Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La menace du smishing plane sur les SMS : Ils peuvent servir de point d’entrée aux cybercriminels

novembre 2020 par Sophos

Dans le paysage des cyberattaques, les campagnes de SMS frauduleux, mieux connues sous le nom de « smishing » – combinaison des termes SMS et phishing – sont en plein essor. Si la technique du phishing à l’aide d’e-mails envoyés par des cybercriminels est, quant à elle, déjà bien connue des utilisateurs, quid du smishing ?

Le smishing est une technique d’ingénierie sociale grâce à laquelle les cybercriminels lancent des attaques massives contre un grand nombre d’utilisateurs grâce à l’envoi d’un simple SMS, se faisant passer pour un interlocuteur légitime, comme une banque, un réseau social, une administration publique ou une application communément utilisée. L’objectif de ces attaques est de dérober des informations personnelles ou de prélever des sommes d’argent sur les comptes des victimes en incitant les utilisateurs à cliquer sur un lien Internet frauduleux ou à communiquer leurs identifiants. C’est le manque d’habitude et de moyens de prévention qui rend ce type de cyberattaques si dangereux. Car si les attaques utilisant les spams et le phishing via e-mail sont très répandues, les utilisateurs continuent de considérer les envois de SMS comme légitimes, car ils sont généralement utilisés pour les communications personnelles, les notifications provenant de banques ou de compagnies aériennes, ou encore les codes à usage unique qui permettent de valider des opérations ou d’accéder à certains comptes. C’est pour cette raison que les cybercriminels ont commencé à les ajouter au panel de techniques leur permettant d’accéder aux données des utilisateurs.

Les experts en cybersécurité chez Sophos ont récemment détecté plusieurs exemples de campagnes de smishing. Parmi celles-ci, les banques et les entreprises de livraison ont fait office « d’appâts » principaux, mais certaines ont également débouché sur le vol de comptes sur WhatsApp ou d’autres réseaux sociaux, sur lesquels l’utilisateur est censé confirmer un paiement à l’aide d’un code qu’il vient de recevoir. Sophos propose 4 recommandations afin de se prémunir contre les attaques par smishing sur les appareils mobiles

1. Ne pas faire confiance à l’expéditeur : les cybercriminels peuvent changer le nom de l’expéditeur d’un SMS en ce qu’ils souhaitent, comme par exemple « 01Email ». Même si certaines mesures ont été développées pour contrecarrer ces fraudes, celles-ci ne sont pas encore en application. Aussi, dans le doute, mieux vaut ne pas se fier à ce qui est indiqué dans le nom de l’expéditeur.
2. Se montrer méfiant lorsqu’une action est requise : tout SMS qui requiert une action de la part de l’utilisateur doit être considéré comme suspect. Les notifications par SMS (« votre colis a bien été expédié ») sont une chose ; les messages qui recommandent une action et s’accompagnent d’une forme de menace – comme l’annulation d’une commande, d’une carte ou d’un compte – en sont une autre.
3. Les messages pressants doivent alerter : outre l’approche consistant à se faire passer pour une autorité représentant un service crédible (service postal, banque, etc.), une technique très répandue en ingénierie sociale consiste à envoyer un message pressant. Lors d’attaques par smishing, ceux-ci incitent l’utilisateur à agir immédiatement, réduisant ainsi son temps de réflexion et l’empêchant d’opérer les vérifications adéquates.
4. Protéger son appareil mobile : disposer d’un système de protection sur un appareil mobile fournit à l’utilisateur une couche de sécurité supplémentaire permettant de parer ce type d’attaque. Des solutions de protection gratuites disponibles sur le marché fournissent une protection anti-malware pour les appareils mobiles, un contrôle de la navigation afin de bloquer l’accès aux sites Internet malveillants et un contrôle des SMS frauduleux.

John Shier, Conseiller en Sécurité chez Sophos, déclare « Depuis quelques années, nous assistons à un changement dans la façon dont les utilisateurs se servent de leurs appareils mobiles. Ils servent aussi bien à accéder à un compte bancaire qu’à se divertir sur des plateformes filmiques ou télévisuelles, ou encore à communiquer avec notre environnement. Le nouveau scénario engendré par la pandémie de Covid-19 nous a forcés à être plus souvent connectés et a transformé les manières de travailler – le télétravail fait désormais partie intégrante de l’équation. Tout cela nous a rendus davantage vulnérables aux cyberattaques utilisant les SMS ou les e-mails. Les outils permettant de faciliter leur détection et la formation continue en vue de repérer les fraudes sont des piliers fondamentaux de la lutte contre les menaces telles que le smishing, »




Voir les articles précédents

    

Voir les articles suivants