Si le phishing était un animal, il s’agirait probablement d’un caméléon. Phishing par email ou par SMS, par appel vocal, envoyé en masse ou de manière ultra ciblée (spear-phishing)…
Le phishing peut définitivement prendre de multiples formes!
Il se développe d’ailleurs de plus en plus par SMS. On parle de « SMishing ».
La bonne nouvelle dans tout ça ? Il est possible de sensibiliser vos équipes au risque de SMishing en décortiquant précisément le phénomène et son fonctionnement. C’est justement l’objectif de cet article.
Le SMishing est une variante du phishing. Dans le cas du SMishing, les hackers utilisent le canal SMS pour inciter leur cible à accomplir une action : cliquer sur un lien frauduleux et saisir des informations confidentielles (informations d’identification de messagerie, coordonnées bancaires, par exemple), télécharger un malware, etc.
En menant ces attaques par SMS, les hackers ont les mêmes objectifs qu’avec le phishing : obtenir des informations confidentielles pour en faire un usage frauduleux, revendre ces informations ou encore conduire des attaques plus poussées.
Il existe de nombreux exemples de phishing. Vous trouverez ci-dessous quelques-uns d'entre eux.
Les attaques de phishing par SMS connaissent popularité croissante (certaines études estiments que jusqu’à 7 personnes sur 10 ont reçu une attaque de ce type en 2021). Pour les hackers, le SMishing est un vecteur d’attaque efficace.
D’après Médiamétrie, le taux de lecture d’un SMS se situe autour de 95 %, bien plus que pour des emails.
La rapidité avec laquelle nous consultons les SMS est également intéressante pour hackers: 92 % des SMS marketing sont lus dans les 4 minutes qui suivent leur réception.
Autre atout pour les hackers : la curiosité (ou au moins la propension à réagir aux messages) est décuplée sur téléphone. Nous sommes trois fois plus enclins à cliquer sur un lien suspect à partir d’un téléphone que sur un PC.
C’est désormais bien connu : les hackers (comme l’ensemble des arnaqueurs, d’ailleurs) s’appuient sur des ressorts psychologiques (« social engineering ») pour inciter leurs cibles à cliquer sur un lien et effectuer une action ensuite.
Quels sont lesleviers psychologiquesemployés dans les attaques de SMishing ? Citons les leviers psychologiques les plus couramment exploités.
Face à ces différents déclencheurs psychologiques, l'esprit humain doit être particulièrement vigilant pour ne pas céder à la tentation de cliquer sur un lien.
Les SMS de phishing contiennent généralement un lien, et c’est via ce lien que les hackers entendent attirer leurs victimes dans leurs filets. Ce lien frauduleux est parfois dissimulé sous un lien raccourci (Bitly, TinyURL) pour le rendre plus difficile à analyser par le lecteur.
D’un point de vue un peu plus technique, cette technique est appelée « obfuscation de liens » car le lien est caché.
Dans les cas où le lien est visible en entier, il peut ressembler à une adresse légitime, mais souvent avec une lettre ou une structure différente.
Pour les hackers, le SMishing n’est bien souvent qu’une étape. Il peut par exemple être utilisé comme porte d’entrée pour le déploiement d’un malware. Dans ce genre de cas, la victime reçoit un SMS contenant un lien. Le fait de cliquer sur le lien installe le malware sur le téléphone, et le logiciel malveillant peut ensuite tranquillement récupérer les données bancaires de la victime, ses mots de passe, ses contacts, etc. Le malware FluBot en est un exemple typique.
Autre cas de figure : l’utilisation du SMishing en soutien des cyberattaques de type Business Email Compromise (BEC). Vous savez, ce genre de message qui semble provenir du dirigeant (on parle de « CEO SMishing ») ou d’une personne précise au sein de l’entreprise pour inciter un salarié à effectuer un transfert d’argent ou à transmettre des informations confidentielles.
Initialement déployées par email, ces attaques de Business Email Compromise se diffusent maintenant également par SMS. L’entreprise Uber en fait les frais. Après avoir volé les identifiants de connexion de l’un des salariés de l’entreprise, un hacker s’est ensuite fait passer pour un membre du service informatique de l’entreprise Uber. Il a contacté l’un des salariés via WhatsApp pour le convaincre de valider les notifications d’authentification multi-factorielle et ainsi s’introduire au sein du système de l’entreprise.
Enfin, le SMishing peut faire partie intégrante du contournement de l'authentification multifactorielle: les hackers vont initier une connexion à partir d'identifiants préalablement acquis et envoyer un SMS de social engineering pour obtenir le code à usage unique reçu par l’utilisateur.
D'un point de vue technique, les entreprises peuvent déployer des solutions de sécurité pour les terminaux mobiles. Leur objectif : protéger les téléphones professionnels des collaborateurs, à travers plusieurs fonctionnalités.
Parmi ces mesures on peut citer la mise en oeuvre d’une solution de gestion des appareils mobile, l’application automatique des mises à jour (OS et applications), le contrôle de l’installation d’application et la surveillance de comportements suspicieux, avec la possibilité de révoquer les accès des terminaux mobiles.
Ceci étant dit, même les meilleures protections techniques ne seront jamais étanches à 100 %. Certaines tentatives (la plupart même, si elles sont bien faites) arriveront malheureusement toujours à passer entre les mailles du filet.
Les SMS de phishing n’ont rien de dangereux tant que l’utilisateur n’y répond pas et ne clique pas sur le lien contenu dedans. La meilleure façon de renforcer la protection d'une entreprise contre le SMishing est d’adopter une approche fondée sur l’humain.
La protection contre le SMishing est à la portée de bon nombre d’utilisateurs, quel que soit leur degré de maturité vis-à-vis du numérique et tient en quelques mots : réflexes, vigilance, bon sens. Par exemple:
Bien plus difficile de lutter contre une menace que l’on ne connaît et ne comprend pas. Le meilleur moyen de sensibiliser vos équipes au SMishing est donc de les former sur le sujet : décortiquer de vrais exemples de SMS de phishing, identifier les techniques utilisées par les hackers, expliquer les conséquences possibles d’une tentative de SMishing qui réussirait…
Intégrez également des scénarios de SMishing à vos simulations de phishing. Rien de tel pour voir comment vos utilisateurs réagissent face à cette menace.
Quelle est la bonne fréquence et le bon timing de vos campagnes de simulation de phishing pour qu'elles soient les plus efficaces ? Mantra L'équipe chargée des données de la Commission européenne se penche sur cette question.
Voici 10 conditions indispensables pour que toute formation soit efficace et permette de modifier durablement le comportement des utilisateurs face aux attaques de phishing.
Qui sont les courtiers en accès initial et que font-ils ? Quelles sont certaines de leurs techniques, et comment pouvez-vous protéger votre entreprise contre elles ?