Le smishing est une attaque d'ingénierie sociale qui utilise de faux SMS pour inciter les gens à télécharger des logiciels malveillants, à partager des informations sensibles ou à envoyer de l'argent aux cybercriminels. Le terme « smishing » est une combinaison de « SMS » (Short Message Service, la technologie derrière les messages texte) et de « phishing » (hameçonnage).
Le smishing est une forme de cybercriminalité de plus en plus populaire. Selon le rapport Proofpoint de 2023, State of the Phish (lien externe à ibm.com), 76 % des organisations ont subi des attaques par smishing en 2022.
Plusieurs facteurs ont contribué à la hausse du smishing. D'une part, les pirates informatiques qui commettent ces attaques, parfois appelés des « smishers », savent que les victimes sont plus susceptibles de cliquer sur des SMS que sur d'autres liens. Dans le même temps, les progrès des filtres antispam ont rendu plus difficile les autres formes d'hameçonnage (e-mails et appels téléphoniques), d'atteindre leurs cibles.
L'augmentation du nombre d'appareils BYOD (bring your own device) et du télétravail a également conduit à la hausse du nombre de personnes utilisant leurs appareils mobiles au travail, permettant aux cybercriminels d'accéder plus facilement aux réseaux de la société par le biais des téléphones portables des employés.
Les attaques par smishing sont similaires à d'autres types d'attaques par hameçonnage, dans lesquelles les escrocs utilisent de faux messages et des liens malveillants pour piéger les gens et leur faire compromettre leurs téléphones cellulaires, leurs comptes bancaires ou leurs données personnelles. La différence principale avec ce type d'attaque, c'est le support utilisé. Dans les attaques par smishing, les escrocs utilisent des applications de SMS ou de messagerie pour mener leurs cybercrimes plutôt que des e-mails ou des appels téléphoniques.
Les escrocs privilégient le smishing par rapport à d'autres types d'attaques par hameçonnage pour diverses raisons. Plus important encore, les recherches montrent que les gens sont plus susceptibles de cliquer sur des liens dans les SMS. Klaviyo signale que les taux de clics de sortie dans les SMS se maintiennent entre 8,9 % et 14,5 % (lien externe à ibm.com). En comparaison, les e-mails ont un taux de clics moyen de seulement 1,33 %, selon Constant Contact (lien externe à ibm.com).
En outre, les escrocs parviennent de plus en plus facilement à masquer l'origine des messages de smishing grâce à des tactiques comme l'usurpation de numéros de téléphone avec des téléphones à usage unique ou l'utilisation d'un logiciel pour envoyer des SMS par e-mail. Il est également plus difficile de repérer les liens dangereux sur les téléphones portables. En effet, sur un ordinateur, les utilisateurs peuvent survoler un lien avec le curseur de la souris pour voir où il mène, mais sur les téléphones intelligents, ils n'ont pas cette option. Les gens sont également habitués à ce que les banques et les marques les contactent par SMS et à recevoir des URL raccourcies dans leurs SMS.
En 2020, la Federal Communications Commission (FCC) a imposé aux entreprises de télécommunications d'adopter le protocole STIR/SHAKEN (lien externe à ibm.com), qui authentifie les appels téléphoniques et qui est désormais à l'origine sur certains téléphones de l'affichage de la mention « escroquerie potentielle » ou « spam potentiel » en cas d'appel provenant d'un numéro suspect. Mais si le protocole STIR/SHAKEN facilite l'identification des appels frauduleux, il n'a pas le même effet sur les SMS, ce qui encourage de nombreux escrocs à se tourner vers les attaques par smishing.
Comme d'autres formes d'ingénierie sociale, la plupart des types d'attaques par smishing s'appuient sur un prétexte, qui consiste à utiliser de fausses histoires pour manipuler les émotions des victimes et les inciter à suivre les directives des escrocs.
Les escrocs peuvent se faire passer pour la banque de la victime et l'avertir d'un problème sur son compte, souvent par le biais d'une fausse notification. Si la victime clique sur le lien, elle est redirigée vers un faux site Web ou une fausse application qui vole des informations financières sensibles telles que des codes PIN, des données d'identification de connexion, des mots de passe et des informations de compte bancaire ou de carte de crédit. En 2018, un groupe d'escrocs (lien externe à ibm.com) a utilisé cette méthode pour voler 100 000 USD aux clients de la Fifth Third Bank.
Les escrocs peuvent se faire passer pour des agents de police, des représentants des impôts ou d'autres fonctionnaires. Ces SMS de smishing font souvent croire à la victime qu'elle doit payer une amende ou qu'elle doit faire quelque chose pour avoir droit à une prestation. Par exemple, en pleine pandémie de COVID-19, la Federal Trade Commission (FTC) a averti le public du danger des attaques par smishing (lien externe à ibm.com) qui proposaient des réductions d'impôts, des tests COVID gratuits et des services similaires. Lorsque les victimes suivaient les liens de ces SMS, les escrocs volaient leur numéro de sécurité sociale et d'autres informations qu'ils pouvaient utiliser pour commettre un vol d'identité.
Les agresseurs informatiques se font passer pour des agents du service clients de marques et d'enseignes de confiance comme Amazon, Microsoft ou même le fournisseur de services sans fil de la victime. Ils leur disent généralement qu'il y a un problème avec le compte de la victime ou une récompense ou un remboursement non réclamé. En règle générale, ces SMS envoient la victime vers un faux site Web qui vole ses numéros de carte de crédit ou ses informations bancaires.
Ces messages de smishing prétendent provenir d'une société d'expédition comme FedEx, UPS ou le service postal des États-Unis. Ils indiquent à la victime qu'un problème est survenu lors de la livraison d'un colis et lui demandent de payer des « frais de livraison » ou de se connecter à son compte pour corriger le problème. Bien entendu, les escrocs prennent l'argent ou les informations de compte et s'enfuient avec. Ces escroqueries sont courantes pendant les fêtes lorsque beaucoup de gens attendent des colis.
Dans la compromission des SMS professionnels (similaire à la compromission des e-mails professionnels, sauf qu'il s'agit de SMS), les pirates informatiques se font passer pour un patron, un collaborateur ou un collègue (par exemple, un fournisseur, un avocat) qui a besoin d'aide pour une tâche urgente. Ces escroqueries nécessitent souvent une action immédiate de la part de la victime qui finit par envoyer de l'argent aux pirates informatiques.
Les escrocs envoient un SMS qui semble être destiné à une personne autre que la victime. Lorsque la victime corrige « l'erreur » de l'escroc, ce dernier engage la conversation avec elle. Ces escroqueries au faux numéro ont tendance à s'inscrire dans la durée, l'escroc essayant de gagner l'amitié et la confiance de la victime par des contacts répétés pendant des mois, voire des années. L'escroc peut même faire croire qu'il développe des sentiments romantiques pour la victime. L'objectif est de voler l'argent de la victime par le biais d'une fausse opportunité d'investissement, d'une demande de prêt ou d'une histoire similaire.
Dans cette escroquerie, appelée fraude à l'authentification multifacteur (MFA), un pirate informatique qui dispose déjà du nom d'utilisateur et du mot de passe de la victime essaie de voler le code de vérification ou le mot de passe à utilisation unique requis pour accéder au compte de la victime. Le pirate informatique peut se faire passer pour l'un des amis de la victime, lui faire croire que son compte Instagram ou Facebook est bloqué, et lui demander de recevoir un code pour lui. La victime obtient un code MFA, qui est en fait celui de son propre compte, et le donne au pirate informatique.
Certaines escroqueries par smishing incitent les victimes à télécharger des applications apparemment légitimes, par exemple des gestionnaires de fichiers, des applications de paiement numérique ou même des applications antivirus, qui sont en fait des logiciels malveillants ou des ransomwares.
L'hameçonnage est un terme générique qui désigne les cyberattaques faisant appel à l'ingénierie sociale pour inciter les victimes à payer de l'argent, à transmettre des informations sensibles ou à télécharger des logiciels malveillants. Le smishing et le vishing ne sont que deux types d'attaques par hameçonnage que les pirates informatiques peuvent utiliser sur leurs victimes.
La principale différence entre les différents types d'attaques par hameçonnage est le support utilisé pour les exécuter. Dans les attaques par smishing, les pirates informatiques ciblent leurs victimes exclusivement par le biais de messages texte ou SMS, alors que dans les attaques par vishing (abréviation de « voice phishing » ou hameçonnage par téléphone), les pirates informatiques utilisent la communication vocale, comme les appels téléphoniques et les messages vocaux, pour se faire passer pour des organisations légitimes et manipuler les victimes.
De nombreux experts en cybersécurité pensent que le smishing sera de plus en plus courant dans les années à venir. Lucia Milică, RSSI chez Proofpoint (lien externe à ibm.com), pense que des outils de smishing apparaîtront sur les sites de vente de logiciels malveillants, permettant ainsi à des escrocs moins avertis d'envoyer des SMS malveillants.
Gartner prédit (lien externe à ibm.com) une augmentation des tentatives d'hameçonnage « multicanal » combinant SMS, e-mails, appels téléphoniques et autres canaux de communication. Par exemple, Lazarus Group, un gang de pirates informatiques soutenu par la Corée du Nord, est connu pour utiliser des tactiques multicanales. Le groupe a utilisé de faux profils LinkedIn pour se faire passer pour des recruteurs dans le domaine des échanges de cryptomonnaies (lien externe à ibm.com).Il contactait les victimes en prétextant vouloir discuter de possibilités d'emploi, puis il transférait les conversations de LinkedIn dans des SMS ou sur WhatsApp, où les victimes étaient incitées à télécharger des chevaux de Troie ou d'autres logiciels malveillants.
La FCC (lien externe à ibm.com) envisage de faire appliquer une règle obligeant les fournisseurs de services sans fil à bloquer les SMS de spam. En attendant, les individus et les entreprises peuvent prendre des mesures essentielles pour se protéger :
Solutions de cybersécurité pour appareils mobiles : Les systèmes d'exploitation Android et iOS disposent de protections et de fonctionnalités intégrées, comme le blocage des applications non approuvées et le filtrage des SMS suspects dans un dossier spam. Au niveau organisationnel, les sociétés peuvent utiliser des solutions de gestion unifiée des terminaux (UEM) pour définir des contrôles et des politiques de sécurité mobiles.
Formation de sensibilisation à la sécurité : Former les utilisateurs à reconnaître les signes d'avertissement des cyberattaques et des tentatives de smishing (comme des numéros de téléphone inhabituels, des URL inattendues et un sentiment d'urgence) peut aider une organisation à se protéger. La formation peut également définir des règles pour la gestion des données sensibles, l'autorisation des paiements et la vérification des demandes avant toute réponse.
Bloquez les menaces de sécurité mobile sur n'importe quel appareil tout en créant des expériences fluides pour les utilisateurs et en préservant l'efficacité des équipes informatiques et de sécurité.
Détectez les ransomwares avant qu'ils ne prennent vos données en otage et prenez des mesures immédiates et éclairées pour prévenir ou minimiser les effets de l'attaque grâce à IBM Security® QRadar® SIEM.
Améliorez l'investigation et le triage des alertes avec IBM Security QRadar Suite, une sélection modernisée de technologies de sécurité offrant une expérience unifiée pour les analyses, ainsi qu'une IA et une automatisation intégrées.
Les escroqueries par hameçonnage incitent les victimes à divulguer des données sensibles, à télécharger des logiciels malveillants et à exposer leur organisation à la cybercriminalité.
Les attaques d'ingénierie sociale s'appuient sur la nature humaine plutôt que sur le piratage technique pour manipuler les personnes afin de compromettre leur sécurité personnelle ou la sécurité d'un réseau d'entreprise.
Découvrez ce qu'est la sécurité mobile, son importante et son fonctionnement.