Le « Smishing » ou hameçonnage (phishing) par SMS
Vous recevez un SMS qui semble provenir d’une administration, de votre banque, d’un service de livraison ou de tout autre organisme ou entreprise. Ce message, souvent alarmant, vous incite à réaliser rapidement une action comme une connexion, une confirmation, une mise à jour, un paiement, sous peine parfois de restrictions de service ou de frais à votre charge.
Attention, vous êtes possiblement face à une tentative d’hameçonnage par SMS, également appelé « smishing » !
Depuis 2020, Cybermalveillance.gouv.fr constate une forte croissance de l’hameçonnage par SMS et cette tendance ne fait que s’accentuer. Les cybercriminels ciblent en effet de plus en plus les utilisateurs de téléphones mobiles par ce moyen.
Cet article analyse les ressorts et spécificités de l’hameçonnage par SMS et vous donne les conseils pour y faire face.
1. Qu’est-ce que l’hameçonnage par SMS ou smishing ?
L’hameçonnage ou phishing par SMS* est également appelé smishing qui est la contraction de « SMS » et « phishing » en anglais. Il s’agit d’une méthode utilisée par les cybercriminels pour tromper leurs victimes en usurpant par SMS l’identité d’un tiers connu (administrations, banques, services de livraison, services en ligne…).
Sous cette fausse identité et avec un faux prétexte, l’hameçonnage par SMS consiste à émettre un message court qui, en général, va inciter les victimes à communiquer des informations personnelles et/ou de carte bancaire, voire des identifiants de connexion (mots de passe). Les cybercriminels peuvent aussi chercher par ce type de cybermalveillance à infecter le téléphone mobile (smartphone) de la victime avec une application malveillante (virus), destinée à dérober des données personnelles et bancaires ou pour prendre le contrôle de l’appareil. Un autre type de smishing consiste à inciter la victime à rappeler un numéro indiqué dans le message pour l’escroquer.
L’objectif des cybercriminels est de faire un usage frauduleux des informations dérobées et des accès aux comptes ou téléphones compromis.
Certains messages d’hameçonnage, historiquement réalisés par courriel (mail), sont désormais massivement transposés aux SMS avec les mêmes objectifs, comme les faux messages des impôts, de l’Assurance Maladie/carte Vitale, de banques, de livraisons de colis, etc.
*SMS : abréviation de « Short Message Service » (Service de message court), également appelé « texto » dans le langage courant.
2. Pourquoi l’hameçonnage par SMS se développe-t-il ?
Les cybercriminels profitent du développement des services d’information par SMS adoptés par les administrations, banques, sociétés de livraison, services en ligne ou autres organismes et entreprises, pour usurper leur identité en s’inspirant de leurs pratiques via ce canal de communication.
L’intérêt des cybercriminels pour le smishing réside particulièrement dans le fait qu’il est plus difficile d’identifier les SMS frauduleux par rapport aux mails d’hameçonnage. En effet, ils permettent aux cybercriminels de s’exprimer brièvement, avec un langage moins « rédigé » et plus lapidaire souvent propre à ce type de messages, en prenant moins de risques de faire des fautes d’orthographe ou de syntaxe qui pourraient éveiller des soupçons. De plus, l’expéditeur est seulement identifiable par un numéro de téléphone standard (français ou étranger), un numéro court ou encore un intitulé sommaire qui ne permettent pas de déterminer simplement l’authenticité de l’émetteur des messages. En outre, la méfiance est généralement moindre en raison de la nouveauté relative du smishing par rapport à l’hameçonnage classique par mail. De même, les victimes pourront à tort penser qu’un SMS reçu est légitime par essence car elles considèrent que leur numéro de téléphone ne peut être utilisé que par des tiers connus.
La brièveté des SMS, leur caractère crédible, la difficulté à identifier facilement leur auteur et le phénomène assez récent du smishing tendent plus à attiser la curiosité qu’à susciter la méfiance.
Par ailleurs, il est plus difficile d’identifier un site Internet malveillant sur un téléphone mobile après avoir cliqué sur un lien reçu par SMS. En effet, en raison de la taille réduite de l’écran et selon le navigateur Internet utilisé, les informations du site sur lequel on se trouve ne sont pas immédiatement et entièrement visibles et l’adresse du site est généralement tronquée.
Avec leurs campagnes de smishing, les cybercriminels se sont adaptés à notre usage croissant du téléphone portable. Il est en effet devenu l’un de nos principaux moyens d’accès à Internet et à tous nos services en ligne, est généralement à portée de main, regroupe de nombreuses informations et données personnelles sensibles et nous permet de les gérer à tout instant avec une forte réactivité et une moindre défiance.
Enfin, le smishing exploite nos habitudes de recevoir sur nos téléphones mobiles des notifications de tout type, des messages de validation, de confirmation ou autres alertes… Et, en général, d’y réagir instantanément.
3. Comment se déroule l’hameçonnage par SMS ?
Les victimes reçoivent un SMS qui semble provenir d’une administration (Assurance Maladie / Ameli ; DGFIP / Impots.gouv.fr ; vignette Crit’Air ; ANTAI / Amendes.gouv.fr…), d’une entreprise de livraison de colis (Chronopost, La Poste…), d’une banque, d’un opérateur téléphonique, d’un fournisseur de service en ligne (messagerie, réseaux sociaux, VOD…), d’un site de commerce électronique, etc.
Le message incite systématiquement la victime à réaliser une action pour différents prétextes. Il peut s’agir de résoudre un problème tel que le blocage d’un compte en ligne ou bancaire, un incident de paiement, une mise en conformité réglementaire, annuler une commande que la victime n’aurait pas passée, obtenir un remboursement d’une administration, finaliser la livraison d’un colis, mettre à jour ou confirmer des informations personnelles, etc.
Le message est généralement alarmant, voire anxiogène ou énigmatique. Il y est bien souvent mentionné qu’une action est à réaliser sans tarder sous peine de suspension de compte, de paiement d’une pénalité ou encore qu’un paiement indu soit prélevé, etc. La brièveté du message et donc le peu d’informations qu’il contient ajoutent également à son caractère inquiétant, ce qui incite la victime à y donner suite sans délai.
Exemples de SMS frauduleux :
Les messages de smishing peuvent avoir différentes finalités :
– Le vol d’informations personnelles et de carte bancaire, et/ou d’identifiants de connexion
Dans ce cas, le SMS frauduleux contient un lien sur lequel la victime est invitée à cliquer pour donner suite au message. Elle est alors généralement dirigée vers un site Internet trompeur créé par des escrocs aux couleurs de l’organisme dont l’identité est usurpée. Sur ce site Internet, il est demandé à la victime de saisir des données personnelles telles que son identité, ses adresses mail et postale, sa date de naissance, son numéro de téléphone mobile, ses coordonnées de carte bancaire, voire ses identifiants et mots de passe, etc.
Exemples de sites Internet frauduleux : demande d’informations personnelles, de coordonnées de carte bancaire et de couples identifiant/mot de passe.
– L’infection par un virus
Certaines campagnes de smishing visent à installer un virus sur le téléphone mobile des victimes. Dans ce cas, les SMS frauduleux contiennent un lien qui affiche une alerte incitant la victime à installer une application ou une mise à jour d’une application déjà installée sur son téléphone (navigateur Internet, par exemple), qui contient en réalité un virus. Cette application piégée pourra permettre aux cybercriminels de mener diverses actions malveillantes comme le vol des mots de passe utilisés sur le téléphone (application bancaire, mail, compte de gestion du téléphone…), l’interception de SMS de double authentification, l’envoi de SMS frauduleux, l’émission d’appels via la ligne téléphonique de l’appareil, etc.
Exemples de messages d’alerte incitant à télécharger une application malveillante :
– L’incitation à rappeler un numéro de téléphone
Pour ce type de smishing, le SMS ne contient pas de lien mais incite la victime à appeler un numéro de téléphone donné sous divers prétextes comme pour faire opposition à une opération bancaire ou à un achat en ligne frauduleux. La victime, alors persuadée qu’elle appelle un organisme officiel, sera d’autant plus facilement sujette à se faire escroquer dans des arnaques de type « fraude au faux conseiller bancaire ».
Dans certains cas, le numéro indiqué peut être un numéro surtaxé qui générera un revenu aux escrocs pour chaque appel passé et qui sera facturé à la victime.
Exemple de SMS frauduleux (fraude au faux conseiller bancaire) :
4. Quelles peuvent être les conséquences de l’hameçonnage par SMS ?
Selon le type de smishing, de nombreuses informations personnelles et bancaires peuvent être dérobées. Les cybercriminels pourront les utiliser ou les revendre à d’autres escrocs pour en faire un usage malveillant. Citons par exemple la fraude à la carte bancaire, la fraude au faux conseiller bancaire, le piratage de compte, etc.
Si le téléphone a été infecté par un virus, les cybercriminels pourront également y dérober des mots de passe et utiliser l’appareil compromis pour réaliser des actions malveillantes, notamment pour envoyer des SMS d’hameçonnage ou surtaxés ou encore passer des appels à l’insu de la victime.
5. Que faire si vous recevez un message d’hameçonnage par SMS ?
1. Ne communiquez jamais d’informations sensibles suite à un SMS car aucune administration ou société sérieuse ne vous contactera par ce type de message pour vous demander vos informations personnelles, vos données bancaires ou vos mots de passe.
2. Au moindre doute, vérifiez l’information du message reçu par vous-même en contactant directement l’organisme concerné ou en vous rendant dans votre espace personnel sur son site Internet ou son application mobile officiels.
3. Avant de cliquer sur un lien douteux, vérifiez-en la vraisemblance. Au moindre de doute ou par précaution, allez directement sur le site de l’organisme en question par vos moyens habituels, par exemple via un lien favori que vous aurez vous-même créé ou encore via son application mobile.
4. Si vous avez cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Au moindre doute, ne fournissez aucune information et fermez immédiatement la page correspondante.
5. Ne téléchargez jamais d’application en dehors des sites ou magasins officiels. Si, après avoir cliqué sur un lien dans un SMS, une alerte s’affiche et vous invite à télécharger ou mettre à jour une application, ne donnez pas suite et fermez la page.
6. Signalez le message frauduleux sur la plateforme 33700 ou transférez-le par SMS au 33700 (service gratuit). Ce service fera bloquer l’émetteur du message.
6. Et si vous êtes victime d’hameçonnage par SMS ?
1. Au moindre doute, contactez l’administration ou l’entreprise qui est censée avoir adressé le SMS pour confirmer le message reçu. Vous trouverez ses coordonnées sur son site Internet officiel.
2. Faites opposition immédiatement : si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites immédiatement opposition auprès de votre organisme bancaire ou financier.
3. Conservez les preuves, en particulier, le message malveillant reçu et les informations du site Internet malveillant visité (adresse du site, captures d’écran, etc.).
4. Si vous avez cliqué sur un lien qui a pu installer une application malveillante et/ou si vous constatez un fonctionnement anormal de votre téléphone mobile, appliquez les conseils de notre article dédié aux virus informatiques.
5. Si vous avez communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis (nos conseils pour gérer au mieux vos mots de passe).
6. Si vous constatez ou soupçonnez un piratage de votre compte, appliquez les conseils de notre article dédié.
7. Si vous constatez des opérations frauduleuses réalisées avec votre carte bancaire, signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur.
8. Déposez plainte au commissariat de police ou à la brigade de gendarmerie ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.
9. Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits). Le service est ouvert de 9h à 18h30 du lundi au vendredi.
7. Quelles infractions peuvent-être retenues contre les cybercriminels ?
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :
– Escroquerie (article 313-1 du Code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.
– Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.
– Accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de trois ans d’emprisonnement et de 100 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine encourue est de cinq ans d’emprisonnement et de 150 000 euros d’amende.
– Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du Code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.
