Définition du smishing
Le smishing est une cyber-attaque qui utilise des SMS mensongers pour tromper les victimes. L'objectif est de vous faire croire qu'un message est arrivé d'une personne ou d'une organisation de confiance, puis de vous convaincre de prendre des mesures qui donnent à l'attaquant des informations exploitables (comme les identifiants de connexion à un compte bancaire, par exemple) ou l'accès à votre appareil mobile.
Le smishing est une variante, centrée sur les SMS, des escroqueries de phishing par courrier électronique qui existent depuis les années 1990. Mais les gens sont souvent moins attentifs aux messages suspects sur leur téléphone que sur leur ordinateur : ils sont plus susceptibles d'ouvrir un message texte potentiellement suspect qu'un message électronique, et leurs appareils personnels n'offrent généralement pas le type de sécurité disponible sur les PC d'entreprise. Cette nouvelle approche pernicieuse d'une vieille ruse se répand de plus en plus.
Phishing vs. smishing vs. vishing : quelle est la différence ?
Avant de nous plonger dans les détails, prenons un moment pour comprendre la terminologie de ces techniques d'attaque apparentées. L'hameçonnage est le grand-père de toutes ces techniques, et nous disposons d'une explication complète avec tous les détails, mais en substance, il s'agit d'envoyer des messages électroniques ciblés à des destinataires factices. "Phish" se prononce comme il est orthographié, c'est-à-dire comme le mot "poisson" - l'analogie est celle d'un pêcheur lançant un hameçon avec un appât (le courriel de phishing) et espère que vous mordiez. Le terme est apparu au milieu des années 1990 chez les pirates informatiques qui voulaient tromper les utilisateurs d'AOL en leur faisant divulguer leurs informations de connexion. Le "ph" fait partie d'une tradition de piratage fantaisiste, et a probablement été influencé par le terme "phreaking", abréviation de "phreaking téléphonique", une forme de piratage qui consistait à jouer des sons dans les combinés téléphoniques pour obtenir des appels gratuits.
Le smishing est, essentiellement, un hameçonnage par SMS. Le mot est un mélange de "phishing" et de "SMS", ce dernier étant le protocole utilisé par la plupart des services de messagerie texte par téléphone. En raison de cette étymologie, vous verrez parfois le mot écrit "SMiShing", bien que cela soit de plus en plus rare ; les gens incluent également les tentatives d'escroquerie via des services de texte non-SMS, comme WeChat ou iMessage d'Apple, par le terme de smishing. Le terme existe depuis au moins la fin des années 2000, bien que l'omniprésence des smartphones à l'ère moderne en ait fait un vecteur d'attaque plus tentant pour les pirates.
Le "Vishing" est un type d'attaque similaire qui utilise des appels vocaux au lieu de courriels ou de textes ; le mot est un mélange de "voix" et de "phishing".
Exemples d'attaques de Smishing
Jusqu'à présent, nous avons parlé en termes quelque peu théoriques. Mais quels sont les exemples concrets de la façon dont le smishing fonctionne en pratique ? En d'autres termes : Que faut-il surveiller ?
Nous pouvons répartir les attaques de smishing en trois grandes catégories.
Les tentatives de vous piéger pour vous faire révéler vos identifiants. Les Smishers peuvent essayer de vous convaincre de leurs donner un nom d'utilisateur/mot de passe combiné ou d'autres informations confidentielles afin qu'ils puissent se connecter à l'un de vos comptes en ligne. Et comme les banques sont, selon la phrase légendaire attribuée au braqueur Willie Sutton, "là où est l'argent", le smishing bancaire est l'un des types d'attaques les plus lucratifs et les plus courants de cette catégorie.
Le site technologique britannique Which? donne un bon aperçu de ce à quoi ressemble une attaque typique de smishing bancaire. L'un des paradoxes de ce type d'attaque est que les smishers jouent sur vos craintes de piratage afin de pirater votre compte. Ils vous envoient des SMS en prétendant être de votre banque, vous "avertissent" d'un virement important ou de l'ajout d'un nouveau bénéficiaire, et vous donnent un numéro à appeler ou un lien sur lequel cliquer pour bloquer cet accès potentiellement non autorisé à votre compte. En réalité, bien sûr, le virement ou le nouveau bénéficiaire n'existe pas ; le lien vous envoie vers un site web frauduleux qui ressemble à celui de votre banque et vous demande votre nom d'utilisateur et votre mot de passe, ainsi que le numéro de téléphone qui vous met en relation avec les escrocs, qui tenteront de vous soutirer le même genre d'informations. Une fois qu'ils sont en possession de ces informations, ils peuvent se connecter à votre compte bancaire et le voler.
La fraude bancaire est souvent un succès pour plusieurs raisons. La première est que de nombreuses banques disposent de services qui vous envoient des SMS pour vous signaler toute activité suspecte sur votre compte. Il est important de garder à l'esprit que les messages légitimes doivent contenir des informations prouvant que la banque sait déjà qui vous êtes : ils peuvent inclure les derniers chiffres de votre carte de crédit ou de votre numéro de compte bancaire, par exemple. Les références vagues à "votre compte" sans aucun détail doivent être considérées avec suspicion. Elles ne comportent généralement pas non plus de lien direct vers le site web d'une banque. La coopérative de crédit du comté d'Orange a un bon guide sur ce que vous devez voir dans un SMS légitime d'une banque. Si vous n'êtes pas sûr d'un tel message, vous devez vous connecter à votre compte via votre navigateur ou votre application sans suivre le lien qui vous a été envoyé dans un SMS.
Un autre facteur qui peut inciter une victime à la complaisance : de nombreux smishers utilisent des techniques d'usurpation de SMS qui déguisent le numéro de téléphone ou le code court d'où semble provenir un SMS. Il est relativement facile d'envoyer un SMS qui semble provenir d'un autre numéro, et il existe en fait de nombreuses raisons légitimes de le faire : si vous avez déjà utilisé iMessage ou un outil similaire pour envoyer un SMS depuis votre ordinateur portable, vous vous êtes vous-même livré à l'usurpation de SMS. Mais si un agresseur utilise l'usurpation d'identité par SMS pour faire croire que ses SMS frauduleux proviennent de votre banque, votre téléphone les regroupera automatiquement avec les vrais SMS que vous avez déjà reçus de cette institution, ce qui les fera paraître plus légitimes.
Les tentatives pour vous inciter à télécharger des logiciels malveillants. Ce type d'attaque correspond à l'un des principaux objectifs du phishing par courrier électronique, bien que les techniques soient adaptées aux utilisateurs et à la technologie mobiles. Par exemple, une escroquerie de smishing qui a fait des ravages en République tchèque a convaincu les utilisateurs de télécharger une application qui prétendait provenir du service postal de ce pays ; en réalité, il s'agissait d'un cheval de Troie qui pouvait récolter les informations relatives aux cartes de crédit saisies dans d'autres applications sur le téléphone.
En général, ce type d'attaque est plus rare lorsqu'elle est menée par texte que par e-mail, car les smartphones rendent l'installation d'applications plus difficile, les iPhones et de nombreux téléphones Android ne permettant le fonctionnement que d'applications signées et vérifiées provenant d'app stores. Mais il est toujours possible de mettre des applications en arrière-plan, en particulier sur Android, et vous devez donc être extrêmement méfiant à l'égard de toute personne qui tente de vous faire installer une application par SMS.
Les tentatives qui consistent à vous piéger pour que vous envoyiez de l'argent à quelqu'un. Cette version du smishing est plus le domaine de l'escroc que celui de l'expert en technologie, mais c'est quand même un vrai problème, surtout quand il s'agit de personnes moins expérimentées en technologie qui n'utilisent pas beaucoup le courrier électronique et qui n'ont jamais été à l'abri des messages électroniques des princes nigériens qui tentent d'accéder à de l'argent planqué sur des comptes bancaires à l'étranger. Les smishers s'efforceront de trouver des moyens de vous amener à leur faire confiance. Lors d'une attaque, une femme du Tennessee a reçu des SMS qu'elle pensait provenir d'amis personnels (les noms avaient probablement été récoltés sur Facebook) et qui lui parlaient d'une subvention gouvernementale à laquelle elle avait droit. En réalité, il s'agissait d'une escroquerie classique de "frais anticipés" : la victime s'est fait expliquer qu'elle devait payer quelques centaines de dollars d'avance pour des "taxes" afin d'obtenir de l'argent.
Alors que ces escroqueries jouent sur le désespoir ou la cupidité de la victime, certaines adoptent l'approche inverse, en exploitant leur générosité. Un groupe d'escrocs a envoyé des SMS à des victimes en Louisiane, en se faisant passer pour un membre du clergé dans une église locale, pour collecter de l'argent pour une œuvre de charité ; en réalité, ils ont simplement empoché l'argent.
Les effets du smishing :
Ces exemples devraient vous donner une idée des effets du smishing : les attaquants peuvent voler votre compte bancaire, installer sur votre téléphone des logiciels malveillants qui accèdent à vos finances ou à vos informations de localisation, ou vous inciter à dépenser inutilement de l'argent. Dans un contexte plus général, ces attaques par smishing font qu'il est plus difficile pour les institutions bancaires ou autres de communiquer en toute confiance avec leurs clients par SMS, qui est l'une des plateformes de communication les plus universelles utilisées aujourd'hui.
Des statistiques qui en disent long
Il y a une statistique qui ne concerne pas spécifiquement le smishing, mais qui explique pourquoi les agresseurs mettent tant d'efforts à développer ces arnaques : 98 % des SMS sont lus et 45 % reçoivent une réponse, tandis que les chiffres équivalents pour les courriels sont de 20 % et 6 %, respectivement. Les utilisateurs étant de plus en plus submergés par des courriels constants et se méfiant du spam, les SMS sont devenus un vecteur d'attaque plus attrayant, exploitant les liens plus intimes que nous entretenons avec nos téléphones.
Si le smishing n'est pas encore partout, c'est certainement plus qu'une nouveauté à ce stade : selon l'indice de sécurité mobile 2020 de Verizon, 15 % des utilisateurs en entreprise ont reçu un lien smishing au troisième trimestre 2019. Le rapport 2020 State of the Phish de Proofpoint indique que 84 % des organisations interrogées ont été confrontées à des attaques de type smishing. Et 30 % des sondés par Proofpoint connaissaient le terme "smishing" - ce qui peut sembler peu, mais c'est une augmentation par rapport aux 25 % de l'année précédente.
Comment éviter le smishing
Il y a une autre statistique du rapport de Proofpoint que nous voulons aborder, et elle va au cœur de la manière dont les entreprises peuvent aider à déjouer les attaques de smishing : seulement 25 % des organisations interrogées (et seulement 17 % aux États-Unis) effectuent des simulations de smishing ou de vishing pour aider à former le personnel à reconnaître et à réagir de manière appropriée à ces attaques. Dans les organisations qui effectuent ces simulations, le taux d'échec est de 6 % - ce qui n'est pas catastrophique, mais ce n'est pas non plus très élevé.
Ces types de simulations sont l'un des meilleurs moyens pour les entreprises de former leurs employés à éviter d'être victimes d'attaques. Elles doivent faire partie de votre programme de formation continue en matière de sécurité, au même titre que les simulations d'hameçonnage et d'hameçonnage vocal. Les simulations d'attaques par hameçonnage peuvent vous aider à cibler vos efforts de formation, en indiquant clairement si une formation supplémentaire est nécessaire et quels utilisateurs sont particulièrement vulnérables.
Mais si votre employeur n'organise pas de simulations ou de programmes de formation, vous pouvez quand même vous former pour résister aux attaques par hameçonnage. Zipwhip vous donne quelques conseils de bon sens :
Méfiez-vous des textes utilisant un langage non naturel ou non grammatical
Méfiez-vous des offres qui semblent trop belles pour être vraies
Ne cliquez pas sur les liens intégrés ou ne téléchargez pas d'applications directement à partir d'un message texte
L'IRS et l'administration de la sécurité sociale ne communiquent pas par texte
CSO a également des conseils pour éviter les escroqueries de phishing, dont la plupart s'appliquent également au smishing.
Smishing et la FTC
La Commission fédérale du commerce des États-Unis dispose de ressources pour aider à lutter contre le smishing. La FTC dispose d'une page contenant des conseils pour éviter ces escroqueries. Si vous pensez avoir été victime d'une telle escroquerie, vous pouvez utiliser le site de l'agence pour déposer une plainte et aider à attraper les auteurs. Mais nous espérons que les conseils donnés sur cette page vous aideront à garder une longueur d'avance sur les fraudeurs.
source :
https://www.csoonline.com/article/3538831/what-is-smishing-how-phishing-via-text-message-works.html