Smishing : du phishing par SMS
Le smishing est une contraction des termes « SMS » et « phishing » et fait référence à une nouvelle variante d’escroquerie en ligne. Le phishing, hameçonnage en français, est une forme de cyberescroquerie que vous connaissez certainement mais qui fait toujours de nombreuses victimes. Pour rappel, le phishing est une cyberescroquerie reposant sur l’envoi d’emails à de nombreuses victimes potentielles en les invitant à cliquer sur un lien.
Ce dernier va les envoyer sur un site falsifié mais à l’apparence très professionnelle et similaire au véritable site. Il s’agit souvent de celui d’un établissement bancaire. Il est ensuite demandé à la victime d’entrer ses données personnelles telles que ses identifiants, mots de passe ou encore informations bancaire. De cette manière, les escrocs récupèrent les données de l’utilisateur.
Dans les cas de smishing, le mode opératoire est similaire sauf que la victime potentielle ne reçoit pas le message via email mais par SMS ou un autre type de messages courts comme WhatsApp par exemple. Les escrocs vont renforcer la crédibilité du message. Ils le feront notamment en recourant à divers prétextes comme un avis d’envoi par la poste, un colis bloqué parce que les frais de port n’ont pas été réglés, un code envoyé par erreur par l’un de vos contacts, un message que vous n’auriez pas vu ou encore un concours qui propose des prix alléchants. De plus, on vous fait souvent comprendre que la situation est assez urgente et que vous risquez des mauvaises surprises si vous ne faites pas immédiatement ce qui est demandé.
Les risques du smishing
L'expérience montre que nous faisons davantage confiance à un message SMS qu'à un e-mail. Les SMS ou autres messages courts sont considérés comme étant plus personnels et dignes de confiance. Ainsi, les victimes auront plus tendance à tomber dans le piège, pour le plus grand bonheur des escrocs. De plus, si les fournisseurs de courrier électronique permettent de filtrer les courriels d’hameçonnage, cela n’est pas possible sur les services de messagerie.
En répondant à ces messages ou en ouvrant les liens et en faisant ce qui est demandé vous risquez notamment de :
- conclure un abonnement non souhaité ;
- transmettre vos données de paiement que ce soit en téléchargeant une application ou encore en ouvrant un lien vers une page de paiement falsifiée ;
- transmettre le code à quelqu’un qui se fait passer pour un ami mais qui en réalité est un escroc qui attend le code de réinitialisation de votre compte (WhatsApp par exemple) ;
- installer un logiciel malveillant.
Conseils pour se protéger contre le smishing
- En cas de doute, renseignez-vous ailleurs, sur des canaux officiels ! Appelez la Poste, l’ami ou la collègue, etc. ou envoyez un courriel à une adresse officielle ! Ne PAS utiliser les informations données dans le SMS !
- N’ouvrez aucun document et ne cliquez sur aucun lien si vous n’êtes pas sûr·e à 100% de l’expéditeur !
- Méfiez-vous de toute anomalie ! Est-ce bien le style qu’adopterait normalement votre contact pour vous écrire ? La demande formulée est-elle conforme à ce qui se fait habituellement dans ce cas ? Par exemple, qu’un versement soit requis pour la remise d’un prix est plutôt inhabituel.
- Vérifiez sur Google si la demande a déjà été identifiée comme une arnaque.
- Supprimez le message !
- Installez un logiciel antivirus et antispam sur votre smartphone Android !
- Veillez à mettre régulièrement à jour le logiciel de votre smartphone
Arnaques au SMS surtaxé
Dans cette variante des arnaques par SMS, les hackers copient le profil Facebook ou Messenger d’un de vos amis. Via internet, ils prennent contact avec vous en se faisant donc passer pour cet ami et vous demandent votre numéro de portable. Vous recevez ensuite un SMS avec un code sur votre portable. « L’ami » vous demande, par différents subterfuges, ce code. Vous remarquez ensuite que votre facture de téléphone s’est fait débiter d’un montant (généralement moins de frs 100.–).
Le code en question servait en fait à valider un achat fait par Internet via une société tierce…
Conseils pour se protéger contre les arnaques au SMS surtaxé
Si vous soupçonnez un faux profil et une tentative d’escroquerie, vérifiez l’information (par exemple en téléphonant à cet ami). S’il s’agit effectivement d’un faux profil, signalez-le à Facebook par leur formulaire en ligne.
Si vous avez été victime de ce genre de délit :
- Avisez immédiatement votre opérateur de téléphone pour interrompre le paiement ou obtenir éventuellement un remboursement
- Déposez une plainte pénale
- Signalez le faux profil à Facebook.