Juste au moment où vous pensiez avoir la main sur les e-mails de phishing, on apprend que les acteurs de la menace changent de tactique et attaquent les gens en utilisant des SMS frauduleux.
La Commission fédérale des communications (FCC) a récemment publié une note pour mettre en garde les gens contre une augmentation des attaques de phishing par SMS, partageant que les escroqueries par SMS ont augmenté de façon stupéfiante de 168 % entre 2019 et 2021, avec plus de 8 500 plaintes rien que cette année.
« Les cybercriminels utilisent de plus en plus les SMS comme méthode pour contourner les contrôles de sécurité généralement mis en œuvre dans les courriels et autres systèmes de communication », a déclaré Josh Yavor, responsable de la sécurité informatique chez Tessian. « Nous assistons à de nouvelles vagues d’attaques par ingénierie sociale où les attaquants se font passer pour différents types de SMS afin de duper les consommateurs et les amener à donner des informations sensibles et personnelles. »
Pourquoi les SMS doivent mourir
L’armement des SMS
Les attaques de phishing perpétrées via des SMS frauduleux sont généralement connues sous le nom de smishing, ou comme la FCC les appelle dans sa note : robotexts.
Selon la commission, les plaintes concernant ces SMS indésirables ont augmenté régulièrement ces dernières années, passant d’environ 5 700 en 2019, 14 000 en 2020 et 15 300 en 2021, à 8 500 jusqu’au 30 juin 2022.
Elle a également suggéré que ce chiffre pourrait n’être que la partie émergée de l’iceberg, soulignant un rapport de Robokiller qui estime que les Américains ont reçu plus de 12 milliards de robotext en juillet 2022, soit une moyenne d’environ 44 textes de spam pour chaque citoyen.
La FCC a également fait part de certains des leurres courants que les escrocs à l’origine de ces campagnes de smishing utilisent pour inciter les gens à livrer des informations confidentielles.
» Comme les robocallers, un robotexter peut utiliser la peur et l’anxiété pour vous faire interagir « , a noté la FCC. « Les textos peuvent inclure des affirmations fausses mais vraisemblables concernant des factures impayées, des problèmes de livraison de colis, des problèmes de compte bancaire ou des mesures d’application de la loi à votre encontre. »
De plus, dans leur tentative d’engager le dialogue avec vous, les escrocs peuvent également utiliser les SMS frauduleux pour fournir des informations confuses, comme s’ils envoyaient un SMS à quelqu’un d’autre, afin de vous inciter à répondre, dans un sens ou dans l’autre.
S’appuyant sur la note de la FCC, M. Yavor souligne que les SMS sont « intrinsèquement plus dangereux » que le courrier électronique comme moyen d’hameçonnage, car il est beaucoup plus difficile de lutter contre les messages frauduleux par SMS que par courrier électronique.
« Malheureusement, le monde de la sécurité pour les SMS est à la traîne par rapport au courrier électronique, car les protections de base dont nous disposons pour le courrier électronique n’existent tout simplement pas pour les textes », a déclaré M. Yavor. « Avec les SMS, il est plus difficile de former les gens à identifier les expéditeurs frauduleux, et les gens n’ont pas les mécanismes de soutien auxquels ils sont habitués lorsqu’ils utilisent le courrier électronique. »
Selon l’expérience de Yavor, les gens ont plus de chances d’identifier une fausse adresse e-mail, alors que c’est plus difficile avec les SMS, grâce à la prévalence de l’usurpation de numéro.
Les SMS sont plus dangereux
Yavor a cité une enquête de Tessian, qui a révélé que plus de la moitié des personnes interrogées avaient reçu un SMS frauduleux au cours de l’année écoulée. En outre, un tiers d’entre elles sont tombées dans le piège, un chiffre supérieur à celui des personnes ayant reçu un courriel de phishing.
Les gens ne s’attendent généralement pas à être victimes d’une escroquerie par le biais de leurs textos, ce qui explique pourquoi les SMS sont devenus un vecteur d’attaque vraiment efficace, a noté Jeff Hancock, professeur de communication à l’université de Stanford (Harry et Norman Chandler), dans l’enquête de Tessian.
Selon lui, la confiance accordée aux SMS provient du fait que, jusqu’à récemment, très peu de personnes extérieures à notre réseau pouvaient nous joindre par SMS. « Lorsque nous faisons des achats en ligne et que nous sommes invités à communiquer notre numéro de téléphone portable, nous recevons maintenant des messages texte de contacts que nous ne connaissons pas – certains messages sont légitimes, d’autres non », a déclaré M. Hancock.
Si vous avez reçu un SMS suspect ou une demande inhabituelle de la part d’une personne en qui vous avez par ailleurs confiance, Yavor suggère que le meilleur conseil à suivre est le même que pour les e-mails : au lieu de répondre immédiatement, prenez le temps de contacter l’expéditeur par un autre moyen pour vérifier l’authenticité du SMS.
« Il est impératif de toujours établir la confiance en dehors de la conversation par SMS et de se rappeler que les organisations légitimes [comme votre banque] ne poseraient jamais d’ultimatum (comme rappeler dans 12 heures ou autre chose) ou ne demanderaient pas de détails financiers ou de mots de passe par SMS », a déclaré Yavor. « Enfin, les gens peuvent signaler les spams et les textos frauduleux à leur opérateur en faisant suivre les messages au 7726. »