La fraude par SMS existe depuis longtemps déjà. À l’occasion du World Mobile Congress de Barcelone, les opérateurs téléphoniques alertent sur une technique redoutable et bien rodée : le smishing. Ce nouveau mot-valise, hérité des termes anglais “SMS” et “phishing” ne concerne pas seulement les tentatives d’arnaques par SMS, mais englobe plus spécifiquement les messages usurpant l’identité d’organismes officiels, comme les banques, les plateformes de livraison, ou encore les autorités douanières.
Comme pour n’importe quelle tentative de phishing, la victime est contactée par SMS. Un interlocuteur se faisant passer pour sa banque ou un établissement de paiement se présente avec un motif urgent : confirmer la réception d’un paiement, payer des frais de douanes, ou régulariser un paiement en attente. En cliquant sur le lien fourni, la victime est incitée à “partager des informations personnelles, cliquer sur des liens malveillants ou bien télécharger des logiciels ou des applications nuisibles“, explique Stuart Jones, de l’entreprise américaine de cybersécurité Proofpoint.
400 000 SMS frauduleux chaque jour
S’il n’est pas nouveau, le smishing s’est notamment développé pendant la crise du Covid-19, qui a vu fait exploser le nombre de démarches administratives ou commerciales effectuées en ligne. Selon une étude du Mobile Ecosystem Forum (MEF), 39 % des consommateurs ont été confontés à au moins une tentative d’arnaque par SMS en 2023. En moyenne, 300 000 à 400 000 attaques par SMS auraient lieu chaque jour, rapporte l’étude Proofpoint, qui rapporte une hausse exponentielle de +318% en 2023. Depuis 2022, le smishing aurait coûté 330 millions de dollars aux consommateurs, rapporte la Federal Trade Commission. C’est cinq fois plus qu’en 2019.
Le problème, c’est que les internautes ont plus souvent tendance à faire confiance aux SMS, et donc à cliquer sur des liens inconnus reçus sur leur smartphone. “les taux de clics sur les liens envoyés par mobile sont jusqu’à huit fois supérieurs à ceux reçus par messagerie électronique“, rapporte Proofpoint. Avec des niveaux d’orthographes irréprochables, et des attaques toujours plus sophistiquées, les pirates n’hésitent plus à utiliser les grands moyens pour arriver à leurs fins.
Comment réagir ?
Pour faire face à la recrudescence d’arnaques au smishing, de plus en plus de pays ont désormais recours à des plateformes de signalement. En France par exemple, il est possible de transférer un SMS suspicieux au 33700. Ce dernier sera ensuite confié aux autorités, qui se chargeront d’ouvrir une enquête, et de bloquer les numéros frauduleux en cas de problème. Une solution peu efficace dans la réalité. Les fraudeurs changent de numéro en permanence, et jonglent entre les plateformes de messagerie. Au point qu’il devient de plus en plus compliqué de les démasquer. Le plus efficace reste donc de rester vigilant, en évitant de cliquer sur des liens provenant de numéros inconnus.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
