Comment se protéger du phishing par SMS (smshing) sur téléphone portable

Les internautes sont habitués au phishing et hameçonnage par mail, mais on est moins habitué au phishing par SMS : Chronopost, banque, les impôts, l'administration, etc.
Ces arnaques et fraudes commencent à se développer avec des campagnes de plus en plus présentes sur les téléphones portables.
Certains d'ailleurs l'ont baptisé smshing.

Comment reconnaître et se protéger du phishing par SMS ?
Cet article vous donne toutes les bonnes pratiques à suivre pour éviter ces arnaques.

Comment se protéger du phishing par SMS (smshing) sur téléphone portable

Comment se protéger des phishing par SMS sur téléphone portable

Qu'est-ce que le phishing par SMS ?

Les méthodes et but sont identiques à hameçonnage par mail.
Le fraudeur se fait passer pour entité connue (banque, service des impôts, fournisseurs de services, l’administration, etc) pour vous faire cliquer vers un faux site se faisant passer pour tel quel.
En général sur ce dernier, on vous demande de remplir des informations nominatives et parfois des informations bancaires.formulaire.

Le but du phishing sous la forme de SMS frauduleux est alors :

  • Soit de récupérer l'accès personnel au service
  • Soit récupérer des coordonnées bancaires comme les données de votre carte de crédit
  • Rediriger vers des arnaques, par exemple vers des arnaques Samsung et IPhone à gagner
  • Faire rappeler un numéro surtaxé
  • Si un SMS vous invite à télécharger un fichier (notamment .APK), c'est un malware, cheval de troie assurément
  • Enfin récupérer des informations personnelles comme votre nom, adresse postale et email. Cela peut être utilisé pour d'autres attaques et fraudes ou encore mener à de l'usurpation d'identité

Si le SMS reçu prend une de ces formes alors ne cliquez pas sur le lien qu'il contient.

Aucun service ne vous demande de saisir des informations personnelles qu'ils ont déjà en votre possession depuis un mail ou un SMS.

Quelques exemples de phishing par SMS et smshing

Voici quelques exemples de smshing.
Ci-dessous un phishing SFR qui demande à régulariser une surconsommation. Les FAI sont souvent visés.
On propose alors de cliquer sur un lien court bitly.

Exemples de phishing et hameçonnage par SMS

Dans cet autre exemple, une demande urgente de rendez-vous à prendre à partir d'une message en messagerie-sms.com.
Pour paraître plus véridique, ici le nom et prénom est donné.

Exemples de phishing et hameçonnage par SMS

Votre colis est en attente - arnaque frais

Enfin un smshing avec un colis en attente avec la livraison à planifier.
On trouve un code STOP pour paraître là aussi plus véridique.

Exemples de phishing et hameçonnage par SMS

Les campagnes d'arnaques et fraudes de colis sont plus importantes avant Noël lorsque le nombre de colis et livraison augmente.
Elles sont aussi très importantes par mail.

Phishing et Hammeçonage colis, Chronoposte et livraison

Ainsi on peut terminer sur cet exemple de phishing par SMS colissimo.
Un SMS "nous avons essayé de livre votre colis" qui indique qu'il manque l'affranchissement du colis.
Le lien donné est un lien de réducteur d'URL.

Phishing et smshing colissimo

Puis on tombe sur un faux site (notez l'adresse) qui reprend celui de colissimo.
On vous indique alors :

Votre colis est prêt à être expédié! Les frais de port restants sont de €2,95, ce paiement doit être effectué dans les 24 heures.

faux site colissimo qui indique qu'il faut payer les frais de port

Le colis est en route mais la livraison est payante.

Bouton livraison payante

Enfin on tombe sur un site de paiement Amazing fitness.
Le pirate va alors récupérer les coordonnées bancaires.

Phishing avec demande de saisie des inforamtions bancaires

En étant un minimum vigilant, on se rend bien compte que quelque chose cloche.

Votre Colis a été envoyé - Trojan Android Banker

Même principe où vous recevez un SMS "Votre colis a été envoyé" avec un lien tynurl.com.

Votre Colis a été envoyé - Trojan Android Banker

Au moment de l'ouvrir vous êtes redirigé vers une autre URL.

Votre Colis a été envoyé - Trojan Android Banker

Puis un fichier APK est proposé en téléchargement.

Votre Colis a été envoyé - Trojan Android Banker

Ce dernier se fait passer pour un faux Google Chrome, soit donc un exécutable pour installer une application.

Votre Colis a été envoyé - Trojan Android Banker

Mais cette fois-ci, il s'agit d'un Trojan Banker.

Comment reconnaître et se protéger d'un phishing par SMS

Les règles à suivre pour reconnaître un phishing par SMS sont globalement les mêmes que pour le phishing par mail.

Lorsque vous recevez un SMS qui demande à cliquer sur un lien, quelque soit le motif :

  • De manière générale, inspectez le contenu général du SMS. Puis lisez attentivement le SMS et posez vous la question de savoir si cela est plausible
  • Ensuite vérifiez le numéro de téléphone de l'expéditeur
  • Puis prêtez attention au lien WEB. Les liens avec des raccourcis d'URL comme bit.ly, tinyurl sont clairement des arnaques ou malwares

Vérifier le numéro de téléphone de l'expéditeur

Les entités sont reconnues par les systèmes de messageries et SMS.
Ainsi, sur votre téléphone portable, ils sont clairement identifiés comme tel comme expéditeur du message.
Ci-dessous de vrais SMS reçus par Facebook, Firefox ou Orange.
Le numéro de téléphone n'apparaît mais directement le nom du service.

Exemples de phishing et hameçonnage par SMS

Dans le doute sur un numéro de téléphone, utilisez un annuaire inversé pour obtenir des confirmations sur un numéro de téléphone.
Le site des pages jaunes offre ce service gratuitement : Annuaire Inversé - A qui est ce numéro ?

Si on reprend les numéros utilisés plus haut, on voit ici que l'on obtient aucune information claire.
C'est donc plus que suspicieux.

Annuaire Inversé - A qui est ce numéro ?

Vérifier si le lien WEB est malveillant

Les pirates tentent d'utiliser des liens WEB proches des vrais.
Il faut donc bien inspecter ce dernier pour s'assurer qu'il s'agit du vrai.

En cas de doute, vous pouvez vérifier le lien en suivant ce tutoriel :

Signaler un phishing SMS au 33700

Vous avez reçu un phishing par SMS ?
Signalez le afin de stopper la diffusion et protéger d'autres personnes.

  • Sur le message du phishing, laissez appuyer dessus puis transmettre
  • Envoyez le au numéro 33700
  • Confirmez l'envoi et le signalement en saisissant le code indiqué
Signaler un phishing SMS au 33700