Le smishing est une attaque d'ingénierie sociale qui utilise de faux SMS pour inciter les gens à télécharger des logiciels malveillants, à partager des informations sensibles ou à envoyer de l'argent à des cybercriminels. Le terme « smishing » est une combinaison de « SMS » – pour « Short Message Service », la technologie qui se cache derrière les SMS – et de « phishing ».

Le smishing est un cybercrime en plein essor. Selon le rapport State of the Phish 2022 de Proofpoint (lien externe à ibm.com), 74 % des organisations ont subi des attaques de smishing en 2021, soit une augmentation de 13 % par rapport à 2020. 

Plusieurs facteurs différents alimentent ces escroqueries. 

Les pirates savent que les gens sont plus susceptibles de cliquer sur les liens qu'ils reçoivent par SMS. Grâce aux progrès des filtres anti-spam, les e-mails et les appels téléphoniques de phishing ont plus de mal à atteindre leurs cibles. En outre, les dispositions BYOD (bring your own device) et le travail à distance ont conduit un plus grand nombre de personnes à utiliser leurs appareils mobiles au travail. Cela signifie que les cybercriminels peuvent désormais accéder aux réseaux des entreprises par le biais des téléphones portables personnels des employés.

Les attaques de smishing sont similaires aux autres types d'attaques de phishing. Les escrocs utilisent de faux messages et des liens malveillants pour inciter les gens à compromettre leurs téléphones portables, leurs comptes bancaires ou leurs données personnelles. La différence réside dans le fait que le smishing s'effectue par le biais de SMS ou d'applications de messagerie plutôt que par des e-mails ou des appels téléphoniques.

Les SMS offrent aux escrocs certains avantages par rapport aux e-mails. Les gens sont habitués à ce que les banques et les marques les contactent par SMS. Les gens sont également plus enclins à cliquer sur les liens dans les SMS. Les e-mails ont un taux de clic moyen de 1,33 % selon Constant Contact (lien externe à ibm.com). D'autre part, Klaviyo indique que les taux de clics sur les SMS oscillent entre 8,9 % et 14,5 % (lien externe à ibm.com).

Sur le plan technique, les escrocs peuvent facilement masquer l'origine des messages de smishing. Ils peuvent usurper des numéros de téléphone, utiliser des téléphones jetables ou des logiciels pour envoyer des SMS par e-mail. Il est également plus difficile de repérer les liens dangereux sur les téléphones portables. Sur un ordinateur, les utilisateurs peuvent survoler un lien pour voir où il mène réellement. Les smartphones n'ont pas cette option. De plus, les gens ont l'habitude de voir des URL raccourcies dans les SMS en provenance de vraies marques.

En 2020, la Federal Communications Commission (FCC) a mandaté les entreprises de télécommunications d'adopter le protocole STIR/SHAKEN (lien externe à ibm.com). STIR/SHAKEN authentifie les appels téléphoniques. C'est la raison pour laquelle certains téléphones portables affichent désormais des messages comme « arnaque potentielle » ou « spam entrant » lors des appels suspects. STIR/SHAKEN a rendu les appels frauduleux plus faciles à repérer, mais les SMS ne sont pas concernés. C'est pourquoi de nombreux escrocs se sont tournés vers les attaques par hameçonnage.

Comme d'autres formes d'ingénierie sociale, les attaques par smishing reposent sur des faux-semblants. Le faux-semblant consiste à utiliser de fausses histoires pour jouer sur les émotions des victimes et les inciter à se plier à l'offre d'un escroc. Voici quelques faux-semblants courants en matière de smishing :

• Se faire passer pour une institution financière : les escrocs peuvent se faire passer pour la banque de la victime et l'avertir d'un problème sur son compte. Si la victime suit le lien, elle est amenée sur un faux site Web ou une fausse application qui vole des informations financières sensibles telles que les codes PIN, les mots de passe et les numéros de compte bancaire ou de carte de crédit. En 2018, un groupe d'escrocs  (lien externe à ibm.com) a utilisé cette méthode pour voler 100 000 USD aux clients de Fifth Third Bank.

• Se faire passer pour le gouvernement : les escrocs peuvent se faire passer pour des agents de police, des représentants du fisc ou d'autres fonctionnaires. Ces SMS d'hameçonnage prétendent souvent que la victime doit payer une amende ou qu'elle doit agir pour bénéficier de prestations sociales. Par exemple, au plus fort de la pandémie de COVID-19, la Federal Trade Commission (FTC) a mis en garde contre les attaques par smishing (lien externe à ibm.com) qui proposaient des allégements fiscaux, des tests COVID gratuits et des services similaires. Lorsque les victimes ont suivi les liens contenus dans ces SMS, les escrocs leur ont volé leurs numéros de sécurité sociale et d'autres informations qu'ils ont pu utiliser pour commettre une usurpation d'identité. 

• Se faire passer pour un service clientèle :  les attaquants se font passer pour des agents du service clientèle de marques de confiance comme Amazon, Microsoft ou même le fournisseur de téléphonie sans-fil de la victime. Ils annoncent généralement que le compte de la victime présente un problème, voire une récompense ou un remboursement non réclamés. En général, ces SMS renvoient la victime vers un faux site Web qui lui vole ses informations bancaires ou de carte de crédit.

• Arnaques aux envois de colis : ces messages de smishing prétendent provenir d'une société de transport comme FedEx, UPS ou les services postaux américains. Ils annoncent au destinataire un problème de livraison de colis. La victime est invitée à payer des « frais de livraison » ou à se connecter à son compte pour corriger le problème. Bien entendu, les escrocs prennent l'argent ou les informations sur le compte et ne donnent plus de nouvelles. Ces escroqueries par SMS sont courantes pendant les fêtes, où de nombreuses personnes attendent des colis. 

• Les escroqueries de compromission de SMS professionnels : comme pour les escroqueries de compromission d'e-mails professionnels, les pirates se font passer pour le patron d'une personne qui a besoin d'aide pour une tâche urgente. La différence est que les escrocs utilisent des messages SMS pour cette version de l'attaque. La plupart du temps, ces escroqueries se terminent par l'envoi d'argent aux pirates par la victime.

• Arnaques au mauvais numéro : les escrocs envoient un SMS en faisant semblant de s'être trompé de numéro. Lorsque la victime signale à l'escroc qu'il a commis une « erreur », ce dernier engage la conversation sous prétexte de vouloir nouer une amitié avec la victime. Il s'agit généralement d'une escroquerie à long terme car l'escroc essaye de gagner la confiance de la victime par des contacts répétés pendant des mois ou des années. L'escroc peut même prétendre avoir développé des sentiments amoureux pour la victime. L'objectif est d'extorquer de l'argent à la victime par le biais d'une fausse opportunité d'investissement, d'une demande de prêt ou d'une histoire similaire.

• Fraude à l'authentification multi-facteur (MFA) : les pirates tentent de voler le code MFA de la victime pour s'introduire dans ses réseaux sociaux, ses e-mails ou son compte bancaire. Dans un scénario de fraude MFA courant, le pirate se fait passer pour l'un des amis de la victime. Il dit avoir bloqué son compte Instagram ou Facebook et a besoin que la victime reçoive un code pour lui. La victime obtient un code MFA – qui est en réalité celui de son propre compte – et le donne au pirate.

• Téléchargement de fausses applications : certaines arnaques par smishing incitent les victimes à télécharger de fausses applications qui sont en réalité des logiciels malveillants ou des rançongiciels. Les logiciels malveillants sont souvent déguisés en gestionnaires de fichiers, en applications antivirus ou en applications de prêt d'argent. Ces applications peuvent sembler légitimes mais capturent secrètement les données sensibles de la victime ou les prennent en otage. 

De nombreux experts en cybersécurité pensent que le smishing va devenir de plus en plus courant dans les années à venir. La directrice des systèmes d'information de Proofpoint, Lucia Milică (lien externe à ibm.com), pense que les outils de smishing apparaîtront sur les marchés de logiciels malveillants, permettant aux escrocs moins avertis techniquement d'envoyer des SMS malveillants.

Gartner prédit (lien externe à ibm.com) la montée en puissance des tentatives de phishing « multicanal » qui combinent SMS, e-mails, appels téléphoniques et autres canaux de communication. Lazarus Group, un gang de pirates soutenu par la Corée du Nord, est connu pour utiliser des tactiques multicanaux. Par exemple, le groupe a utilisé de faux profils LinkedIn pour se faire passer pour des recruteurs de bourses de crypto-monnaies (lien externe à ibm.com). Les pirates contactent les victimes en leur faisant croire qu'ils leurs proposent des offres d'emploi. Les pirates invitent à poursuivre la conversation en dehors de LinkedIn, par SMS ou WhatsApp, où ils incitent leurs victimes à télécharger des chevaux de Troie ou d'autres logiciels malveillants. 

La FCC (lien externe à ibm.com) envisage une règle obligeant les fournisseurs de services sans fil à bloquer les messages de spam. Cependant, les particuliers et les entreprises peuvent également prendre des mesures pour se protéger :

• Solutions de cybersécurité mobile : Les systèmes d'exploitation Android et iOS disposent de protections intégrées, comme le blocage des applications non approuvées et le filtrage des SMS suspects vers un dossier de spam. Au niveau organisationnel, les entreprises peuvent utiliser des solutions de gestion unifiée des terminaux (UEM) pour définir des contrôles et des politiques de sécurité pour les appareils mobiles.

• Formation à la sécurité : Former les personnes à reconnaître les signes avant-coureurs des tentatives de smishing – comme des numéros de téléphone inhabituels, des URL inattendues et un sentiment d'urgence accru – peut aider à protéger une organisation. La formation peut également fixer des règles pour le traitement des données sensibles, l'autorisation des paiements et la vérification des demandes avant d'y donner suite.