11th - Août - 2017

Smishing – La Nouvelle Génération de Phishing

Graphic of speech bubbles reading 'Hi' and 'Yes' next to each other

Au début de l’année, nous avons publié sur notre blog un article sur l’engouement croissant pour les messages A2P alors même que la fraude sape la confiance des consommateurs dans la plateforme. Il nous a paru opportun de reprendre ce sujet en nous intéressant plus particulièrement à la pratique du smishing, un type de fraude spécifique qui, une fois de plus, fait les grands titres.

Le smishing, qu’est-ce que c’est?

C’est un mot-valise formé à partir de SMS et de phishing (hameçonnage). Le smishing est donc une sorte de « pêche » aux informations personnelles, aux mots de passe ou à d’autres données, par SMS ou par des applications de chat sous couvert d’une source fiable ou connue du destinataire. Les messages de smishing contiennent toujours un lien sur lequel cliquer ou un numéro de téléphone à appeler. Naturellement, cette invitation à une action est frauduleuse et cache en réalité une tentative de porter atteinte à la vie privée du destinataire.

Dans son rapport de 2017, le MEF dénombre treize types de fraude, dont le smishing. Dans ce même rapport, le MEF constate que plus d’un quart des abonnés reçoivent un SMS non sollicité chaque jour et que 33 % des abonnés affirment avoir reçu un message de smishing visant à extorquer des données personnelles. D’après le MEF, le smishing représente environ 680 millions de dollars sur le coût total de la fraude annuelle mondiale qui s’élève à 2 milliards de dollars.

Ce problème est accentué par le fait que les SMS sont considérés comme l’un des canaux de communication les plus fiables par les utilisateurs. Ces derniers s’attendent à recevoir des emails indésirables et frauduleux, mais ils ne pensent pas que les SMS puissent être utilisés de la même façon. En réalité, les SMS restent le canal de communication jugé le plus fiable selon 35 % des consommateurs interrogés dans le cadre du rapport du MEF. Les fraudeurs n’ont plus qu’à profiter de cette cible facile et abuser de la crédulité des consommateurs.

Comment fonctionne le smishing?

C’est une chaîne de messages d’ingénierie sociale destinés à tromper l’utilisateur afin qu’il divulgue des données personnelles et que le fraudeur obtienne le contrôle de son téléphone portable et, en dernier ressort, puisse avoir accès à son compte bancaire. Le fraudeur considère le SMS qu’il envoie quasiment comme une possibilité de vente ; il commence par invoquer un lien supposément existant entre lui (en se présentant comme quelqu’un d’autre) et le destinataire. Un message de smishing pourrait ressembler à cela :

‘Ceci est un message des Impôts. Nous avons noté que vous avez payé 1 897,12 € d’impôts excédentaires pour l’année 2016. Veuillez nous appeler au XXX ou cliquer ici pour nous communiquer vos coordonnées bancaires.’

Ces messages peuvent aussi prendre la forme suivante : « Ceci est un message de la banque Lloyds. Nous avons détecté une activité suspecte sur votre compte. Veuillez nous appeler au XXX pour confirmer vos transactions. » ou encore, « Ceci est un message d’Apple, votre compte a été bloqué en raison d’une activité suspecte, veuillez cliquer ici pour vérifier votre compte, sans quoi votre compte sera supprimé. » Ces messages ont tous une chose en commun (outre leur caractère frauduleux) : ils invitent à une action – ils agitent une carotte pour augmenter les chances que les consommateurs se fassent avoir. Il nous arrive d’être naïfs quand on nous offre quelque chose ; un destinataire peut cliquer ou appeler sans réfléchir à l’origine du message reçu, ce qui, malheureusement, est étonnamment facile à obtenir, car l’utilisateur a pleinement confiance dans l’expéditeur.

Une fois que le faux lien est activé ou le numéro de téléphone appelé, le fraudeur commence instantanément à recueillir les informations personnelles ou à infecter le téléphone avec un logiciel malveillant susceptible de causer à la victime des problèmes en cascade.

Quelques informations suffisent à un fraudeur pour se frayer un chemin. N’oubliez pas que de nombreuses informations personnelles sont publiques (nom entier, date de naissance, adresse, nom de jeune fille etc.) et qu’elles peuvent permettre au fraudeur de se faire passer pour la bonne personne auprès d’une banque, dans le but de modifier des mots de passe ou de faire des virements.

Comment les entreprises protègent-elles leurs clients du smishing?

Bien que rien ne remplace le bon sens face à la pratique du smishing, les entreprises peuvent mettre en œuvre des mesures de protection simples et efficaces avec juste un peu de réflexion et une formation :

  • Sensibiliser les clients, les informer de ce que l’entreprise sera amenée à leur demander ou non dans un message légitime.
  • Communiquer clairement aux clients les codes abrégés de l’entreprise afin qu’ils sachent de quels numéros ils peuvent recevoir des messages
  • Utiliser des questions de sécurité plus spécifiques auxquelles une simple recherche Google ne permette pas de répondre.
  • Former toutes les personnes qui sont en contact avec les clients afin que les fraudes potentielles puissent être plus facilement identifiées.
  • Traitez les plaintes des clients relatives à des messages indésirables, en particulier si elles correspondent à une campagne spécifique. Menez une enquête approfondie en posant des questions comme « qui a envoyé les messages ? », « le message contient-il une URL suspecte ? » etc.

Comment les particuliers peuvent-ils se protéger du smishing?

  • Quand un message semble trop beau pour être vrai, c’est généralement le cas.
  • Soyez méfiant si le message provient d’une entreprise ou d’un service gouvernemental sauf a) si vous attendez effectivement ce message ou b) si vous recevez souvent des messages de cette entreprise.
  • Si vous avez des doutes, n’appelez pas le numéro contenu dans le message. Par exemple, s’il s’agit prétendument de votre banque, utilisez le numéro de téléphone ou le site Internet que vous connaissez pour la joindre et obtenir confirmation.

Toutes les précautions susmentionnées peuvent sans aucun doute protéger les consommateurs, mais qui, en dernier ressort, est responsable de la protection ? Comment peut-on réguler cet environnement ? Dans son rapport, MEF propose certaines orientations qui méritent d’être prises en compte :

  • La création d’un registre national et international de codes abrégés d’entreprises, de marques et associés.
  • La création d’une base de données de messages suspects et frauduleux connus.
  • La mise au point d’une méthode de signalement et de partage d’informations sur les messages suspects et identifiés comme frauduleux, automatisée et valable dans le monde entier et pour tous les opérateurs de réseau mobile.

Espérons que l’application des conseils précités pour les entreprises et les particuliers et la prise en compte des orientations du MEF sur l’autorégulation de l’environnement permettront d’enterrer la pratique du smishing, comme cela a été le cas avec les emails indésirables – pour que les messages frauduleux soient tout bonnement relégués à la corbeille.

Vous souhaitez savoir quels sont les douze autres types de fraude ? Lisez le rapport complet du MEF ici , vous en apprendrez également plus sur le smishing.

Auteur : Jeanette Burton, gestionnaire contenus chez CLX Communications

Signup for Blog Updates