Phishing SMS frauduleux :
que faire en cas de hameçonnage ?
Comment reconnaître un message de phishing ?
Comment éviter une arnaque et signaler un spam ?

phishing sms

Si vous avez déjà reçu un SMS malveillant, vous savez à quel point il peut être difficile de déterminer si le message est légitime ou non. Le phishing SMS, ou aussi appelé smishing est une méthode de fraude en ligne qui utilise des messages texte pour inciter les utilisateurs à divulguer des éléments privés et sensibles, tels que des informations financières ou des mots de passe.

Il est essentiel d’examiner les mesures à prendre pour éviter le phishing, comment les signaler, et comment vous pouvez protéger vos données privées contre les arnaques en ligne.

Hameçonnage - Phishing

Qu'est-ce que le phishing SMS ?

Les attaquants utilisent une variété de techniques pour créer du spam qui semblent légitimes. Par exemple, ils peuvent utiliser le nom et le logo d’une entreprise connue pour inciter les victimes à visiter l’URL. Ils peuvent également créer des numéros de téléphone fictifs pour donner l’apparence de provenir de l’entreprise ciblée.

Une fois que la victime clique sur le lien internet ou y répond, elle est redirigée vers un site Web malhonnête qui paraît être celui de l’entreprise, mais qui est en réalité une imitation destinée à voler les données privées.

Ces textos frauduleux peuvent également se présenter sous la forme de messages d’urgence prétendant provenir de votre institution financière, de l’administration gouvernementale ou même de votre opérateur de téléphonie mobile, tel que SFR. Les cybercriminels peuvent également utiliser des noms de plateformes populaires comme des sites de commerce en ligne ou de services de paiement pour inciter les destinataires à révéler leurs données privées ou de paiement.

Il est important de noter que les spams ne sont pas les seuls à être utilisés par les cybercriminels. Les e-mails de hameçonnage sont également très courants et peuvent contenir des pièces jointes malveillantes ou des liens vers des sites Web malintentionnés. Il est donc essentiel de ne jamais partager ses informations personnelles ou de paiement par SMS ou e-mail, sauf si vous êtes absolument certain que le message provient d’une source fiable.

Exemple d'un cas de phishing se faisant passer pour SFR

« Cher client SFR, nous avons remarqué une activité suspecte sur votre compte. Veuillez cliquer sur le lien ci-dessous pour vous connecter et vérifier votre compte : [URL frauduleux]. Merci de votre coopération. »

Il s’agit d’un message malintentionné qui tente de vous inciter à visiter un URL pour accéder à votre compte SFR, mais qui en réalité vous redirigera vers une fausse page de connexion. Les fraudeurs essaieront alors de récupérer vos éléments de connexion pour accéder à votre compte et éventuellement effectuer des transactions frauduleuses.

Exemple d'un cas de phishing SMS se faisant passer pour l'Assurance Maladie

L’un des sujets les plus courants est la carte Vitale.

Les fraudeurs peuvent envoyer des textos prétendant provenir de l’Assurance Maladie ou de la sécurité sociale pour inciter les destinataires à divulguer leur numéro de sécurité sociale et leur numéro de carte Vitale. Ils peuvent également prétendre que le destinataire doit effectuer une mise à jour de ses informations de carte Vitale en cliquant sur un lien internet ou en répondant en divulguant des éléments sécurisés.

Il est important de savoir que les organismes de sécurité sociale, y compris l’Assurance Maladie, ne demandent jamais de mettre à jour les éléments de la carte Vitale par SMS ou par mail.

Le phishing SMS est-il courant ?

C’est devenu une méthode de plus en plus courante utilisée par les cybercriminels pour voler des informations privées et financières. Les attaques peuvent être particulièrement efficaces, car les utilisateurs sont souvent plus enclins à faire confiance aux messages texte qu’ils reçoivent sur leur téléphone portable que aux e-mails suspects qui arrivent dans leur boîte de réception. Selon une étude de 2020, cette pratique a augmenté de 30 % au cours de l’année précédente et a représenté 15 % de toutes les attaques de hameçonnage. En outre, les attaques ont tendance à être plus ciblées et personnalisées, ce qui augmente leur taux de réussite. Il est donc important de rester vigilant et de prendre des mesures de sécurité pour se protéger contre ces attaques.

Comment fonctionne un SMS malveillant ?

C’est une technique de fraude qui consiste à envoyer des spams pour inciter les utilisateurs à divulguer des données personnelles sensibles. Les spams peuvent ressembler à des messages légitimes, provenant d’institutions financières, de services gouvernementaux ou d’entreprises réputées.

Le message texte malhonnête peut contenir un URL vers un site Web ou un formulaire qui vous demandera de saisir des éléments sensibles, comme votre nom, votre numéro de sécurité sociale, votre mot de passe, ou vos données financières. En cliquant sur le lien, vous pouvez télécharger un virus ou une application malveillante sur votre téléphone.

Comment repérer un message malveillant ?

Ils sont généralement faciles à repérer si vous savez à quoi vous devez faire attention. Voici quelques signes qui devraient vous alerter :

  • C’est un numéro inconnu ou suspect
  • On vous demande de fournir des données privées ou financières
  • Il comporte des fautes d’orthographe ou des erreurs grammaticales
  • On vous demande d’aller sur un URL suspect

Si vous en recevez un qui semble suspect, ne cliquez pas sur le lien et ne répondez pas. La plupart des entreprises de confiance ne vous enverront jamais de SMS vous demandant de fournir des informations sensibles. Vous pouvez cependant procéder au signalement de cette tentative d’arnaque.

Les banques envoient-elles des SMS de phishing ?

Les banques ne devraient jamais envoyer de SMS de phishing à leurs clients. Ce sont des tentatives frauduleuses pour obtenir des éléments sensibles tels que des identifiants de connexion, des mots de passe, des numéros de carte de crédit ou des informations bancaires en se faisant passer pour une entité de confiance telle qu’une institution financière. 

Les banques ont des protocoles stricts en place pour protéger leurs clients contre de telles activités frauduleuses, elles ne vous enverront donc jamais ce type de message. Si vous en recevez un prétendant être de votre établissement d’épargne, ne cliquez sur aucun lien internet et contactez immédiatement votre banque pour signaler l’incident.

Hameçonnage : Protégez vos données

Comment se protéger du smishing ou phishing par messagerie instantanée ?

Il existe plusieurs mesures que vous pouvez prendre pour protéger votre smartphone contre les attaques de ce genre :

  • Ne cliquez jamais sur un URL dans un contenu suspect
  • Ne répondez jamais
  • Ne fournissez jamais d’informations privées ou bancaires à une source inconnue
  • Utilisez un logiciel de sécurité mobile pour protéger votre smartphone ou votre tablette contre les menaces de phishing

Si vous avez déjà fourni des données privées ou financières à une source suspecte, il est important de contacter votre institution financière immédiatement et de changer vos mots de passe pour tous vos comptes en ligne.

Que faire en cas de réception de SMS frauduleux ?

Si vous recevez un message malveillant, la première chose à faire est de ne pas y répondre et de ne pas visiter les liens qu’il contient. Vous devriez également le signaler en envoyant le mot « SPAM » ou « ARNAQUE » au numéro 33700. Le 33700 est un service de signalement gratuit pour les messages et les appels téléphoniques non sollicités en France. S’il prétend provenir d’une entreprise, vous pouvez aussi contacter directement cette entreprise pour l’informer de la tentative de fraude.

Aussi, la CNIL (Commission nationale de l’informatique et des libertés) est une autorité administrative indépendante en France qui a pour mission de protéger les citoyens et leurs données cryptées. Dans le cas d’une attaque de smishing, les services de la CNIL peuvent jouer un rôle important dans la protection des victimes.

En effet, si une personne se retrouve victime et divulgue des éléments sensibles, tels que des numéros de carte bancaire ou des codes de connexion à un compte, elle peut signaler l’attaque à la CNIL. Elle peut alors enquêter sur l’origine de l’attaque et prendre les mesures nécessaires pour protéger les personnes concernées.

Si vous avez déjà répondu à un SMS frauduleux ou cliqué sur un lien suspect, il est important de changer immédiatement tous les mots de passe associés à votre compte et de surveiller vos comptes financiers pour détecter toute activité suspecte. Si vous avez fourni des informations privées, vous pouvez par ailleurs envisager de contacter votre banque et les agences de crédit pour les informer de la tentative de fraude et prendre les mesures nécessaires pour protéger votre identité.

Quelles peines et condamnations pour les cybercriminels ?

En France, les auteurs peuvent être poursuivis en vertu de l’article 313-1 du Code pénal pour escroquerie, passible de cinq ans d’emprisonnement et de 375 000 euros d’amende. Si l’escroquerie est commise en bande organisée ou si elle porte sur un système de traitement automatisé de données, la peine peut être portée à sept ans d’emprisonnement et passible de 750 000 euros d’amende.

En outre, l’utilisation de techniques de hameçonnage peut ainsi être considérée comme une violation de la loi informatique et libertés et de la réglementation européenne sur la protection des données personnelles (RGPD). Les entreprises qui ne protègent pas correctement les données privées de leurs clients peuvent être sanctionnées par la CNIL, l’autorité de protection des données en France, qui peut infliger des amendes allant jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise.

Conclusion

Le phishing SMS est une méthode courante utilisée par les cybercriminels pour tromper les utilisateurs en leur faisant divulguer des éléments sensibles.

Pour se protéger contre cette fraude en ligne, il est important de

  • ne jamais cliquer sur des liens suspects, 
  • ne jamais répondre 
  • ne jamais fournir d’éléments sécurisés ou bancaires à des sources inconnues.

Si vous recevez un SMS malveillant, signalez-le immédiatement en envoyant « spam » au numéro 33700 et contactez directement l’entreprise en question pour l’informer de la tentative de fraude.

En cas de violation, il est important de contacter votre banque immédiatement et de changer vos mots de passe pour tous vos comptes en ligne. Les auteurs de hameçonnage peuvent être poursuivis en vertu de l’article 313-1 du Code pénal pour escroquerie, passible de cinq ans d’emprisonnement et de 375 000 euros d’amende.

La prévention et la vigilance sont les meilleurs moyens de se protéger.