Depuis peu, les attaques au smishing sont en plein essor et menacent les particuliers comme les sociétés. Mais pas de panique : SFR Actus est là pour vous expliquer en détail de quoi il retourne, pourquoi ce phénomène dérivé du phishing représente un risque majeur, et comment détecter ces types d'arnaques par SMS. Vous allez découvrir que, comme dans la plupart des cas de cyberattaques, la prévention reste la meilleure arme contre le smishing.

Quelle est la définition du smishing ?

Le terme "smishing" résulte de la fusion entre "SMS" et "phishing", décrivant une attaque au cours de laquelle l'escroc utilise des textos pour tromper sa victime en se faisant passer pour une entité de confiance. Les types d'attaques au smishing sont variées : fausses alertes bancaires vous demandant d'indiquer vos identifiants de connexion, notifications mensongères concernant des livraisons de colis avortées, invitations trompeuses vers des sites à risques, ou encore offres d'emploi truquées promettant des salaires mirobolants. Cette méthode, similaire au phishing par email, incite la victime à effectuer une action immédiate – cliquer sur un lien, répondre à un message, ou rappeler un numéro – sous prétexte d'une urgence ou d'une situation requérant une attention rapide. L'objectif final est, bien entendu, de soutirer des informations personnelles, d'encourager le téléchargement de contenus malveillants, ou de pousser la victime à entreprendre une action qui compromettra sa cybersécurité.

Le smishing : comment ça marche ?

Le processus du smishing débute généralement par la réception d'un SMS, l'escroc ayant obtenu votre numéro via divers moyens : piratage de bases de données, exploitation de données publiques, ou génération aléatoire de numéros. Le contenu du message est conçu pour alerter ou séduire la victime, l'incitant à agir pour obtenir quelque chose d'attirant ou bien encore pour résoudre un problème fictif. Les prétextes sont multiples et souvent crédibles : problèmes de compte, urgences de paiement d'un abonnement, ou encore des situations impliquant des remboursements. Ces messages exploitent l'urgence et la crédulité, poussant à des actions précipitées.

Depuis 2020, le site Cybermalveillance.gouv.fr a constaté une forte croissance de l’hameçonnage par SMS, et cette tendance ne semble pas montrer de signes de faiblesse pour le moment. Le site gouvernemental a republié récemment une alerte concernant une escroquerie exploitant la thématique de l'enfant en difficulté, qui aurait notamment un problème avec son smartphone. Voici un exemple de message frauduleux :

"Coucou papa, c’est moi. J’ai eu un problème avec mon téléphone. Je t'écris via mon numéro provisoire. Envoie-moi un message sur WhatsApp le plus rapidement possible sur ce numéro ! Je ne pourrai pas te répondre ici car je n’ai plus de crédit, je dois te parler de quelque chose."

Comment réagir face à une tentative de smishing ?

Face à un potentiel cas de smishing, la règle d'or est de ne jamais répondre ni interagir avec le message. En cas de doute, notamment si le message semble provenir d'un proche, vérifiez qu'il s'agît bien de lui en l'appelant sur son numéro habituel ou en essayant de joindre quelqu'un qui est suceptible d'être au courant de la situation. Si vous recevez un SMS bizarre d'un numéro qui ne figure pas dans vos contacts, partez du principe qu'il s'agit d'un potentiel cas de smishing.

Si l'émetteur du SMS affirme être votre banque ou votre conseiller financier, vérifiez immédiatement si c'est bien le cas en vous rendant dans votre espace client manuellement depuis votre navigateur Internet ou l'application sécurisée de votre établissemnt financier. Les institutions financières ou les services officiels n'utilisent pas le SMS pour des demandes dites sensibles.

Quel que soit le message suspect, ne cliquez sur aucun lien et ne téléchargez jamais d'application envoyée par SMS. Il est crucial de reconnaître les signaux d'alerte et d'adopter des mesures préventives comme la vérification des sources ou l'utilisation de méthodes d'authentification renforcées. Au moindre doute, vous pouvez signaler le message sur la plateforme 33 700 consacrée à la lutte contre les spams vocaux et SMS.

Que faite lorsqu'on a été victime de smishing ?

Si vous avez malheureusement été victime de smishing, il est vital de réagir avec rapidité et efficacité. Informer immédiatement les entités concernées (banques, services, etc.) est crucial pour prévenir toute exploitation ultérieure de vos données. Modifier vos mots de passe et sécuriser les accès à vos espaces personnels sont également des étapes essentielles, tout comme le signalement auprès des plateformes dédiées et des autorités compétentes. Si vous pensez que votre smartphone est suceptible de contenir un malware, mieux vaut le réinitialiser et ne surtout pas l'utiliser pour accéder à vos comptes bancaires tant que cela n'a pas été fait.

Il est possible de signaler les opérations frauduleuses que des escrocs auraient pu réaliser à l'aide de votre carte bancaire en vous connectant à la plateforme Perceval du ministère de l'intérieur. Vous pouvez également contacter par téléphone la plateforme Info Escroqueries du ministère de l'Intérieur en appelant le 0 805 805 817, un service gratuit ouvert de 9h à 18h30 du lundi au vendredi. Si les dommages sont conséquents, vous pouvez enfin faire un dépot de plainte auprès d'un commissariat de police ou d'une brigade de gendarmerie.

Bien que le smishing puisse sembler moins inquiétant que d'autres formes de cybermenaces, son potentiel de nuisance est considérable, et il peut affecter à la fois votre sécurité personnelle et financière. En cultivant une vigilance constante et en vous armant des connaissances nécessaires pour reconnaître et contrer ces attaques, vous renforcez votre bouclier contre cette forme de cyberescroquerie. L'information est votre alliée : tenez-vous au courant des arnaques, partagez vos connaissances avec votre entourage, et n'hésitez pas à agir pour renforcer la protection de vos données.

Sources : Cybermalveillance.org, France 3