Pour rappel, dans le smishing, les cyberattaquants diffusent un sms contenant un lien frauduleux à un grand nombre de personnes usurpant l’identité d’une institution ou d’une marque, pour convaincre leurs victimes de divulguer des informations personnelles ou d’installer un malware sur leurs appareils.

1. L’avis de livraison
Avec l’essor du commerce électronique, nombreux sont les clients à vouloir vérifier l’état d’avancement d’une livraison. Et comme la plupart des entreprises proposent désormais des mises à jour de livraison par SMS, les hackers s’inspirent de noms de domaine existant ou utilisent des URL raccourcies pour faire parvenir des liens frauduleux à leurs victimes. La victime reçoit alors par SMS un lien qu’elle croit légitime sans avoir vérifié au préalable l’URL fournie.

2. Les SMS provenant d’établissements bancaires
Les banques sont souvent utilisées par les hackers dans le cadre d’attaques de smishing, car les notifications concernant l’activation d’une clé numérique, (dans le cadre du DSP2, devenu obligatoire dorénavant) un manque de fonds ou des factures impayées requièrent une attention urgente. Stressée par le message, la victime cherchera à régler le problème rapidement en cliquant sur le lien frauduleux.

Pourtant, si les banques envoient des SMS à leurs clients, elles n’incluent jamais de liens. Il s’agira toujours d’un simple message décrivant vaguement la nature du problème avec une invitation à se connecter à son compte pour s’assurer que les clients utilisent le site légitime pour se connecter.

3. Les abonnements à des plateformes de streaming
Netflix, Prime Video, Salto… Très populaires partout en France et adoptées par toutes les générations, les plateformes de streaming sont d’autant plus appréciées quand les journées raccourcissent et que les soirées au chaud se profilent. Dernièrement, de nombreuses campagnes visant notamment Netflix ont fleuries annonçant des impayés ou des suspensions de droits. Un sms qui peut forcer certains utilisateurs à baisser leur garde de peur de ne pouvoir profiter des services. Il convient donc de rappeler que les plateformes ne communiquent pas via des numéros « personnels » mais bien par le biais de numéros officiels identifiés et sécurisés (par exemple le 33700 est le numéro à joindre pour rapporter des sms de phishing à la CNIL et non de numéros personnels inconnus).

4. Les arnaques exploitant des services publics
Les services de l’assurance maladie, l’ANTS ou encore le compte de formation (CPF), les thématiques sont nombreuses et les tentatives d’arnaques pleuvent depuis plus d’un an, utilisant les communications officielles de l’Etat comme prétexte pour lancer de vastes campagnes de smishing. L’objectif : communiquer vos données personnelles (numéro de sécurité sociale, identifiant national) pour les revendre sur le darknet, ou dans le cas de l’arnaque CPF, récupérer vos droits à la formation et les faire transférer vers un compte bancaire !

Les bonnes pratiques à adopter en cas de smishing

Face aux tentatives d’arnaques par sms, il est essentiel de rappeler qu’il ne faut pas cliquer sur ces messages ni y répondre. De plus, en France, la CNIL a mis en place un numéro spécial auquel transférer les sollicitations commerciales non désirées et les sms frauduleux. Avec le numéro du 33700, chaque individu peut reporter ces tentatives et permettre aux opérateurs de bloquer les émetteurs et les dénoncer aux forces de l’ordre.
En outre, voici les 5 gestes à retenir impérativement pour éviter les désagréments d’une attaque :
• Ne PAS répondre au message
• Ne PAS appeler le numéro de téléphone de l’expéditeur
• Ne PAS cliquer sur des liens
• Ne PAS envoyer un SMS ARRÊT (STOP)
• Bloquer l’expéditeur du message et le reporter aux autorités de protection compétentes