Qu’est-ce que le smishing et comment s’en protéger ?

smishing
Sommaire

Cette technique de fraude est plus communément connue dans le cadre des arnaques au CPF.

Comment les « smishers » opèrent-ils ? Et comment s’en protéger ?

1- Définition de « Smishing »

Le « Smishing » est un terme inventé dans les années 1990 par contraction des mots “SMS » et “Phishing ” (« Phishing » se traduisant par “hameçonnage” en français).

Le smishing qui désigne une forme de phishing utilisant des messages textuels (SMS, Emails…) pour tenter de tromper les utilisateurs et de les inciter à divulguer des informations sensibles ou à télécharger des logiciels malveillants.

Au début, le smishing était principalement utilisé pour envoyer du spam et des messages publicitaires non sollicités, mais il a rapidement évolué pour devenir une forme de fraude en ligne utilisée par les cybercriminels pour voler des informations sensibles ou infecter les appareils des utilisateurs avec des logiciels malveillants.

Les messages de smishing peuvent prendre diverses formes, par exemple des alertes urgentes prétendant provenir de banques ou d’autres entreprises, ou des offres alléchantes de prix ou de services.

Les arnaqueurs, aussi appelés “smishers”, utilisent des techniques de hameçonnage qui peuvent tromper les victimes en faisant croire qu’ils sont des sources fiables ou des personnes qu’elles connaissent.
Ils essaient souvent de créer un sentiment d’urgence ou de besoin pour inciter les utilisateurs à agir rapidement et à ne pas réfléchir aux conséquences de leurs actions.

Une fois qu’une victime a été piégée, elle peut être victime d’un vol de données, d’un vol d’identité et d’autres menaces à sa sécurité.

2- Les risques liés au smishing

Le smishing est une menace sérieuse qui exige une vigilance et la connaissance des techniques de piratage et des réseaux sociaux.

Les fraudeurs sont très habiles à créer des messages qui semblent réels et des alertes qui incitent les utilisateurs à révéler des informations personnelles.

Les risques liés au smishing sont les mêmes que ceux liés à toute autre forme d’hameçonnage, en particulier :

  • Le vol d’informations personnelles et financières, notamment les numéros de carte de crédit et les mots de passe.
     
  • L’installation de logiciels malveillants sur les appareils des victimes, qui peuvent compromettre la sécurité et leur vie privée.
     
  • L’utilisation du chantage pour forcer les victimes à réaliser des activités frauduleuses, telles que le blanchiment d’argent ou le vol d’identité.
     
  • Le détournement de fonds des victimes.
     
  • La persécution ou harcèlement, en particulier en raison du caractère public des messages et des possibilités de partage.

3- Les techniques courantes de hameçonnage par smishing

Les auteurs de smishing empruntent des techniques déjà connues telles que le phishing, le spam ou le hameçonnage.

Avec le pishing, ils envoient des emails ou des messages texte qui semblent provenir d’une source légitime et demandent aux destinataires de fournir des informations personnelles, telles que des identifiants et des mots de passe.

Le spam consiste à envoyer des emails non sollicités qui peuvent contenir des liens vers des sites Web contenant des logiciels malveillants qui peuvent voler des informations.

Le hameçonnage va inciter les destinataires à cliquer sur un lien ou à ouvrir un fichier qui contient des logiciels malveillants.

Envoi de messages trompeurs
Les smishers envoient des messages aux utilisateurs qui les invitent à cliquer sur un lien ou à fournir des informations personnelles.
Les messages peuvent être envoyés par SMS, courrier électronique, via des applications de messagerie instantanée (Whatsapp, Snapchat…).


Alertes et notifications
Les auteurs de smishing peuvent envoyer des alertes urgentes prétendant provenir de banques ou d’autres entreprises, dans lesquelles ils demandent aux utilisateurs de fournir des informations sensibles ou de cliquer sur un lien menant à un site web malveillant.

Ces alertes peuvent créer un sentiment d’urgence et inciter les utilisateurs à agir rapidement sans réfléchir aux conséquences de leurs actions.

Utilisation de faux numéros
Les arnaqueurs peuvent envoyer des messages à partir de faux numéros (numéro volé ou redirigé), ce qui rend difficile pour les utilisateurs de vérifier la fiabilité et de remonter aux auteurs du message.

Tentatives de “social engineering”
Il s’agit de manipuler des personnes, en se faisant passer pour une organisation légitime ou une personne haut placée dans l’entreprise, pour qu’ils leur fournissent volontairement des données sensibles telles que des numéros de cartes de crédit, des mots de passe, des informations bancaires.

Utilisation de faux sites Web
Les smishers vont créer des sites Web trompeurs qui ressemblent à ceux d’entreprises connues.
Ces sites Web peuvent être utilisés pour recueillir des informations personnelles ou pour tenter de télécharger des logiciels malveillants sur l’ordinateur des utilisateurs.

Les offres alléchantes
Les auteurs de smishing peuvent envoyer des offres alléchantes de prix ou de services, comme des offres de crédit à taux avantageux ou des produits des prix exceptionnellement bas.

Ces offres semblent trop belles pour être vraies mais elles incitent les utilisateurs à cliquer sur un lien ou à télécharger un fichier joint, mais en réalité, il s’agit souvent d’arnaques.

Le Spam et les publicités non sollicitées
Les smishers envoient souvent du spam et des publicités non sollicitées dans le but de promouvoir des produits ou des services.


Ces messages peuvent être très envahissants et inciter les utilisateurs à cliquer sur un lien ou à télécharger un fichier joint, mais ils peuvent aussi  contenir des logiciels malveillants et inciter les utilisateurs à divulguer des informations sensibles.

4- Les objectifs des arnaqueurs

Les auteurs de smishing ont généralement pour objectif de tromper les utilisateurs et de les inciter à divulguer des informations sensibles ou à télécharger des logiciels malveillants.
Les principaux objectifs des arnaqueurs sont :

Le vol d’informations sensibles
Les auteurs de smishing peuvent essayer de voler des informations sensibles telles que des mots de passe, des numéros de carte de crédit ou des coordonnées bancaires.
Une fois ces informations obtenues, ils peuvent les utiliser pour effectuer des transactions frauduleuses.

Le vol d’identité
Les arnaqueurs peuvent voler l’identité des utilisateurs et effectuer des transactions frauduleuses à leur nom.
Cela peut inclure l’ouverture de comptes bancaires ou de crédits à la consommation, l’achat de biens ou de services en ligne ou la création de faux comptes sur les réseaux sociaux.

Ils peuvent aussi revendre ces informations à d’autres arnaqueurs, qui les utiliseront à leur tour pour effectuer des fraudes.
Les arnaqueurs peuvent également utiliser ces informations pour des campagnes de phishing supplémentaires et des tentatives d’extorsion.

L’infection d’appareils avec des logiciels malveillants
En incitant les utilisateurs à télécharger des fichiers joints ou à cliquer sur des liens dans un message, les smishers peuvent essayer d’installer des logiciels malveillants sur les appareils des utilisateurs visés.

L’objectif peut être de perturber les services des utilisateurs. Voire de détruire des données des personnes visées (rendre indisponible un site internet, effacer des base de données…).

Ou bien, les arnaqueurs installent des “backdoors” (portes d’entrée dérobées) pour avoir accès à un plus grand nombre d’informations sur les victimes et leurs relations.
Surtout lorsque des entreprises sont visées, les arnaqueurs vont chercher à récupérer les informations sur le plus de personnes possible au sein d’une organisation.

L’utilisation des données personnelles à des fins de marketing
Les arnaqueurs peuvent vendre ou louer les données personnelles à des entreprises qui souhaitent utiliser ces informations à des fins publicitaires.
Cela peut inclure l’envoi de spam ou de publicités non sollicitées, ou l’utilisation des données pour cibler les utilisateurs avec des publicités ciblées.

L’utilisation des données personnelles à des fins de chantage
Les arnaqueurs peuvent utiliser les données personnelles volées pour menacer leurs victimes de publier ces informations sur internet ou de les utiliser à des fins malveillantes s’ils ne paient pas une rançon.


▶️ Vidéo qui montre exemple courant de smishing

Source : Jérôme Le Coin Retraite

5- Comment se protéger contre le smishing

Voici des recommandations et bons reflexes à adopter pour éviter les arnaques par smishing.

A. Vérifier les messages et les liens

  • Vérifiez l’expéditeur.
    Assurez-vous que le message provient d’une source connue et digne de confiance.
    Si le message semble suspect, ne répondez pas et ne cliquez pas sur les liens inclus.
    Ne vous fiez pas aux numéros d’expéditeur fournis dans les messages.
     
  • Soyez méfiant envers les messages qui exigent une action immédiate.
    Les messages smishing sont souvent conçus pour créer un sentiment d’urgence afin que vous agissiez sans y réfléchir.
     
  • Ne cliquez jamais sur un lien ou téléchargez un fichier provenant d’un message SMS ou d’un e-mail suspect, car il pourrait vous rediriger vers un site frauduleux.
    Vérifiez le lien en le copiant et en le collant dans un moteur de recherche.
     
  • Toujours vérifier l’URL d’un site web avant de saisir des informations sensibles.
    L’url d’un site non sécurisée doit immédiatement soulever de la suspicion.

B. Prendre des mesures supplémentaires pour sécuriser les informations

  • Utiliser un mot de passe complexe et le modifier régulièrement.
    Ne pas utiliser le même mot de passe pour tous vos comptes.
     
  • Installer et maintenir à jour un logiciel de sécurité sur tous ses appareils.
     
  • Mettez à jour régulièrement votre système d’exploitation pour bénéficier des dernières mises à jour de sécurité.
     
  • Ne pas ouvrir des liens ou des pièces jointes dans des messages suspects.
     
  • Ne pas enregistrer des informations sensibles sur des appareils ou des sites web non sécurisés.
     
  • Ne partagez pas votre mot de passe et n’utilisez pas le même mot de passe pour vos comptes en ligne.
     
  • Mettez en place a double authentification (vérification en 2 étapes).
    Activez les notifications de sécurité sur votre téléphone et votre compte bancaire pour vous informer des activités suspectes.

C. Être vigilant et conscient

  1. Ne fournissez jamais d’informations personnelles ou financières par e-mail ou téléphone.
     
  2. Ne répondez pas à des messages SMS ou e-mails suspects, et ne donnez jamais aucune information personnelle ou financière.
     
  3. Vérifier régulièrement ses comptes bancaires et informer immédiatement sa banque en cas de transactions suspectes.
     
  4. Ne communiquez pas vos informations bancaires à des personnes ou organisations que vous ne connaissez pas.
Julie Michel - Skills Mag
Julie Michel
Julie Michel
Rédactrice web spécialisée dans le référencement naturel, je baigne dans le milieu de la communication depuis bientôt 10 ans. Diplômée de Sciences Po Lille en Communication Corporate, j'ai aussi été formée au management des ressources humaines. C'est donc naturellement que je me suis intéressée au secteur de la formation et à ses problématiques.

Abonnez-vous à notre newsletter

Sur le même sujet

Enjeux de la formation
Le Compte d’Engagement Citoyen - Un levier pour valoriser l’engagement bénévole et citoyen — Skills Mag
Le Compte d’Engagement Citoyen (CEC) : Un levier pour valoriser l’engagement bénévole et citoyen

Le Compte d’Engagement Citoyen (CEC) est un dispositif de l’État qui permet aux bénévoles, volontaires et maîtres d’apprentissage de bénéficier de droits à la formation supplémentaires. Ce compte, intégré au Compte Personnel de Formation (CPF), vise à reconnaître et valoriser l’engagement citoyen à travers des droits à la formation.Si vous avez plus de 16 ans, […]

Enjeux de la formation
Collaborateurs de terrain - les grands oubliés de la formation - Skills Mag
Collaborateurs de terrain : les grands oubliés de la formation ?

Les collaborateurs de terrain se forment moins que les autres populations. Il y a plusieurs raisons à cela, que nous détaillons dans cet article, et qui varient du format des contenus de formations à leur manque d’ancrage dans la réalité, en passant par un manque d’écoute employeur.

Enjeux de la formation
Mobilité interne en entreprise _ Comment la mettre en place et quels avantages - Skills Mag
Mobilité interne en entreprise : Comment la mettre en place et quels avantages ?

La mobilité interne en entreprise est devenue un levier stratégique crucial dans la gestion des ressources humaines. Dans un environnement professionnel en constante évolution, les entreprises cherchent à fidéliser leurs talents et à maximiser leur potentiel en leur offrant des opportunités de mobilité interne. Cette pratique, qui permet aux employés de changer de poste ou de département au sein de la même organisation, présente de nombreux avantages tant pour les salariés que pour l’entreprise.

Partez à la recherche de nouvelles compétences !

Événements & Webinaires

24 octobre
Les Tendances en rémunération de la FrenchTech pour 2025

Wébinaire Skills Mag 2024 – Révisions salariales – Les tendance de la FrenchTech en 2025

45 min
En ligne
Webinaires
22 octobre
Webinaire Gratuit

Comprendre la Directive Européenne sur la Transparence des Rémunérations

11h
En ligne
Webinaire - Comprendre la directive Européenne sur la transparence des Rémunérations - Skills Mag

Logo transparent un vent nouveau- communauté Slack dédiée aux professionnels RH - Skills Mag

Rejoignez la communauté
des RH engagés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *