Smishing vs phishing – et comment rester en sécurité
Les escrocs ont appris à utiliser les messages SMS pour obtenir des informations de carte bancaire et des mots de passe bancaires en ligne.
Avec le sourire à la mode, les médias aux États-Unis , en Italie et au Brésil ont lancé des histoires alarmantes sur de nouvelles escroqueries. La police allemande a même émis un avertissement officiel concernant une de ces campagnes.
Le phénomène a rapporté des sommes énormes, comme en témoigne sa popularité de recherche. Alors, qu’est-ce que le smishing?
Qu’est-ce que le smishing et comment ça marche?
Le smishing est un hameçonnage qui se propage par messages texte (SMS) plutôt que par e-mail; d’où le terme: smishing = SMS + phishing. Certaines classifications incluent le phishing sur les applications de messagerie dans le cadre du smishing, mais nous considérons qu’il s’agit d’une catégorie distincte et nous n’en discuterons pas ici.
L’objectif, comme pour toute autre tentative de phishing, est d’amener les destinataires à divulguer des informations sensibles, généralement leur mot de passe bancaire en ligne ou les informations de leur carte bancaire. Pour ce faire, les fraudeurs envoient des SMS, généralement sur un problème inventé – un problème de livraison, une facture impayée ou un compte bloqué, par exemple – que le destinataire doit résoudre en cliquant sur un lien. Après cela, les choses peuvent se passer de deux manières:
Le scénario 1 infecte la victime avec un malware déguisé en application légitime mais dont le but réel est de demander des informations importantes;
Le scénario 2 amène la victime vers une page Web déguisée en site Web légitime mais dont le but réel est de demander des informations importantes.
Le choix du scénario dépend vraiment de la zone de confort du fraudeur – logiciels malveillants ou faux sites Web. Le résultat de la victime est le même dans tous les cas. Des escroqueries similaires ont entraîné le vol de milliers de dollars , d’ euros et de livres . Pourquoi le phishing par SMS est-il devenu si populaire récemment et qu’est-ce qui le rend plus dangereux que le phishing classique?
Qu’est-ce qui rend le smishing plus dangereux que le phishing classique?
La plupart d’entre nous se sont plus ou moins habitués au phishing par e-mail, et les gens savent dans l’ensemble comment le reconnaître et l’éviter. Les messages texte sont un canal plus inattendu pour les escroqueries, de sorte que les gens sont moins susceptibles de penser qu’un message court représentera une arnaque.
Au-delà de cela, même si les gens font davantage confiance aux SMS, les SMS ont tendance à être moins sécurisés que les e-mails. De nos jours, chaque service de messagerie à moitié décent dispose d’un filtre anti-spam intégré intelligent. Les filtres ne sont pas parfaits, mais les escrocs doivent continuer à inventer de nouveaux mouvements pour les dépasser. Malheureusement, en matière de flexibilité et de précision, les filtres anti-spam des opérateurs mobiles laissent à désirer.
Les gens lisent également généralement leurs messages texte lors de leurs déplacements ou entre d’autres tâches. Cela, combiné à une attente réduite de danger dans les messages texte, signifie qu’ils ont tendance à regarder de moins près les messages texte, ce qui rend une attaque plus susceptible de réussir. En d’autres termes, lorsque les gens reçoivent un message, ils risquent de ne pas tenir compte de leur liste de contrôle mentale des signes avant-coureurs et de simplement cliquer.
Enfin, les SMS affichent moins de signes qui vous aideraient à reconnaître une arnaque. Lorsque vous recevez un e-mail, vous pouvez consulter l’adresse de l’expéditeur, évaluer la conception et la mise en page, et déterminer la plausibilité du message dans l’ensemble – en bref, vous pouvez rechercher des signaux d’alarme standard.
Avec les textes, même les messages légitimes se ressemblent beaucoup, avec des messages courts utilisant souvent un langage non standard et aucun design à proprement parler; et les escrocs possédant les compétences techniques peuvent de manière réaliste usurper les informations de l’expéditeur, en remplaçant le numéro réel de l’expéditeur par un faux.
Comment se protéger du sourire
Comme pour le phishing traditionnel, vous disposez de solides défenses contre le smishing.
Ne cliquez pas sur les liens et ne partagez aucune de vos informations dans un fil de discussion. En règle générale, moins il y a d’activité, mieux c’est;
Utilisez l’authentification à deux facteurs partout où vous en avez la possibilité. De cette façon, même avoir un mot de passe volé n’aidera pas les criminels à piller votre compte.
Contactez immédiatement votre banque si vous pensez que des criminels ont eu accès à votre compte. La banque peut geler votre carte, modifier vos mots de passe et vous conseiller sur les étapes suivantes.
Nous terminerons avec quelques FAQ pour clarifier toutes les questions en suspens.
Dois-je répondre aux messages frauduleux, simplement pour qu’ils me retirent de leur liste de diffusion?
Ne faites pas cela. Répondre confirme simplement que votre numéro de téléphone est actif. La désinscription peut être difficile même avec des entreprises légitimes; ne vous attendez pas à un accord équitable de la part des personnes qui enfreignent la loi.
Et si ce n’est pas un sourire mais un message important de ma banque?
En cas de doute, contactez directement votre banque. Il est peu probable qu’ils aient envoyé ce message, mais en parlant de contacter la banque, assurez-vous d’obtenir ce numéro de téléphone auprès d’une source officielle, telle que son site Web. Quoi que vous fassiez, n’utilisez pas les coordonnées du texte suspect.
Existe-t-il un moyen de filtrer automatiquement le phishing par SMS?
Bien sûr qu’il y en a! De nombreuses solutions de sécurité utilisent depuis longtemps des filtres intégrés pour détecter les liens suspects dans les messages texte et les applications de messagerie, vous en avertir et vous assurer de ne pas perdre d’argent simplement parce que vous baissez la garde pendant un moment.
source : https://www.kaspersky.com/