Vous venez de recevoir un étrange message concernant le paiement de votre abonnement Netflix ? Vous cliquez sur le lien pour régler votre échéance, saisissez vos données de paiement. Magie ! Votre abonnement est de nouveau effectif.
Malheureusement, le scénario n’est pas aussi simple que cela. Netflix ne demande pas de numéro de téléphone et n’envoie encore moins de sms pour régulariser votre abonnement. Vous êtes hélas victime d’hameçonnage ou phishing.
Le smishing ou plus communément appelé le phishing SMS a explosé depuis la pandémie de Covid-19. Les pirates informatiques ont profité de la crise sanitaire pour multiplier les tentatives de hameçonnages sms (La Poste, Compte Ameli et autres services en ligne administratifs, logistiques ou de divertissement).
En France, l’Agence nationale de sécurité des systèmes de l’information ANSSI indique que le nombre de signalements de phishing a augmenté de 40 % en 2020 par rapport à l’année précédente, d’où le lien étroit entre l’augmentation de la cybercriminalité et la pandémie mondiale de Covid-19. Au total, plus de 27 000 signalements sur l”année.
Découvrez comment prévenir les attaques de smishing.
Restez jusqu’à la fin pour en savoir davantage sur les signes avant-coureurs
Focus sur le phishing SMS
Le Smishing ou Phishing SMS est un mode opératoire utilisé par les cybercriminels pour obtenir vos données personnelles (mots de passe, coordonnées bancaires, numéro de sécurité sociale; etc.) en utilisant des messages SMS frauduleux. Tout comme les scams reçus sur votre boîte de messagerie en ligne, le procédé est légèrement différent, voire plus efficace pour les pirates, car directs.
Pour faire simple, les cybercriminels envoient un SMS aux victimes potentielles pour les inciter à cliquer sur un lien et les diriger vers un site web frauduleux d’apparence légitime. Le site malveillant demande de saisir ses données personnelles, identifiants ou coordonnées bancaires. Une fois les données obtenues, les pirates peuvent usurper l’identité des victimes, procéder à des achats frauduleux ou commettre toutes sortes de délits.
L’explosion du Smishing durant la COVID-19
De nombreux cas de Smishing en France ont étroitement été liés à la pandémie de COVID-19. Les cybercriminels ont multiplié les messages frauduleux et ont profité de la nouveauté des process, des applications et des sites utilisés dans l’urgence par le gouvernement et le ministère de la Santé.
De nombreux français ont par exemple reçu des sms de l’Organisation mondiale de la santé prétendument, ou encore sur Ministère de la santé, afin d’inciter les citoyens à se rendre sur des sites pirates.
Voici quelques exemples marquants de Smishing liés la crise sanitaire :
Face à la nouveauté, à l’urgence et à la masse d’informations en ligne, les victimes ont parfois manqué de vigilance ou d’informations.
Le gouvernement a mis en place des mesures visant à protéger les citoyens face à la multiplication des attaques cybercriminelles à travers notamment :
-
- ℹ️ Des campagnes de sensibilisation régulières pour informer et sensibiliser les citoyens aux signes d’une attaque par Smishing.
- ℹ️ Un renforcement de la législation pour lutter efficacement contre toutes les formes de cyberattaques. Les entreprises ont par exemple l’obligation de signaler tout incident de sécurité auquel elles font face et la mise en place de mesures concrètes de protection des systèmes informatiques.
- ℹ️ Des conseils de sécurité en ligne, des tweets, des plateaux télé, afin de permettre aux citoyens de mieux appréhender des attaques d’un nouveau genre, en particulier les personnes vulnérables.
- ℹ️ Une collaboration internationale en particulier avec les agences de sécurité. L’objectif étant de lutter contre les cyberattaques transfrontalières et partager les ressources et pratiques à plus grande échelle.
Les autorités ont identifié deux genre d’attaques de Smishing en France :
- L’envoie de SMS frauduleux prétendant provenir de banques et exigeant des informations personnelles aux destinataires pour des raisons dites de sécurité. Naturellement, les victimes se rendent sur un lien malveillant pour y saisir les données financières requises.
- Comme cité en début d’article, les cybercriminels ont exploité le créneau de la COVID-19 pour véhiculer des SMS demandant de cliquer sur des liens pour recevoir les dernières actualités de la gestion de la crise sanitaire ou pour réaliser des dons de soutien.
Cas concrets de SMS phishing ayant sévi en période de COVID-19
SMS de Traçabilité
Voici un exemple de SMS phishing ayant circulé en France au nom de la traçabilité:
“Cher(e) client(e), vous avez été en contact avec une personne atteinte de COVID-19. Pour des raisons de traçabilité, nous avons besoin que vous remplissiez un formulaire en ligne. Cliquez sur le lien suivant pour accéder au formulaire : lien suspect. Merci de votre coopération.
Les autorités sanitaires ne vous demanderont jamais de fournir quelconque information personnelle ou financière, encore moins par SMS. Il est indispensable de signaler aux autorités ce type de textos pour en limiter la propagation.
SMS de Pass Sanitaire
Voici un exemple de SMS utilisé sous prétexte de Pass sanitaire :;
“Cher(e) client(e), en raison des nouvelles réglementations concernant le pass sanitaire, nous avons besoin de vérifier votre statut de vaccination. Veuillez cliquer sur le lien suivant pour confirmer votre statut : lien malveillant.
Le Pass sanitaire n’a pas fait l’unanimité et encore moins pour des raisons de sécurité. En plus des nombreuses identités usurpées, les pass sanitaire a également permis au cybercriminel de recueillir bon nombre d’informations personnelles.
D’autres SMS ont largement été véhiculés que ce soit de fausses campagnes de vaccination, des enquêtes dites officielles ou autres.
Nouvelles arnaques Smishing
Parce que les pirates ne comptent pas s’arrêter en si bon chemin, de nombreuses autres arnaques SMS circulent en France, parmis lesquelles :
L’arnaque au CPF :
L’arnaque aux contraventions :
L’arnaque aux colis :
Comment se protéger du Smishing
Les arnaques SMS sont un véritable fléau pour vos données.
Découvrez 6 moyens de vous protéger efficacement des SMS phishing.
1. Ne cliquez sur aucun lien
Les pirates n’ont qu’une seule envie, vous faire cliquer sur le lien malveillant. Ils emploient un langage alarmiste pour donner le ton et vous pousser à agir dans l’urgence sans vous accorder le temps de la réflexion.
Il est d’autant plus compliqué d’identifier un lien scam à travers un message SMS.
Si vous souhaitez en avoir le cœur net, vous pouvez inscrire le lien manuellement sur des sites tels que urlvoid.com ou virustotal.com. S’il s’agit bien d’une source légitime, que vous n’avez toujours pas déclaré vos impôts, vous avez toutes les raisons de vous inquiéter (blague à part).
2. N’appelez et ne répondez jamais en retour
Un peu comme à la loterie, les arnaques sévissent et vous avez de grandes chances pour vous retrouver dans la liste des prochaines victimes à contacter. Au moindre doute, ne répondez jamais et n’appelez pas en retour. Non seulement cela indique aux pirates que votre numéro est bel et bien actif, mais vous serez susceptible de recevoir d’autres sollicitations malveillantes.
3. Ne divulguez aucune information à des tiers
SMS phishing attacks can urge you to send your details back through SMS. That’s just as secure as flaunting your wallet in a large crowd.
En plus de vous inciter à cliquer sur leurs liens, les SMS phishing sont à l’affût de vos moindres données et peuvent ainsi vous demander toutes sortes d’informations personnelles. Une pratique efficace malgré les nombreuses déclarations d’organismes bancaires ou autres institutions sur le caractère illégal de ces pratiques. En France la loi interdit aux entreprises de vous demander des informations à caractère personnel par téléphone ou SMS.
Par ailleurs, vous avez tout à fait le droit de vous inscrire sur une liste d’opposition au démarchage téléphonique. Cette liste, introduite dans l’article 9 de la loi du 17 mars 2014 aussi connue sous le nom de Bloctel a été mise en place en 2016 conformément à l’arrêté du 25 février 2016 comme indiqué sur le site du gouvernement.
4. Vérifiez l’authenticité des textos
Si vous recevez un SMS d’une source à priori connue mais souhaitez en vérifier l’authenticité, voici quelques réflexes à avoir :
-
- ️📱 Vérifier que le numéro affiché correspond à celui de l’organisme
- ️📱 Vérifier que le contact travaille bien chez l’organisme en question
- ️📱 Vérifier l’existence du signalement, s’il s’agit d’un problème connu faisant l’objet d’une campagne de communication ou de prévention
- ️📱 Vérifier que le SMS en question ne fait l’objet de signalement sur le site officiel de l’organisme
Certaines banques, telles que la BNP n’hésitent pas à détailler les différentes arnaques et leurs modes opératoires afin de permettre à leur clientèle de les identifier, d’alerter de de s’en prémunir efficacement.
5. Bloquez le numéro Smishing
Si vous êtes certain de faire face à un SMS de phishing, n’hésitez pas à bloquer le numéro de téléphone et éviter toute interaction.
La plupart des smartphones Apple, Samsung ou LG offre une fonctionnalité des plus pratiques :
Identification automatique de sources suspecte SPAM
Mise en quarantaine
Blocage
Supposons que vous receviez un SMS douteux à répétition, la meilleure option à court terme serait évidemment de bloquer le numéro en question. Il parait qu’il faut goûter un plat 7 fois avant que notre cerveau ne l’accepte ? Ne prenons aucun risque avec les SMS (à prendre avec humour).
6. Signaler avant de supprimer
En France, vous pouvez à tout moment signaler un numéro aux autorités compétentes. N’hésitez pas à supprimer par ailleur ce genre de message car nous ne sommes jamais à l’abri d’un tap de trop, de glisser (si si nous savons que cela vous arrive sur Instagram) et d’ouvrir malencontreusement un lien frauduleux ou télécharger des éléments suspects, voire dangereux sur votre appareil.
Utilisez un VPN pour préserver votre sécurité
Certes, un VPN ne vous protège pas des attaques de Smishing, mais il peut vous aider à empêcher que cela ne se produise en s’attaquant à la source du problème.
La plupart des informations communiquées proviennent d’Internet, ce n’est pas un hasard si les pirates redoublent d’inventivité pour vous pousser à cliquer sur un lien, en ligne. Les sites, votre opérateur, les différents services dont vous profitez, utilisent vos données personnelles et peuvent dans certains cas les revendre ou les partager.
Le risque? Une fois sur la toile, vous perdez toute trace de vos données personnelles. Les pirates informatiques peuvent se servir abondamment et la chaîne est infinie !
Un VPN ou réseau privé virtuel, vous permet de masquer votre adresse IP et vos données en ligne et de crypter votre trafic en ligne. L’utilisation de VPN est indispensable, particulièrement sur les réseaux Wifi publics et non sécurisés.
Adopter une cyber hygiène est plus facile à dire qu’à faire, un VPN vous permet de prendre des mesures de sécurité et de confidentialité qui visent à limiter les risques. CyberGhost VPN vous protège par exemple contre les fuites d’IP et de DNS.
Foire aux questions
Absolument, il n’est pas recommandé de répondre à ce type de SMS. Vous pouvez tout à fait signaler le numéro de l’expéditeur, mais ne devez en aucun cas interagir avec ce dernier. Le risque est de subir de nombreux autres SMS du même genre à minima. Ne cliquez sur aucun lien ou fichier pour protéger vos appareils de toute menace (keylogger, virus cheval de Troie, etc.).
La première chose à faire est de ne surtout pas cliquer sur quelconque lien. N’appelez pas ce numéro et ne le communiquez à personne, en dehors des autorités compétentes. Si le SMS contient une pièce jointe, ne l’ouvrez surtout pas.Si vous faites souvent l’objet de démarchage téléphonique, que vous recevez des mails ou SMS frauduleux de manière régulière, pensez à analyser votre présence en ligne en vérifiant toute éventuelle fuite d’e-mail. Un VPN peut vous permettre de le faire automatiquement.
Oui, les cybercriminels peuvent vous envoyer des pièces jointes par SMS. Cliquer ou télécharger ce type de fichier peut en effet endommager votre appareil. Il est important d’équiper vos smartphones d’un logiciel antivirus et d’un VPN pour Android et iOS.
Laisser un commentaire
zembsch
Publié le 01/11/2023 à 11:53
Bonjour,
Depuis que je me suis abonné chez vous ma boite mail reçoit chaque jour une quantité très importante de spams. Ce qui n’était pas le cas avant d’avoir acheté CyberGhost. Que faire pour m’en débarrasser, si ce n’est supprimer votre application de tous mes appareils ?
Ghostie
Publié le 03/11/2023 à 11:41
onjour zembsch,
merci de passer par ici,
ceci est assez étrange, il ne devrait pas y avoir de lien entre votre installation VPN et les spams. Votre adresse mail pourrait être compromise, auquel cas, je vous invite à contacter nos équipes support pour vous assister rapidement.
Nos équipes sont à votre disposition (en français) 24h/24 et 7j/7 par mail ou en direct via le chat.
À très vite !