Accueil
Thèmes
Smishing
Mise à jour : le 10 juin 2024
Contributeur : Matthew Kosinski
Le smishing est une attaque par ingénierie sociale qui utilise de faux SMS pour inciter les gens à télécharger des logiciels malveillants, à partager des informations sensibles ou à envoyer de l’argent aux cybercriminels. Le terme « smishing » est une combinaison de « SMS » (Short Message Service, la technologie derrière les messages texte) et de « phishing » (hameçonnage).
Le smishing est une forme de cybercriminalité de plus en plus répandue. Selon le rapport State of the Phish de 2024, 75 % des organisations ont subi des attaques par smishing en 2023.1
Plusieurs facteurs ont contribué à la hausse du smishing. D'une part, les pirates informatiques qui commettent ces attaques, parfois appelés des « smishers », savent que les victimes sont plus susceptibles de cliquer sur des SMS que sur d'autres liens. Dans le même temps, les progrès des filtres antispam ont rendu plus difficile les autres formes d'hameçonnage (e-mails et appels téléphoniques), d'atteindre leurs cibles.
L’augmentation du nombre d’appareils BYOD (« bring your own device ») et du télétravail a également conduit à la hausse du nombre de personnes qui utilisent leurs appareils mobiles au travail, ce qui a permis aux cybercriminels d’accéder plus facilement aux réseaux des sociétés par le biais des téléphones portables des employés.
Notre équipe X-Force, composée de pirates, d’enquêteurs, de chercheurs et d’analystes, est à votre disposition pour discuter des problèmes de sécurité propres à votre organisation et de la manière dont nous pouvons vous aider.
Les attaques par smishing sont similaires à d'autres types d'attaques par hameçonnage, dans lesquelles les escrocs utilisent de faux messages et des liens malveillants pour piéger les gens et leur faire compromettre leurs téléphones cellulaires, leurs comptes bancaires ou leurs données personnelles. La différence principale avec ce type d'attaque, c'est le support utilisé. Dans les attaques par smishing, les escrocs utilisent des applications de SMS ou de messagerie pour mener leurs cybercrimes plutôt que des e-mails ou des appels téléphoniques.
Les escrocs privilégient le smishing par rapport à d'autres types d'attaques par hameçonnage pour diverses raisons. Plus important encore, les recherches montrent que les gens sont plus susceptibles de cliquer sur des liens dans les SMS. Klaviyo signale que les taux de clics de sortie dans les SMS se maintiennent entre 8,9 % et 14,5 % (lien externe à ibm.com). En comparaison, les e-mails ont un taux de clics moyen de seulement 1,33 %, selon Constant Contact (lien externe à ibm.com).
En outre, les escrocs parviennent de plus en plus facilement à masquer l'origine des messages de smishing grâce à des tactiques comme l'usurpation de numéros de téléphone avec des téléphones à usage unique ou l'utilisation d'un logiciel pour envoyer des SMS par e-mail. Il est également plus difficile de repérer les liens dangereux sur les téléphones portables. En effet, sur un ordinateur, les utilisateurs peuvent survoler un lien avec le curseur de la souris pour voir où il mène, mais sur les téléphones intelligents, ils n'ont pas cette option. Les gens sont également habitués à ce que les banques et les marques les contactent par SMS et à recevoir des URL raccourcies dans leurs SMS.
En 2020, la Federal Communications Commission (FCC) a imposé aux entreprises de télécommunications d'adopter le protocole STIR/SHAKEN (lien externe à ibm.com), qui authentifie les appels téléphoniques et qui est désormais à l'origine sur certains téléphones de l'affichage de la mention « escroquerie potentielle » ou « spam potentiel » en cas d'appel provenant d'un numéro suspect. Mais si le protocole STIR/SHAKEN facilite l'identification des appels frauduleux, il n'a pas le même effet sur les SMS, ce qui encourage de nombreux escrocs à se tourner vers les attaques par smishing.
Comme d'autres formes d'ingénierie sociale, la plupart des types d'attaques par smishing s'appuient sur un prétexte, qui consiste à utiliser de fausses histoires pour manipuler les émotions des victimes et les inciter à suivre les directives des escrocs.
Les escrocs peuvent se faire passer pour la banque de la victime et l’avertir d’un problème sur son compte, souvent par le biais d’une fausse notification. Si la victime clique sur le lien, elle est redirigée vers un faux site web ou une fausse application qui vole des informations financières sensibles (codes PIN, identifiants de connexion, mots de passe et informations de compte bancaire ou de carte de crédit).
Selon la Federal Trade Commission (FTC), l’usurpation d’identité bancaire est l’escroquerie par SMS la plus courante et représente 10 % de tous les messages de smishing.4
Les escrocs peuvent se faire passer pour des agents de police, des représentants de l’IRS ou d’autres fonctionnaires qui travaillent pour des agences gouvernementales. Ces SMS de smishing font souvent croire à la victime qu’elle doit payer une amende ou qu’elle doit faire quelque chose pour avoir droit à une prestation.
Par exemple, en avril 2024, le Federal Bureau of Investigation (FBI) a émis une alerte concernant une escroquerie par smishing qui ciblait les conducteurs américains.5 Les escrocs envoyaient des SMS en se faisant passer pour des agences de collecte et en prétendant que la cible avait des passages non payés à des péages routiers. Les messages contenaient un lien vers un faux site conçu pour voler de l’argent et des informations aux victimes.
Les attaquants se font passer pour des agents du service client de marques et de détaillants de confiance comme Amazon, Microsoft ou même le fournisseur de téléphonie sans fil de la victime. Ils leur disent généralement qu’il y a un problème avec le compte de la victime ou une récompense ou un remboursement non réclamé. En règle générale, ces SMS envoient la victime vers un faux site web qui vole ses numéros de carte de crédit ou ses informations bancaires.
Ces messages de smishing prétendent provenir d’une société d’expédition comme FedEx, UPS ou le service postal des États-Unis. Ils indiquent à la victime qu’un problème est survenu lors de la livraison d’un colis et lui demandent de payer des « frais de livraison de colis » ou de se connecter à son compte pour corriger le problème. Ensuite, les escrocs prennent l’argent ou les informations du compte et disparaissent. Ces escroqueries sont courantes pendant les fêtes, lorsque beaucoup de gens attendent des colis.
Dans la compromission des SMS professionnels (similaire à la compromission des e-mails professionnels, sauf qu’il s’agit de SMS), les pirates informatiques se font passer pour un patron, un collaborateur, un collègue, un fournisseur ou un avocat qui a besoin d’aide pour une tâche urgente. Ces escroqueries nécessitent souvent une action immédiate de la part de la victime, qui finit par envoyer de l’argent aux pirates informatiques.
Les escrocs envoient un SMS qui semble être destiné à une personne autre que la victime. Lorsque la victime corrige « l'erreur » de l'escroc, ce dernier engage la conversation avec elle.
Ces escroqueries au faux numéro ont tendance à s’inscrire dans la durée, l’escroc essayant de gagner l’amitié et la confiance de la victime par des contacts répétés pendant des mois, voire des années. L’escroc peut même faire semblant de développer des sentiments romantiques pour la victime. L’objectif est de voler l’argent de la victime par le biais d’une fausse opportunité d’investissement, d’une demande de prêt ou d’une histoire similaire.
Dans cette escroquerie, appelée fraude à l'authentification à étapes (MFA), un pirate informatique qui dispose déjà du nom d'utilisateur et du mot de passe de la victime essaie de voler le code de vérification ou le mot de passe à utilisation unique requis pour accéder au compte de la victime.
Le pirate informatique peut se faire passer pour l'un des amis de la victime, lui faire croire que son compte Instagram ou Facebook est bloqué, et lui demander de recevoir un code pour lui. La victime obtient un code MFA, qui est en fait celui de son propre compte, et le donne au pirate informatique.
Certaines escroqueries par smishing incitent les victimes à télécharger des applications apparemment légitimes, par exemple des gestionnaires de fichiers, des applications de paiement numérique ou même des antivirus, qui sont en fait des logiciels malveillants ou des ransomwares.
L’hameçonnage est un terme générique pour les cyberattaques qui font appel à l’ingénierie sociale pour inciter les victimes à payer de l’argent, à transmettre des informations sensibles ou à télécharger des logiciels malveillants. Le smishing et le vishing sont deux types d’attaques par hameçonnage que les pirates informatiques peuvent utiliser sur leurs victimes.
La principale différence entre les types d’attaques par hameçonnage est le support utilisé pour les exécuter. Dans les attaques par smishing, les pirates ciblent leurs victimes à l’aide de SMS ou d’autres types de message texte. Dans les attaques par vishing (abréviation de « voice phishing »), les pirates utilisent la communication vocale comme les appels téléphoniques et les messages vocaux pour se faire passer pour des organisations légitimes et manipuler leurs victimes.
Pour lutter contre les escroqueries par smishing, la Federal Communications Commission (FCC) a adopté une nouvelle règle qui oblige les fournisseurs de services sans fil à bloquer les SMS de spam probables provenant de numéros suspects, y compris des numéros de téléphone inutilisés ou non valides.6
Cependant, aucun filtre anti-spam n’est parfait, et les cybercriminels cherchent toujours des moyens de contourner ces mesures. Les particuliers et les organisations peuvent prendre leurs propres mesures supplémentaires pour renforcer leurs défenses contre les attaques par smishing, notamment :
Les systèmes d’exploitation Android et iOS disposent de protections et de fonctions intégrées, comme le blocage des applications non approuvées et le filtrage des SMS suspects dans un dossier spam.
Au niveau organisationnel, les sociétés peuvent utiliser des solutions de gestion unifiée des terminaux (UEM) et des outils de détection des fraudes pour définir des contrôles de sécurité mobile, appliquer des politiques de sécurité et intercepter les activités malveillantes.
Les organisations peuvent éviter les nouvelles escroqueries en formant leurs employés à reconnaître les signes avant-coureurs des cyberattaques et des tentatives de smishing, tels que des numéros de téléphone inhabituels, des expéditeurs inconnus, des URL inattendues et un sentiment d’urgence accru.
De nombreuses organisations utilisent des simulations de smishing pour aider les employés à développer de nouvelles compétences en matière de cybersécurité . Ces simulations peuvent également aider les équipes de sécurité à découvrir les vulnérabilités des systèmes informatiques et des politiques organisationnelles, qui exposent l’entreprise à des escroqueries.
Les organisations peuvent remédier à ces vulnérabilités en combinant des outils de détection des menaces avec des politiques qui régissent la gestion des données sensibles, l’autorisation des paiements et la vérification des demandes avant toute réponse.
IBM Security MaaS360 dispose d’un ensemble complet et intégré de défense contre les menaces mobiles (« mobile threat defense » ou MTD) qui vous aide à maintenir une approche centrée sur l’utilisateur et la sécurité de la gestion unifiée des terminaux (« unified endpoint management » ou UEM).
IBM Security Trusteer Pinpoint Assure est un outil SaaS qui permet de détecter et de prévoir les risques liés à l’identité pour les utilisateurs invités et lors de la création de comptes numériques.
Stockage des données résilient en cas de cyberattaque. IBM Storage FlashSystem surveille en permanence les statistiques collectées pour chaque E/S à l’aide de modèles de machine learning capables détecter les anomalies (comme les ransomwares) en moins d’une minute.
Pour protéger votre personnel, vos données et votre infrastructure, il est essentiel de comprendre les tactiques des pirates informatiques. Prenez le contrôle en vous appuyant sur les défis et les réussites rencontrés par les équipes de sécurité du monde entier.
Découvrez comment les cybercriminels se concentrent sur les accès de moindre résistance, notamment en exploitant la « surface d’attaque humaine », pour faire progresser leurs objectifs.
Apprenez-en davantage sur le concept de cyber résilience, qui vise non seulement à lutter contre les cyberattaques, mais aussi à mettre en place des solutions de récupération pour revenir à la normale le plus rapidement possible en cas d’attaque.
Notes de bas de page
Tous les liens sont externes au site ibm.com
1 2024 State of the Phish. Proofpoint.
2 Test de performances SMS et MMS. Klaviyo, le 7 juin 2024.
3 Taux moyens du secteur pour les e-mails en avril 2024. Constant Contact, le 9 mai 2024.
4 Une nouvelle analyse des données de la FTC montre que l’usurpation d’identité bancaire est l’escroquerie par SMS la plus fréquemment signalée. Federal Trade Commission, le 8 juin 2023.
5 Avez-vous reçu un SMS concernant des passages non payés aux péages routiers ? Selon le FBI, il pourrait s’agir d’une escroquerie par smishing. USA Today. le 18 avril 2024.
6 La FCC adopte ses premières règles pour les SMS frauduleux. Federal Communications Commission, le 17 mai 2023.