Smishing : comment fonctionne-t-il et comment l’éviter ?

27 June 2022

SMS

Le développement de l’usage du mobile et de l’envoi de SMS marketing voit apparaître une nouvelle forme d’arnaque appelée le smishing. Qu’est-ce que cette pratique frauduleuse exactement ? Comment est-ce que cela fonctionne et surtout comment s’en protéger ? Découvrez tout ce qu’il faut savoir sur le smishing dans cet article.

Qu’est-ce que le smishing ?

Le smishing est une pratique criminelle qui consiste à envoyer de faux SMS pour inciter les utilisateurs à divulguer des informations personnelles sensibles, comme des mots de passe ou des coordonnées bancaires par exemple. Le smishing fonctionne sur le même principe que le phishing ou hameçonnage pour les emails. Toutefois, le smishing est plus dangereux, car les utilisateurs sont pour l’instant moins habitués à recevoir des arnaques par SMS. C’est une pratique moins connue et c’est pourquoi nous y sommes dans l’ensemble moins vigilants.

Comment fonctionne le smishing ?

L’utilisateur reçoit un SMS en apparence banal, semblant provenir d’une entité connue comme un établissement bancaire, un opérateur téléphonique, La Poste ou encore une plateforme de streaming comme Netflix par exemple.

Pour piéger leurs destinataires, les escrocs prétextent un problème urgent comme une livraison bloquée, des factures impayées ou encore un compte bancaire bloqué…

Le message paraît authentique et incite le destinataire à régler au plus vite ce problème en cliquant sur un lien. 

Toutefois, il s’agit en réalité d’un lien de téléchargement d’un logiciel malveillant ou bien qui redirige le mobinaute vers un site web infecté. Lorsque l’utilisateur clique sur le lien : 

  • une application peut se télécharger et infecter le téléphone portable ; 
  • le mobinaute peut être redirigé vers un site web en apparence légitime dont le véritable but est d’obtenir des informations importantes.

Généralement, des coordonnées bancaires sont demandées pour pouvoir accéder à l’étape suivante. Dans le cas où le mobinaute « mord à l’hameçon », ses informations bancaires se retrouvent entre les mains des cybercriminels

Voici quelques exemples de smishing courants : 

  • vous recevez un SMS de La Poste vous avertissant que votre colis est bloqué dans un centre de tri et que vous devez payer des frais de port pour qu’il vous parvienne ; 
  • vous recevez un SMS de votre banque vous invitant à télécharger une nouvelle application pour profiter de tous ses nouveaux services ;
  • vous recevez un SMS vous promettant une formation gratuite via votre compte personnel de formation (CPF) ;
  • vous recevez un SMS vous avertissant que votre compte Netflix a été suspendu, car votre moyen de paiement a été supprimé.

Les possibilités sont multiples et les escrocs rivalisent d’imagination pour tenter de piéger le plus grand nombre d’utilisateurs.

À lire aussi : RGPD: Rappels et consentement des clients

Comment reconnaître un SMS frauduleux et comment s’en protéger ?

Pour identifier les faux SMS et ne pas se faire avoir, ne cliquez pas sur le lien reçu par SMS ou ne répondez pas au message lorsque : 

  • le nom de l’expéditeur vous est inconnu ou lorsque vous ne vous souvenez pas avoir donné votre numéro de téléphone à celui-ci ; 
  • le message contient des phrases insistantes de type « Urgent », « Vite » ou encore « Félicitations ! Vous êtes le grand gagnant » ;
  • le numéro de téléphone vous paraît étrange et/ou provient de l’étranger.

Pour ne pas tomber dans le piège, il est important de prendre quelques précautions : 

  • Faites confiance à votre intuition ! En cas de doute, ne cliquez pas sur le lien. Vous pouvez d’abord faire une recherche sur Internet pour savoir si le numéro de l’expéditeur est déjà associé à une arnaque. Ou bien contactez directement l’entreprise dont le nom est utilisé dans le SMS pour avoir plus d’informations.
  • Vérifiez au préalable l’authenticité du site vers lequel pointe le lien reçu par SMS.
  • Installez un logiciel antivirus incluant la fonction anti-phishing, ou une application spécialement développée pour lutter contre le phishing.
  • Utilisez un mot de passe différent pour chaque site et pour chaque application.
  • Optez pour une authentification à deux facteurs partout où vous pouvez. 
  • Ne partagez aucune information dite « sensible » vous concernant par SMS. 

Enfin, si vous pensez qu’un escroc a eu accès à votre compte, contactez immédiatement votre banque ! Celle-ci bloquera votre carte et vous conseillera sur les étapes à suivre pour résoudre la situation au plus vite.

À lire aussi : STOP SMS: Se désabonner des campagnes SMS

Partez à la conquête de vos clients et prospects avec l’envoi de SMS !

Pour aller plus loin :