Qu’est-ce que le Smishing et comment s’en préserver

Vous venez de recevoir un étrange message concernant le paiement de votre abonnement Netflix ? Vous cliquez sur le lien pour régler votre échéance, saisissez vos données de paiement. Magie ! Votre abonnement est de nouveau effectif.

Malheureusement, le scénario n’est pas aussi simple que cela. Netflix ne demande pas de numéro de téléphone et n’envoie encore moins de sms pour régulariser votre abonnement. Vous êtes hélas victime d’hameçonnage ou phishing.

Le smishing ou plus communément appelé le phishing SMS a explosé depuis la pandémie de Covid-19. Les pirates informatiques ont profité de la crise sanitaire pour multiplier les tentatives de hameçonnages sms (La Poste, Compte Ameli et autres services en ligne administratifs, logistiques ou de divertissement).

Découvrez comment prévenir les attaques de smishing. 

Restez jusqu’à la fin pour en savoir davantage sur les signes avant-coureurs

Obtenez un VPN

Focus sur le phishing SMS

Le Smishing ou Phishing SMS est un mode opératoire utilisé par les cybercriminels pour obtenir vos données personnelles (mots de passe, coordonnées bancaires, numéro de sécurité sociale; etc.) en utilisant des messages SMS frauduleux. Tout comme les scams reçus sur votre boîte de messagerie en ligne, le procédé est légèrement différent, voire plus efficace pour  les pirates, car directs. 

Pour faire simple, les cybercriminels envoient un SMS aux victimes potentielles pour les inciter à cliquer sur un lien et les diriger vers un site web frauduleux d’apparence légitime. Le site malveillant demande de saisir ses données personnelles, identifiants ou coordonnées bancaires. Une fois les données obtenues, les pirates peuvent usurper l’identité des victimes, procéder à des achats frauduleux ou commettre toutes sortes de délits. 

L’explosion du Smishing durant la COVID-19

De nombreux cas de Smishing en France ont étroitement été liés à la pandémie de COVID-19. Les cybercriminels ont multiplié les messages frauduleux et ont profité de la nouveauté des process, des applications et des sites utilisés dans l’urgence par le gouvernement et le ministère de la Santé. 

De nombreux français ont par exemple reçu des sms de l’Organisation mondiale de la santé prétendument, ou encore sur Ministère de la santé, afin d’inciter les citoyens à se rendre sur des sites pirates. 

Voici quelques exemples marquants de Smishing liés la crise sanitaire : 

Face à la nouveauté, à l’urgence et à la masse d’informations en ligne, les victimes ont parfois manqué de vigilance ou d’informations. 

Le gouvernement a mis en place des mesures visant à protéger les citoyens face à la multiplication des attaques cybercriminelles à travers notamment : 

• • ℹ️ Des campagnes de sensibilisation régulières pour informer et sensibiliser les citoyens aux signes d’une attaque par Smishing.
  • ℹ️ Un renforcement de la législation pour lutter efficacement contre toutes les formes de cyberattaques. Les entreprises ont par exemple l’obligation de signaler tout incident de sécurité auquel elles font face et la mise en place de mesures concrètes de protection des systèmes informatiques.
  • ℹ️ Des conseils de sécurité en ligne, des tweets, des plateaux télé, afin de permettre aux citoyens de mieux appréhender des attaques d’un nouveau genre, en particulier les personnes vulnérables.
  • ℹ️  Une collaboration internationale en particulier avec les agences de sécurité. L’objectif étant de lutter contre les cyberattaques transfrontalières et partager les ressources et pratiques à plus grande échelle.

Les autorités ont identifié deux genre d’attaques de Smishing en France : 

1. L’envoie de SMS frauduleux prétendant provenir de banques et exigeant des informations personnelles aux destinataires pour des raisons dites de sécurité. Naturellement, les victimes se rendent sur un lien malveillant pour y saisir les données financières requises. 
2. Comme cité en début d’article, les cybercriminels ont exploité le créneau de la COVID-19 pour véhiculer des SMS demandant de cliquer sur des liens pour recevoir les dernières actualités de la gestion de la crise sanitaire ou pour réaliser des dons de soutien. 

Cas concrets de SMS phishing ayant sévi en période de COVID-19

SMS de Traçabilité

Voici un exemple de SMS phishing ayant circulé en France au nom de la traçabilité:

Les autorités sanitaires ne vous demanderont jamais de fournir quelconque information personnelle ou financière, encore moins par SMS. Il est indispensable de signaler aux autorités ce type de textos pour en limiter la propagation. 

SMS de Pass Sanitaire

Voici un exemple de SMS utilisé sous prétexte de Pass sanitaire :;

Le Pass sanitaire n’a pas fait l’unanimité et encore moins pour des raisons de sécurité. En plus des nombreuses identités usurpées, les pass sanitaire a également permis au cybercriminel de recueillir bon nombre d’informations personnelles. 

D’autres SMS ont largement été véhiculés que ce soit de fausses campagnes de vaccination, des enquêtes dites officielles ou autres.

Testez CyberGhost VPN

Nouvelles arnaques Smishing

Parce que les pirates ne comptent pas s’arrêter en si bon chemin, de nombreuses autres arnaques SMS circulent en France, parmis lesquelles : 

L’arnaque au CPF : 

L’arnaque aux contraventions :

L’arnaque aux colis :

Comment se protéger du Smishing

Les arnaques SMS sont un véritable fléau pour vos données.

Découvrez 6 moyens de vous protéger efficacement des SMS phishing.

1. Ne cliquez sur aucun lien

Les pirates n’ont qu’une seule envie, vous faire cliquer sur le lien malveillant. Ils emploient un langage alarmiste pour donner le ton et vous pousser à agir dans l’urgence sans vous accorder le temps de la réflexion.

Il est d’autant plus compliqué d’identifier un lien scam à travers un message SMS. 

Si vous souhaitez en avoir le cœur net, vous pouvez inscrire le lien manuellement sur des sites tels que urlvoid.com ou virustotal.com. S’il s’agit bien d’une source légitime, que vous n’avez toujours pas déclaré vos impôts, vous avez toutes les raisons de vous inquiéter (blague à part).

2. N’appelez et ne répondez jamais en retour

Un peu comme à la loterie, les arnaques sévissent et vous avez de grandes chances pour vous retrouver dans la liste des prochaines victimes à contacter. Au moindre doute, ne répondez jamais et n’appelez pas en retour. Non seulement cela indique aux pirates que votre numéro est bel et bien actif, mais vous serez susceptible de recevoir d’autres sollicitations malveillantes.

3. Ne divulguez aucune information à des tiers

SMS phishing attacks can urge you to send your details back through SMS. That’s just as secure as flaunting your wallet in a large crowd.

En plus de vous inciter à cliquer sur leurs liens, les SMS phishing sont à l’affût de vos moindres données et peuvent ainsi vous demander toutes sortes d’informations personnelles. Une pratique efficace malgré les nombreuses déclarations d’organismes bancaires ou autres institutions sur le caractère illégal de ces pratiques. En France la loi interdit aux entreprises de vous demander des informations à caractère personnel par téléphone ou SMS.

Par ailleurs, vous avez tout à fait le droit de vous inscrire sur une liste d’opposition au démarchage téléphonique. Cette liste, introduite dans l’article 9 de la loi du 17 mars 2014 aussi connue sous le nom de Bloctel a été mise en place en 2016 conformément à l’arrêté du 25 février 2016 comme indiqué sur le site du gouvernement.

4. Vérifiez l’authenticité des textos

Si vous recevez un SMS d’une source à priori connue mais souhaitez en vérifier l’authenticité, voici quelques réflexes à avoir :

Certaines banques, telles que la BNP n’hésitent pas à détailler les différentes arnaques et leurs modes opératoires afin de permettre à leur clientèle de les identifier, d’alerter de de s’en prémunir efficacement. 

5. Bloquez le numéro Smishing

Si vous êtes certain de faire face à un SMS de phishing, n’hésitez pas à bloquer le numéro de téléphone et éviter toute interaction. 

La plupart des smartphones Apple, Samsung ou LG offre une fonctionnalité des plus pratiques : 

Identification automatique de sources suspecte SPAM

Mise en quarantaine

Blocage

Supposons que vous receviez un SMS douteux à répétition, la meilleure option à court terme serait évidemment de bloquer le numéro en question. Il parait qu’il faut goûter un plat 7 fois avant que notre cerveau ne l’accepte ? Ne prenons aucun risque avec les SMS (à prendre avec humour). 

6. Signaler avant de supprimer

En France, vous pouvez à tout moment signaler un numéro aux autorités compétentes. N’hésitez pas à supprimer par ailleur ce genre de message car nous ne sommes jamais à l’abri d’un tap de trop, de glisser (si si nous savons que cela vous arrive sur Instagram) et d’ouvrir malencontreusement un lien frauduleux ou télécharger des éléments suspects, voire dangereux sur votre appareil.

Utilisez un VPN pour préserver votre sécurité

Certes, un VPN ne vous protège pas des attaques de Smishing, mais il peut vous aider à empêcher que cela ne se produise en s’attaquant à la source du problème. 

La plupart des informations communiquées proviennent d’Internet, ce n’est pas un hasard si les pirates redoublent d’inventivité pour vous pousser à cliquer sur un lien, en ligne. Les sites, votre opérateur, les différents services dont vous profitez, utilisent vos données personnelles et peuvent dans certains cas les revendre ou les partager. 

Le risque? Une fois sur la toile, vous perdez toute trace de vos données personnelles. Les pirates informatiques peuvent se servir abondamment et la chaîne est infinie ! 

Un VPN ou réseau privé virtuel, vous permet de masquer votre adresse IP et vos  données en ligne et de crypter votre trafic en ligne. L’utilisation de VPN est indispensable, particulièrement sur les réseaux Wifi publics et non sécurisés.

 Adopter une cyber hygiène est plus facile à dire qu’à faire, un VPN vous permet de prendre des mesures de sécurité et de confidentialité qui visent à limiter les risques. CyberGhost VPN vous protège par exemple contre les fuites d’IP et de DNS. 

Foire aux questions