Sciences et Techno

Le smishing, ou hameçonnage par SMS : c’est quoi et comment s’en protéger ?

© Getty Images

Ce lundi, trois hommes passent devant le tribunal correctionnel de Liège pour répondre d’une importante affaire de fraude aux SMS : ils auraient extorqué près de 2 millions d’euros à plus de 160 victimes, dont certaines liégeoises.

Cette technique de fraude est appelée le "smishing", de la contraction des mots SMS et phishing*, soit l’extorsion de données personnelles, confidentielles via les SMS. Au lieu de casser les sécurités informatiques entourant ces données, les criminels vont passer par les failles humaines afin de les obtenir.

Fraude psychologique

Les techniques les plus courantes de phishing (ou hameçonnage en français) passent par des emails, réseaux sociaux, appels téléphoniques ou SMS. 2020 fut l’année où le phishing a connu un bond en Belgique, avec trois fois plus de PV rédigés qu’en 2019, notamment à cause de la crise de coronavirus. En moyenne, 700 signalements de phishing sont enregistrés par la police.

Les cybercriminels utilisent la technique de fraude psychologique, soit une manipulation psychologique à des fins d’escroquerie (on l’appelle aussi ingénierie sociale dans le milieu de la cybersécurité). L’objectif est de jouer sur certains instincts humains, comme la peur, l’envie, ou de créer un lien de confiance, afin de soutirer des informations. Les auteurs profitent aussi de certains événements qui peuvent jouer en leur faveur : des états de stress et d’anxiété de la crise covid, par exemple, sont le terreau fertile à des phishings jouant sur la peur.

Extrait de notre 19h30 de ce lundi 07 février :

Faux lien, maliciel, demande de rappel téléphonique

L’hameçonnage par SMS est une pratique très répandue, les taux de lecture et de réponse à un SMS étant beaucoup plus élevés que pour un mail. Depuis que les smartphones sont devenus la norme, les techniques de vol de données par SMS se sont diversifiées.

  • Le faux lien

Le SMS comporte un lien sur lequel le destinataire est invité à cliquer, souvent au nom d’une entreprise : livraison d’un colis, mettre à jour son profil, participer à un concours, etc. D’autres types de messages informent d’un danger, comme un compte bancaire piraté, un service désactivé, etc.

  • L’attaque par maliciel (malware)

Dans ce cas, le lien renvoie vers un fichier exécutable, soit un programme qui va s’installer sur le smartphone et récupérer certaines données, comme les mots de passe, liste de contacts, informations bancaires et autres.

  • La demande d’appel/de réponse

Une autre technique est de demander la personne à rappeler l’expéditeur du message, qui se fait passer pour une organisation publique ou autre, en prétextant un sentiment d’urgence. La personne au bout du fil va alors se montrer rassurante, encourageant le destinataire à livrer certaines informations. Parfois, il est carrément demandé de répondre directement au SMS avec des informations sensibles, souvent bancaires.

  • La demande d’envoi d’argent

Culpabilité, urgence, peur : les fraudeurs tirent sur plusieurs ficelles pour pousser le destinataire à envoyer de l’argent, le plus rapidement possible, en se faisant passer pour une organisation, voire un ami.

Afin de devenir imbattable dans l’identification de ces tentatives de phishing, le site gouvernemental "Safe On Web" a élaboré un test pédagogique, qui nous apprend à identifier les éléments auxquels être attentifs lorsque l’on reçoit un message/email suspect. Quoi qu’il arrive, ne communiquez jamais vos codes de cartes bancaires, code PIN, mots de passe via SMS ou email.

Loading...

Que faire si on est tombé dans le piège ?

Les fraudes au phishing sont de plus en plus élaborées, avec un langage soigné, et, pour les emails, une mise en page professionnelle. Que faire si on tombe dans le piège d’un SMS, mail ou message d’hameçonnage ? Le SPF économie recommande de :

  • Bloquer immédiatement vos cartes via Card Stop (078 170 170)
  • Prévenir immédiatement votre banque, également afin de leur partager le numéro frauduleux
  • Vous rendre à votre police locale, et transmettre le numéro de procès-verbal à votre banque, et éventuellement, assureur
  • En cas de phishing par email, le transférer à suspect@safeonweb.be et prévenir l’inspection économique via pointdecontact.belgique.be.

*Mot étant lui-même la contraction des termes anglais fishing (pêcher) et phreaking (piratage des systèmes téléphoniques), qui lui-même est une contraction des mots phone (téléphone) et freak (personne marginale).

Sur le même sujet

SIM SWAP : la nouvelle arnaque à la carte SIM de cybercriminels qui peut vous coûter cher

Belgique

L’app Safeonweb, une arme de plus contre les escrocs du web

Le 6/8

Articles recommandés pour vous