PME et cybermenaces : comment répondre aux nouveaux défis avec Fortinet ?

Qu’est-ce que le Smishing ? 

Le 30 mai 2023, le youtubeur Micode, spécialisé dans l’informatique et la cybersécurité publiait sur sa chaine YouTube une vidéo sur le fonctionnement des arnaques aux SMS. Dans cette enquête, le vidéaste est parvenu à infiltrer un réseau d’arnaqueurs, responsable de nombreuses tentatives d’hameçonnage par SMS, aussi appelé Smishing.    

Alors, qu’est-ce que le smishing, comment s’en prémunir, et que faire si vous en êtes victime ?  

Qu’est-ce que le smishing ?  

L’hameçonnage ou phishing par SMS est également appelé smishing qui est la contraction de « SMS » et « phishing » en anglais. Il s’agit d’une méthode utilisée par les cybercriminels pour tromper leurs victimes en usurpant par SMS l’identité d’un tiers connu (administrations, banques, services de livraison, services en ligne…). 

Sous cette fausse identité et avec un faux prétexte, l’hameçonnage par SMS consiste à émettre un message court qui, en général, va inciter les victimes à communiquer des informations personnelles et/ou de carte bancaire, voire des identifiants de connexion (mots de passe).   

Comment éviter d’être victime d’un smishing ?  

Il existe évidemment des astuces et des bonnes pratiques pour ne pas être victime de phishing. 

  • Quand vous recevez un SMS, vérifiez bien que tout soit normal : le mail est-il professionnel ? Il, y a-t-il des fautes d’orthographe ou des caractères étranges ? Le mail vous pose-t-il un ultimatum pour verser une somme d’argent, alors que vous n’avez reçu aucun avertissement au préalable ? L’adresse mail est-elle suspecte ? (Présence de chiffres, adresse gouvernementale ne se terminant pas par « .gouv.fr »). 
  • Ne communiquez jamais d’informations confidentielles comme vos coordonnées bancaires par SMS ou par téléphone. Aucune administration officielle ne vous demandera de le faire. 
  • En cas de redirection vers un site extérieur, vérifiez l’URL. Si elle ne correspond pas exactement au site concerné, alors il s’agit probablement d’une arnaque. Il est très courant qu’une lettre soit changée pour ressembler le plus possible au site imité (par exemple, qoogle.com. ou lmpots.gouv.fr). 
  • Utilisez des mots de passe différents pour chaque site, afin de limiter les dégâts en cas de vol de données. 

 

Que faire si vous êtes victime de smishing ?  

  • Faites opposition immédiatement : si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites immédiatement opposition auprès de votre organisme bancaire ou financier. 
  • Rassemblez les preuves (en particulier, le message malveillant reçu et les informations du site Internet malveillant visité), et effectuez un signalement sur la plateforme Perceval du ministère de l’Intérieur. Vous pouvez aussi déposer plainte au commissariat de police ou à la brigade de gendarmerie ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession. 
  • Si vous avez communiqué un mot de passe, changez-le immédiatement.  
  • Si vous soupçonnez un piratage de compte, appliquez les conseils de notre article dédié à ce sujet.  
  • Si vous soupçonnez qu’un virus a été installé sur votre appareil, appliquez les conseils de notre article dédié à ce sujet.  

 

L’avis de Pérenne’IT 

Le phénomène de smishing touche aussi les entreprises, pour s’en prémunir l’entreprise doit mener régulièrement des campagnes de sensibilisation de ses collaborateurs, et sa PSSI doit prévoir l’éventualité d’une attaque par phishing.