Qu'est-ce que le SMishing (phishing par SMS) ?
Mantra Team
Attaques de phishing : SMishing
Attaques de phishing : SMishing
Attaques de phishing : SMishing
Si le phishing était un animal, il s’agirait probablement d’un caméléon. Phishing par email ou par SMS, par appel vocal, envoyé en masse ou de manière ultra ciblée (spear-phishing)…
Le phishing peut définitivement prendre de multiples formes!
Il se développe d’ailleurs de plus en plus par SMS. On parle de « SMishing ».
La bonne nouvelle dans tout ça ? Il est possible de sensibiliser vos équipes au risque de SMishing en décortiquant précisément le phénomène et son fonctionnement. C’est justement l’objectif de cet article.
Qu'est-ce que le SMishing (SMS + phishing) ?
Phishing et SMishing : des canaux différents, des objectifs identiques
Le SMishing est une variante du phishing. Dans le cas du SMishing, les hackers utilisent le canal SMS pour inciter leur cible à accomplir une action : cliquer sur un lien frauduleux et saisir des informations confidentielles (informations d’identification de messagerie, coordonnées bancaires, par exemple), télécharger un malware, etc.
En menant ces attaques par SMS, les hackers ont les mêmes objectifs qu’avec le phishing : obtenir des informations confidentielles pour en faire un usage frauduleux, revendre ces informations ou encore conduire des attaques plus poussées.
Exemples d'hameçons
Il existe de nombreux exemples de phishing. Vous trouverez ci-dessous quelques-uns d'entre eux.
Quelques faits marquants sur le SMishing
Les attaques de phishing par SMS connaissent popularité croissante (certaines études estiments que jusqu’à 7 personnes sur 10 ont reçu une attaque de ce type en 2021). Pour les hackers, le SMishing est un vecteur d’attaque efficace.
Un taux de lecture élevé
D’après Médiamétrie, le taux de lecture d’un SMS se situe autour de 95 %, bien plus que pour des emails.
La rapidité avec laquelle nous consultons les SMS est également intéressante pour hackers: 92 % des SMS marketing sont lus dans les 4 minutes qui suivent leur réception.
Une capacité à tromper les gens trois fois plus élevée par téléphone que sur un ordinateur
Autre atout pour les hackers : la curiosité (ou au moins la propension à réagir aux messages) est décuplée sur téléphone. Nous sommes trois fois plus enclins à cliquer sur un lien suspect à partir d’un téléphone que sur un PC.
Comment les hackers mène-t-il ses attaques de SMishing ?
Le SMishing repose sur l'ingénierie sociale (social engineering)
C’est désormais bien connu : les hackers (comme l’ensemble des arnaqueurs, d’ailleurs) s’appuient sur des ressorts psychologiques (« social engineering ») pour inciter leurs cibles à cliquer sur un lien et effectuer une action ensuite.
Quels sont lesleviers psychologiquesemployés dans les attaques de SMishing ? Citons les leviers psychologiques les plus couramment exploités.
- Confiance et autorité : les SMS sont faussement signés par des entreprises ou institutions connues et régulièrement victimes d’usurpation d’identité comme La Poste, Ameli, Microsoft, Netflix, le service des impôts, les entreprises de livraison de colis, etc.
- La peur et la menace : peur de voir l’un de ses comptes suspendus, de perdre de l’argent, de ne plus pouvoir utiliser un service, etc.
- Urgence : « Confirmez vos informations personnelles sous 24h », par exemple (souvent utilisée avec une menace)
- Le recours à l'argent : en évoquant soit un gain, soit une perte.
Face à ces différents déclencheurs psychologiques, l'esprit humain doit être particulièrement vigilant pour ne pas céder à la tentation de cliquer sur un lien.
L'obfuscation de liens, un élément central des attaques de SMishing
Les SMS de phishing contiennent généralement un lien, et c’est via ce lien que les hackers entendent attirer leurs victimes dans leurs filets. Ce lien frauduleux est parfois dissimulé sous un lien raccourci (Bitly, TinyURL) pour le rendre plus difficile à analyser par le lecteur.
D’un point de vue un peu plus technique, cette technique est appelée « obfuscation de liens » car le lien est caché.
Dans les cas où le lien est visible en entier, il peut ressembler à une adresse légitime, mais souvent avec une lettre ou une structure différente.
Le SMishing, et ensuite ?
Pour les hackers, le SMishing n’est bien souvent qu’une étape. Il peut par exemple être utilisé comme porte d’entrée pour le déploiement d’un malware. Dans ce genre de cas, la victime reçoit un SMS contenant un lien. Le fait de cliquer sur le lien installe le malware sur le téléphone, et le logiciel malveillant peut ensuite tranquillement récupérer les données bancaires de la victime, ses mots de passe, ses contacts, etc. Le malware FluBot en est un exemple typique.
Autre cas de figure : l’utilisation du SMishing en soutien des cyberattaques de type Business Email Compromise (BEC). Vous savez, ce genre de message qui semble provenir du dirigeant (on parle de « CEO SMishing ») ou d’une personne précise au sein de l’entreprise pour inciter un salarié à effectuer un transfert d’argent ou à transmettre des informations confidentielles.
Initialement déployées par email, ces attaques de Business Email Compromise se diffusent maintenant également par SMS. L’entreprise Uber en fait les frais. Après avoir volé les identifiants de connexion de l’un des salariés de l’entreprise, un hacker s’est ensuite fait passer pour un membre du service informatique de l’entreprise Uber. Il a contacté l’un des salariés via WhatsApp pour le convaincre de valider les notifications d’authentification multi-factorielle et ainsi s’introduire au sein du système de l’entreprise.
Enfin, le SMishing peut faire partie intégrante du contournement de l'authentification multifactorielle: les hackers vont initier une connexion à partir d'identifiants préalablement acquis et envoyer un SMS de social engineering pour obtenir le code à usage unique reçu par l’utilisateur.
Comment se protéger contre les attaques de SMishing ? Quelques bonnes pratiques
Mettre en place un rempart technique contre le SMishing
D'un point de vue technique, les entreprises peuvent déployer des solutions de sécurité pour les terminaux mobiles. Leur objectif : protéger les téléphones professionnels des collaborateurs, à travers plusieurs fonctionnalités.
Parmi ces mesures on peut citer la mise en oeuvre d’une solution de gestion des appareils mobile, l’application automatique des mises à jour (OS et applications), le contrôle de l’installation d’application et la surveillance de comportements suspicieux, avec la possibilité de révoquer les accès des terminaux mobiles.
S'attaquer à l'aspect "humain" du SMishing
Ceci étant dit, même les meilleures protections techniques ne seront jamais étanches à 100 %. Certaines tentatives (la plupart même, si elles sont bien faites) arriveront malheureusement toujours à passer entre les mailles du filet.
Les SMS de phishing n’ont rien de dangereux tant que l’utilisateur n’y répond pas et ne clique pas sur le lien contenu dedans. La meilleure façon de renforcer la protection d'une entreprise contre le SMishing est d’adopter une approche fondée sur l’humain.
Communiquer sur les meilleures pratiques de SMishing
La protection contre le SMishing est à la portée de bon nombre d’utilisateurs, quel que soit leur degré de maturité vis-à-vis du numérique et tient en quelques mots : réflexes, vigilance, bon sens. Par exemple:
- Ne pas cliquer sur les liens contenus dans les SMS et provenant de numéros inconnus.
- Ne pas non plus répondre à ce type de SMS.
- Faites attention quand les SMS proposent des offres promotionnelles ou des leviers liés à l’urgence. Enseignez les pièges psychologiques que tendent les hackers.
- Essayez et vérifiez l'URL de destination
- Se rendre sur le site en question directement pour vérifier la pertinence de l’information plutôt que de suivre un lien donné par SMS. Les grandes entreprises ont l’habitude de voir leur identité usurpée et communiquent généralement sur les tentatives de phishing et de SMishing.
Former, sensibiliser, entrainer
Bien plus difficile de lutter contre une menace que l’on ne connaît et ne comprend pas. Le meilleur moyen de sensibiliser vos équipes au SMishing est donc de les former sur le sujet : décortiquer de vrais exemples de SMS de phishing, identifier les techniques utilisées par les hackers, expliquer les conséquences possibles d’une tentative de SMishing qui réussirait…
Intégrez également des scénarios de SMishing à vos simulations de phishing. Rien de tel pour voir comment vos utilisateurs réagissent face à cette menace.
Oups ! Un problème est survenu lors de la soumission du formulaire.
Plus de lecture
Quelle est la bonne fréquence et le bon moment pour vos campagnes de simulation de phishing ?
Quelle est la bonne fréquence et le bon moment pour vos campagnes de simulation de phishing ?
Quelle est la bonne fréquence et le bon moment pour vos campagnes de simulation de phishing ?
Simulations de phishing : La fréquence et le moment sont essentiels
Quelle est la bonne fréquence et le bon timing de vos campagnes de simulation de phishing pour qu'elles soient les plus efficaces ? Mantra L'équipe chargée des données de la Commission européenne se penche sur cette question.
Mantra Team
10 incontournables pour votre formation au travers de simulations de phishing
10 incontournables pour votre formation au travers de simulations de phishing
10 incontournables pour votre formation au travers de simulations de phishing
Former vos équipes avec des simulations de phishing : une checklist
Voici 10 conditions indispensables pour que toute formation soit efficace et permette de modifier durablement le comportement des utilisateurs face aux attaques de phishing.
Mantra Team
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Initial Access Broker - qui sont-ils, que font-ils et comment se protéger ?
Qui sont les courtiers en accès initial et que font-ils ? Quelles sont certaines de leurs techniques, et comment pouvez-vous protéger votre entreprise contre elles ?
Mantra Team