En ce moment même, il y a de très fortes chances qu'un SMS ou texto malfaisant fasse route vers votre smartphone. Ce message affirmerait provenir de votre banque et vous demanderait de fournir des renseignements financiers ou personnels, comme votre numéro de carte ou vos coordonnées bancaires. Faut-il accéder à ce type de demande ? Autant directement remettre la clé de votre compte aux malfrats ! Comme son cousin le phishing ou hameçonnage en français, ce type d’attaque a malheureusement le vent en poupe et connaît un taux de « succès » en hausse.
Dans cet article, nous vous expliquerons d'où vient le smishing, ce qui a favorisé sa généralisation et comment éviter de se faire prendre au piège.
Comment les auteurs de smishing appâtent-ils leurs victimes ?
Qu'est-ce que le smishing ? Le SMiShing est un [mot-valise] formé à partir de SMS (Short Message Service) et du terme anglais phishing qui signifie « hameçonnage ». Le SMS ou texto représente l'un des moyens les plus populaires de communiquer sur un téléphone, notamment chez les jeunes adultes. L'hameçonnage par SMS représente une menace particulièrement insidieuse pour deux autres raisons. Si une majorité d’utilisateurs est sensibilisée aux e-mails frauduleux et aux risques encourus, ils sont nettement moins méfiants sur leur téléphone. Un smartphone est considéré comme plus sûr qu’un ordinateur portable.
Mais sur un mobile, la sécurité a ses limites et l'utilisateur ne peut être directement protégé contre le smishing. Avec l’essor des smartphones, la cybercriminalité sur les appareils de téléphonie mobile explose. Les appareils Android, particulièrement répandus dans le monde, constituent les principales cibles de ces malwares. À l’image des autres formes de cybermenace, les attaques par SMS n’épargnent personne. Les propriétaires d'iPhones courent également un danger, même s'ils se sentent plus protégés.
Au-delà de leur flexibilité pour l’utilisateur, les smartphones constituent aussi un vecteur d’attaque prisé des cybercriminels. Problème : lorsque l’on utilise son smartphone n’importe où, on peut se laisser distraire. Il suffit qu’un message arrive au moment où vous relâchez votre vigilance, pour que vous y répondiez sans réfléchir Il suffit que l’on baisse quelques instants la garde pour répondre, sans réfléchir, à un SMS entrant. Or, un SMS d’hameçonnage peut, en soi, paraître aussi inoffensif qu'un bon de réduction.
Dans la plupart des cas, les auteurs de ces attaques de smishing, tentent de voler des informations personnelles. Mais ils peuvent aussi essayer de vous piéger pour vous faire télécharger et installer des logiciels malveillants sur votre téléphone. Prenant l’apparence d’une application légitime, ces malwares peuvent alors vous inciter à saisir vos données confidentielles, puis transmettre les données collectées aux cybercriminels. Autre possibilité : le lien contenu dans le message SMS frauduleux peut vous rediriger vers un faux site web sur lequel on vous demande des informations sensibles. Ces renseignements seront ensuite exploités par les cybercriminels pour voler votre identité en ligne. Au vu du nombre croissant de personnes qui utilisent leur smartphone dans le cadre de leur travail, le smishing est également devenu une menace tangible pour les entreprises.
Entreprises : comment vous protéger des attaques de smishing ?
Voici quelques mesures à prendre pour protéger votre personnel et vos données :
1. Renseignez-vous sur le niveau de sensibilisation de vos employés à la sécurité informatique. Avant toute chose, une évaluation du degré de familiarisation de vos collaborateurs avec la cybersécurité s'impose. Pour cela, vous pouvez créer un questionnaire à l’aide d’un générateur de sondages comme JotForm. Axez vos questions sur différentes tentatives d’escroqueries afin de mesurer leur niveau de vigilance [face aux menaces]. Il sera d’autant plus facile de mettre au point votre programme de sensibilisation à la sécurité informatique que vous aurez un bon aperçu du niveau de connaissances de vos collaborateurs.
2. Encadrez clairement l'usage du BYOD (Bring Your Own Device). Si vos collaborateurs sont autorisés à utiliser leur smartphone dans le cadre professionnel, mettez en place une politique de BYOD — ou en français « AVEC » (Apportez Votre Équipement Personnel de Communication). Votre politique devra fixer des directives claires et des attentes précises pour tous les aspects liés au BYOD, depuis l'utilisation des applications jusqu’à la détection des menaces informatiques.
3. Mettez en place un contrôle des accès. Tous les fichiers de l’entreprise n’ont pas à être consultés par tout le monde. Limitez par conséquent l'accès aux bases de données, sites web et réseaux aux seules personnes en ayant réellement besoin. En procédant ainsi, vous réduisez l'exposition potentielle [de l’entreprise] aux attaques de smishing. Pour les envois de fichiers, recommandez à vos collaborateurs de les compresser avant de les envoyer. Demandez-leur de privilégier le courrier électronique aux autres méthodes pour des questions de sécurité.
4. Instaurez une procédure de signalement. Assurez-vous que votre équipe connaît la procédure de signalement des menaces et escroqueries. Vérifiez qu’ils sachent à qui s'adresser pour obtenir des conseils en cas de messages suspects. Vous aurez besoin de toute l'aide que vous pourrez obtenir pour surveiller et bloquer les nouvelles attaques.
5. Informez tout le monde au moindre soupçon de smishing. Vous apprenez que votre entreprise est utilisée pour une campagne d’hameçonnage classique ou SMS ? Informez vos clients le plus vite possible pour éviter les violations de données indésirables ou autres dommages pour votre société. Répétez les règles à respecter dans votre entreprise en cas de demandes d'informations sur des comptes [bancaires ou utilisateurs] et refaites une passe sur les méthodes de communication approuvées.
Conclusion
Si les arnaques par SMS ne sont pas nouvelles, rappelons néanmoins qu’elles ne sont pas près de disparaître. Les entreprises doivent inscrire le smishing en tant que sujet prioritaire dans leurs formations à la cybersécurité. Avec l'augmentation du nombre de salariés qui utilisent leur mobile personnel ou celui fourni par leur employeur pour leur travail, le problème ne fait que croître. N'oubliez pas : les cybercriminels cherchent en permanence de meilleures méthodes pour piéger de nouvelles proies. Ils n’hésitent pas non plus à recycler de vieux stratagèmes. Pour éviter à votre entreprise et à vos collaborateurs d’être victimes d’une attaque d’hameçonnage par SMS, restez par conséquent sur vos gardes.
NB : Cet article a été rédigé par un contributeur externe en vue d’offrir à nos lecteurs une plus grande variété de contenus. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.
