Les internautes sont habitués au phishing et hameçonnage par mail, mais on est moins habitué au phishing par SMS : Chronopost, banque, les impôts, l’administration, etc.
Ces arnaques et fraudes commencent à se développer avec des campagnes de plus en plus présentes sur les téléphones portables.
Certains d’ailleurs l’ont baptisé smshing.
Comment reconnaître et se protéger du phishing par SMS ?
Cet article vous donne toutes les bonnes pratiques à suivre pour éviter ces arnaques.
Table des matières
Comment se protéger des phishing par SMS sur téléphone portable
Qu’est-ce que le phishing par SMS ?
Les méthodes et but sont identiques à hameçonnage par mail.
Le fraudeur se fait passer pour entité connue (banque, service des impôts, fournisseurs de services, l’administration, etc) pour vous faire cliquer vers un faux site se faisant passer pour tel quel.
En général sur ce dernier, on vous demande de remplir des informations nominatives et parfois des informations bancaires.formulaire.
Le but du phishing sous la forme de SMS frauduleux est alors :
- Soit de récupérer l’accès personnel au service
- Soit récupérer des coordonnées bancaires comme les données de votre carte de crédit
- Rediriger vers des arnaques, par exemple vers des arnaques Samsung et IPhone à gagner
- Faire rappeler un numéro surtaxé
- Si un SMS vous invite à télécharger un fichier (notamment via un fichier APK), c’est un malware, cheval de troie assurément
- Enfin récupérer des informations personnelles comme votre nom, adresse postale et email. Cela peut être utilisé pour d’autres attaques et fraudes ou encore mener à de l’usurpation d’identité
Si le SMS reçu prend une de ces formes alors ne cliquez pas sur le lien qu’il contient.
Quelques exemples de phishing par SMS et smshing
Voici quelques exemples de smshing.
Ci-dessous un phishing SFR qui demande à régulariser une surconsommation. Les FAI sont souvent visés.
On propose alors de cliquer sur un lien court bitly.
Dans cet autre exemple, une demande urgente de rendez-vous à prendre à partir d’une message en messagerie-sms.com.
Pour paraître plus véridique, ici le nom et prénom est donné.
Votre colis est en attente – arnaque frais
Enfin un smshing avec un colis en attente avec la livraison à planifier.
On trouve un code STOP pour paraître là aussi plus véridique.
Les campagnes d’arnaques et fraudes de colis sont plus importantes avant Noël lorsque le nombre de colis et livraison augmente.
Elles sont aussi très importantes par mail.
Ainsi on peut terminer sur cet exemple de phishing par SMS colissimo.
Un SMS “nous avons essayé de livre votre colis” qui indique qu’il manque l’affranchissement du colis.
Le lien donné est un lien de réducteur d’URL.
Puis on tombe sur un faux site (notez l’adresse) qui reprend celui de colissimo.
On vous indique alors :
Votre colis est prêt à être expédié! Les frais de port restants sont de €2,95, ce paiement doit être effectué dans les 24 heures.
Le colis est en route mais la livraison est payante.
Enfin on tombe sur un site de paiement Amazing fitness.
Le pirate va alors récupérer les coordonnées bancaires.
En étant un minimum vigilant, on se rend bien compte que quelque chose cloche.
Votre Colis a été envoyé – Trojan Android Banker
Même principe où vous recevez un SMS “Votre colis a été envoyé” avec un lien tynurl.com.
Au moment de l’ouvrir vous êtes redirigé vers une autre URL.
Puis un fichier APK est proposé en téléchargement.
Ce dernier se fait passer pour un faux Google Chrome, soit donc un exécutable pour installer une application.
Mais cette fois-ci, il s’agit d’un Trojan Banker.
Comment reconnaître et se protéger d’un phishing par SMS
Les règles à suivre pour reconnaître un phishing par SMS sont globalement les mêmes que pour le phishing par mail.
Lorsque vous recevez un SMS qui demande à cliquer sur un lien, quelque soit le motif :
- De manière générale, inspectez le contenu général du SMS. Puis lisez attentivement le SMS et posez vous la question de savoir si cela est plausible
- Ensuite vérifiez le numéro de téléphone de l’expéditeur
- Puis prêtez attention au lien WEB. Les liens avec des raccourcis d’URL comme bit.ly, tinyurl sont clairement des arnaques ou malwares
Vérifier le numéro de téléphone de l’expéditeur
Les entités sont reconnues par les systèmes de messageries et SMS.
Ainsi, sur votre téléphone portable, ils sont clairement identifiés comme tel comme expéditeur du message.
Ci-dessous de vrais SMS reçus par Facebook, Firefox ou Orange.
Le numéro de téléphone n’apparaît mais directement le nom du service.
Dans le doute sur un numéro de téléphone, utilisez un annuaire inversé pour obtenir des confirmations sur un numéro de téléphone.
Le site des pages jaunes offre ce service gratuitement : Annuaire Inversé – A qui est ce numéro ?
Si on reprend les numéros utilisés plus haut, on voit ici que l’on obtient aucune information claire.
C’est donc plus que suspicieux.
Vérifier si le lien WEB est malveillant
Les pirates tentent d’utiliser des liens WEB proches des vrais.
Il faut donc bien inspecter ce dernier pour s’assurer qu’il s’agit du vrai.
En cas de doute, vous pouvez vérifier le lien en suivant ce tutoriel :
Signaler un phishing SMS au 33700
Vous avez reçu un phishing par SMS ?
Signalez le afin de stopper la diffusion et protéger d’autres personnes.
- Sur le message du phishing, laissez appuyer dessus puis transmettre
- Envoyez le au numéro 33700
- Confirmez l’envoi et le signalement en saisissant le code indiqué
Liens
Enfin pour sécuriser votre PC contre les virus, pirates et hackers :