Qu'est-ce que le smishing (hameçonnage par SMS) ?

Le smishing est une forme de cybercriminalité de plus en plus répandue. Selon le rapport State of the Phish de 2024, 75 % des organisations ont subi des attaques par smishing en 2023.¹

Plusieurs facteurs ont contribué à la hausse du smishing. D'une part, les pirates informatiques qui commettent ces attaques, parfois appelés des « smishers », savent que les victimes sont plus susceptibles de cliquer sur des SMS que sur d'autres liens. Dans le même temps, les progrès des filtres antispam ont rendu plus difficile les autres formes d'hameçonnage (e-mails et appels téléphoniques), d'atteindre leurs cibles. 

L’augmentation du nombre d’appareils BYOD (« bring your own device ») et du télétravail a également conduit à la hausse du nombre de personnes qui utilisent leurs appareils mobiles au travail, ce qui a permis aux cybercriminels d’accéder plus facilement aux réseaux des sociétés par le biais des téléphones portables des employés.

Les attaques par smishing sont similaires à d’autres types d’attaques par hameçonnage : les escrocs utilisent de faux messages et des liens malveillants pour piéger les gens et leur faire compromettre leurs téléphones portables, leurs comptes bancaires ou leurs données personnelles. La différence principale, c’est le support utilisé. Dans les attaques par smishing, les escrocs utilisent des applications de SMS ou de messagerie pour mener leurs cybercrimes plutôt que des e-mails ou des appels téléphoniques.

Les escrocs privilégient le smishing par rapport à d’autres types d’attaques par hameçonnage pour diverses raisons. Les recherches montrent que les gens sont plus susceptibles de cliquer sur des liens dans les SMS. Klaviyo signale que les taux de clics dans les SMS se maintiennent entre 8,9 et 14,5 %.² En comparaison, selon Constant Contact, les e-mails ont un taux de clics moyen de 2 %.³

En outre, les escrocs parviennent de plus en plus facilement à masquer l’origine des messages de smishing grâce à des tactiques comme l’usurpation de numéros de téléphone avec des téléphones à usage unique ou l’utilisation d’un logiciel pour envoyer des SMS par e-mail.

Il est également plus difficile de repérer les liens dangereux sur les téléphones portables. Sur un ordinateur, les utilisateurs peuvent passer la souris sur un lien pour voir où il mène. Sur les smartphones, ils n’ont pas cette possibilité. Les gens sont également habitués à ce que les banques et les marques les contactent par SMS et à recevoir des URL raccourcies dans leurs SMS.

En 2020, la Federal Communications Commission (FCC) a imposé aux entreprises de télécommunications d’adopter le protocole STIR/SHAKEN, qui authentifie les appels téléphoniques et qui, sur certains téléphones, affiche la mention « escroquerie potentielle » ou « spam potentiel » en cas d’appel provenant d’un numéro suspect.

Bien que cette règle ait rendu les appels frauduleux plus faciles à repérer, elle n’a pas eu le même effet sur les SMS, ce qui a conduit de nombreux escrocs à se concentrer sur les attaques par smishing.

Comme d'autres formes d'ingénierie sociale, la plupart des types d'attaques par smishing s'appuient sur un prétexte, qui consiste à utiliser de fausses histoires pour manipuler les émotions des victimes et les inciter à suivre les directives des escrocs.

Les escrocs peuvent se faire passer pour la banque de la victime et l’avertir d’un problème sur son compte, souvent par le biais d’une fausse notification. Si la victime clique sur le lien, elle est redirigée vers un faux site Web ou une fausse application qui vole des informations financières sensibles telles que des codes PIN, des données d'identification de connexion, des mots de passe et des informations de compte bancaire ou de carte de crédit.

Selon la Federal Trade Commission (FTC), l’usurpation d’identité bancaire est l’escroquerie par SMS la plus courante et représente 10 % de tous les messages de smishing.⁴

Les escrocs peuvent se faire passer pour des agents de police, des représentants de l’IRS ou d’autres fonctionnaires qui travaillent pour des agences gouvernementales. Ces SMS de smishing font souvent croire à la victime qu’elle doit payer une amende ou qu’elle doit faire quelque chose pour avoir droit à une prestation.

Par exemple, en avril 2024, le Federal Bureau of Investigation (FBI) a émis une alerte concernant une escroquerie par smishing qui ciblait les conducteurs américains.⁵ Les escrocs envoyaient des SMS en se faisant passer pour des agences de collecte et en prétendant que la cible avait des passages non payés à des péages routiers. Les messages contenaient un lien vers un faux site conçu pour voler de l’argent et des informations aux victimes.

Les attaquants se font passer pour des agents du service client de marques et de détaillants de confiance comme Amazon, Microsoft ou même le fournisseur de téléphonie sans fil de la victime. Ils leur disent généralement qu’il y a un problème avec le compte de la victime ou une récompense ou un remboursement non réclamé. En règle générale, ces SMS envoient la victime vers un faux site web qui vole ses numéros de carte de crédit ou ses informations bancaires.

Ces messages de smishing prétendent provenir d’une société d’expédition comme FedEx, UPS ou le service postal des États-Unis. Ils indiquent à la victime qu’un problème est survenu lors de la livraison d’un colis et lui demandent de payer des « frais de livraison de colis » ou de se connecter à son compte pour corriger le problème. Ensuite, les escrocs prennent l’argent ou les informations du compte et disparaissent. Ces escroqueries sont courantes pendant les fêtes, lorsque beaucoup de gens attendent des colis.

Dans la compromission des SMS professionnels (similaire à la compromission des e-mails professionnels, sauf qu’il s’agit de SMS), les pirates informatiques se font passer pour un patron, un collaborateur, un collègue, un fournisseur ou un avocat qui a besoin d’aide pour une tâche urgente. Ces escroqueries nécessitent souvent une action immédiate de la part de la victime, qui finit par envoyer de l’argent aux pirates informatiques.

Les escrocs envoient un SMS qui semble être destiné à une personne autre que la victime. Lorsque la victime corrige « l'erreur » de l'escroc, ce dernier engage la conversation avec elle.

Ces escroqueries au faux numéro ont tendance à s’inscrire dans la durée, l’escroc essayant de gagner l’amitié et la confiance de la victime par des contacts répétés pendant des mois, voire des années. L’escroc peut même faire semblant de développer des sentiments romantiques pour la victime. L’objectif est de voler l’argent de la victime par le biais d’une fausse opportunité d’investissement, d’une demande de prêt ou d’une histoire similaire.

Dans cette escroquerie, appelée fraude à l'authentification à étapes (MFA), un pirate informatique qui dispose déjà du nom d'utilisateur et du mot de passe de la victime essaie de voler le code de vérification ou le mot de passe à utilisation unique requis pour accéder au compte de la victime.

Le pirate informatique peut se faire passer pour l'un des amis de la victime, lui faire croire que son compte Instagram ou Facebook est bloqué, et lui demander de recevoir un code pour lui. La victime obtient un code MFA, qui est en fait celui de son propre compte, et le donne au pirate informatique.

Certaines escroqueries par smishing incitent les victimes à télécharger des applications apparemment légitimes, par exemple des gestionnaires de fichiers, des applications de paiement numérique ou même des antivirus, qui sont en fait des logiciels malveillants ou des ransomwares.

L’hameçonnage est un terme générique pour les cyberattaques qui font appel à l’ingénierie sociale pour inciter les victimes à payer de l’argent, à transmettre des informations sensibles ou à télécharger des logiciels malveillants. Le smishing et le vishing sont deux types d’attaques par hameçonnage que les pirates informatiques peuvent utiliser sur leurs victimes.

La principale différence entre les types d’attaques par hameçonnage est le support utilisé pour les exécuter. Dans les attaques par smishing, les pirates ciblent leurs victimes à l’aide de SMS ou d’autres types de message texte. Dans les attaques par vishing (abréviation de « voice phishing »), les pirates utilisent la communication vocale comme les appels téléphoniques et les messages vocaux pour se faire passer pour des organisations légitimes et manipuler leurs victimes.

Pour lutter contre les escroqueries par smishing, la Federal Communications Commission (FCC) a adopté une nouvelle règle qui oblige les fournisseurs de services sans fil à bloquer les SMS de spam probables provenant de numéros suspects, y compris des numéros de téléphone inutilisés ou non valides.⁶

Cependant, aucun filtre anti-spam n’est parfait, et les cybercriminels cherchent toujours des moyens de contourner ces mesures. Les particuliers et les organisations peuvent prendre leurs propres mesures supplémentaires pour renforcer leurs défenses contre les attaques par smishing, notamment :

Les systèmes d’exploitation Android et iOS disposent de protections et de fonctions intégrées, comme le blocage des applications non approuvées et le filtrage des SMS suspects dans un dossier spam.

Au niveau organisationnel, les sociétés peuvent utiliser des solutions de gestion unifiée des terminaux (UEM) et des outils de détection des fraudes pour définir des contrôles de sécurité mobile, appliquer des politiques de sécurité et intercepter les activités malveillantes.

Les organisations peuvent éviter les nouvelles escroqueries en formant leurs employés à reconnaître les signes avant-coureurs des cyberattaques et des tentatives de smishing, tels que des numéros de téléphone inhabituels, des expéditeurs inconnus, des URL inattendues et un sentiment d’urgence accru.

De nombreuses organisations utilisent des simulations de smishing pour aider les employés à développer de nouvelles compétences en matière de cybersécurité. Ces simulations peuvent également aider les équipes de sécurité à découvrir les vulnérabilités des systèmes informatiques et des politiques organisationnelles, qui exposent l’entreprise à des escroqueries.

Les organisations peuvent remédier à ces vulnérabilités en combinant des outils de détection des menaces avec des politiques qui régissent la gestion des données sensibles, l’autorisation des paiements et la vérification des demandes avant toute réponse.