millions de dollars par an rien qu'en raison d'escroqueries par smishing. Selon une autre source (CBS News), la perte médiane pour un Américain est d'environ 1 000 USD. A suivre !

Pour en savoir plus.

Escroqueries du NHS

Au Royaume-Uni, surtout pendant et après la pandémie, les escroqueries par SMS se multiplient. La situation s'est tellement aggravée que le NHS a publié des documents distincts pour aider les gens à éviter ces attaques. L'image ci-dessous illustre les attaques les plus courantes auxquelles les citoyens britanniques et d'Irlande du Nord doivent faire face.

Guide pour identifier une attaque de phishing par SMS

Ainsi, comme vous le savez

Définition du smishing

et le

sens

Après avoir présenté la signification du terme, ainsi que quelques exemples d'attaques réelles, il est temps de donner quelques conseils pour identifier cette attaque. Bien que les pirates informatiques trouvent toujours de nouveaux moyens d'exploiter les systèmes à leur profit, certains éléments peuvent indiquer qu'il s'agit d'une escroquerie et qu'elle n'est pas légitime. Si vous avez au moins 0,00001 % de doutes, prenez le temps de contacter directement la source officielle pour obtenir une confirmation. Mieux vaut prévenir que guérir et 1000 USD de moins, n'est-ce pas ?

Une liste de 6 signes indiquant que le SMS pourrait être une attaque de Smishing :

Il provient de votre prestataire de services financiers (soyez toujours sur vos gardes)
Il vous incite à répondre ou à agir
Il contient un lien (la plupart des fournisseurs de services vous invitent seulement à vous connecter séparément via une application ou un site web, mais n'envoient pas de liens directs).
Il contient des erreurs grammaticales et/ou des demandes étranges
Vous êtes déjà un client régulier, mais les coordonnées de l'expéditeur du message semblent différentes et/ou le message apparaît comme une nouvelle conversation.
C'est vague et inattendu

Comment envoyer des messages en toute sécurité et éviter le Smishing ?

Si vous souhaitez vous protéger contre les risques de smishing, nous vous recommandons d'abandonner les SMS ordinaires au profit de services de messagerie cryptée E2E tels que Skyda. Vous ne recevrez que des messages provenant de contacts que vous connaissez, que vous acceptez et en qui vous avez confiance. Les fichiers sont envoyés en P2P et personne ne peut intercepter le contenu de vos communications.

En cliquant sur des fichiers et des liens provenant de sources auxquelles vous faites confiance, vous pouvez mieux protéger votre appareil et vos données personnelles contre le smishing.

Conclusions

Nous espérons que cet article vous a aidé à vous familiariser avec le concept, les risques et l'anatomie des attaques de phishing par SMS. En connaissant l'histoire, les origines, les exemples réels et les données géographiques, vous pouvez ignorer les escroqueries et être beaucoup plus conscient des risques encourus. Si vous souhaitez en savoir plus sur la protection de la vie privée, la cybersécurité et d'autres sujets connexes, consultez nos autres articles sur la protection de la vie privée et la cybersécurité.blogs!