Arnaques par SMS : gare au Smishing, la nouvelle méthode redoutable des pirates pour vous voler de l’argent

Les arnaques par SMS se multiplient, et les pirates se montrent de plus en plus rusés pour arriver à leurs fins. Après le SIM Swap, une nouvelle technique fait son apparition : le Smishing. Les cybercriminels se font passer pour vos proches et prétendent un accident ou une difficulté soudaine pour tenter de vous soutirer de l'argent.

On l'oublie facilement, mais les SMS sont une porte d'entrée très intéressante pour les pirates. D'abord parce que c'est par SMS que l'on reçoit souvent des codes d'authentification double facteur pour valider des paiements ou accéder à des comptes – on connait ainsi par exemple la technique du SIM swap, qui consiste à demander à un opérateur un double de la carte SIM d'une cible simplement en l'appelant et en se faisant passer pour elle, à partir d'infos personnelles glanées sur le net. Des chercheurs ont également découvert une faille des SMS très difficile à patcher qui permet d'envoyer des commandes invisibles sur un appareil.

Le Smishing, nouvelle méthode redoutable d'arnaque par SMS

La nouvelle technique de piratage par SMS s'appelle le Smishing. Plus simple, mais tout aussi dangereuse, elle joue à fond la carte du social engineering – autrement dit comment “pirater” les gens en les manipulant. L'idée c'est que les cybercriminels se renseignent sur la victime et ses liens avec ses proches en se renseignant entre autres sur les réseaux sociaux. Une fois que le pirate sait plus ou moins quelles sont les personnes les plus proches de leur victime, ils lui envoient un SMS. En général, ils prétendent être un membre de la famille, ou un ami très proche, dans une situation délicate.

PhoneArena cite Jason Hanson un ex-agent de la CIA qui est récemment intervenu sur le sujet. Il donne des exemples de SMS de Smishing et des conseils pour se protéger. Les SMS ressemblent ainsi à l'exemple suivant : “Salut Jason ! C'est John, j'ai un nouveau numéro”, ment le pirate avant d'ajouter “je déteste te déranger avec ça mais je suis loin et je viens d'avoir un accident de voiture. Je suis ok mais je suis à l'hôpital et j'ai besoin de 200 dollars pour rentrer chez moi”. Après une réponse de la victime qui lui demande comment savoir si il s'agit bien de son ami, le pirate lui renvoie un lien vers une photo où ils sont ensemble, renforçant la confiance de la victime.

Lire également : PayPal – arnaque en cours, 700 000 internautes se sont déjà fait soutirer 45 €

Photo qu'il est en réalité facile d'obtenir via les réseaux sociaux. Les conseils de Jason Hanson ne sont pas tous valables en France du fait des spécificités américaines. Il recommande par exemple d'être attentif au nombre de chiffres dans le numéro de téléphone – alors qu'en Europe il est très facile d'ouvrir une ligne de téléphone portable jetable. La seule vraie manière de détecter l'entourloupe chez nous semble d'être attentif à tout – fautes d'orthographe, crédibilité de l'histoire, correspondance avec la façon dont le vrai ami en question s'exprime, etc. Et d'éviter de répondre aux SMS venant de numéros inconnus (pas toujours possible dans les faits). Autrement dit, il y a de fortes chances que cette technique de phishing fasse des ravages. Prudence, donc !

Source : PhoneArena