Qu'est-ce que Smishing ?

Le smishing est une forme de phishing dans laquelle un attaquant utilise un SMS convaincant pour inciter les destinataires ciblés à cliquer sur un lien et à envoyer à l'attaquant des informations privées ou à télécharger des programmes malveillants sur un smartphone.

La plupart des 3,5 milliards de smartphones dans le monde peuvent recevoir des SMS de n'importe quel numéro dans le monde. De nombreux utilisateurs sont déjà conscients des dangers qu'il y a à cliquer sur un lien dans les emails, mais pas forcément du danger de cliquer sur des liens dans des messages textes.

Les utilisateurs font beaucoup plus confiance aux SMS, et le smishing est souvent lucratif pour les attaquants qui cherchent à obtenir des informations d'identification, des informations bancaires et des données privées.

La plupart des attaques de smishing fonctionnent comme le phishing par email. L'attaquant envoie un message incitant l'utilisateur à cliquer sur un lien ou demande une réponse qui contient les données privées de l'utilisateur ciblé.

Les informations que l'attaquant veut obtenir peuvent être très diverses :

• Informations d'identification d’un compte en ligne.
• Informations privées pouvant être utilisées dans le cadre d'un vol d'identité.
• Données financières pouvant être revendues sur le marché noir ou pour la fraude en ligne.

Les Smishers utilisent divers moyens pour tromper les utilisateurs et leur faire envoyer des informations privées. Ils peuvent utiliser des informations de base sur la cible (comme son nom et adresse par exemple) provenant d'outils en ligne publics, pour faire croire à la cible que le message provient d'une source fiable.

L'expéditeur peut utiliser votre nom et votre lieu de résidence pour s'adresser directement à vous : ces détails rendent le message plus convaincant. Le message affiche alors un lien pointant vers un serveur contrôlé par l'attaquant. Ce lien peut mener à un site de phishing de justificatifs d'identité ou à un malware conçu pour compromettre le téléphone lui-même.

Le malware peut alors être utilisé pour espionner les données du smartphone de l'utilisateur ou envoyer des données sensibles en arrière-plan à un serveur contrôlé par l’attaquant.

L'ingénierie sociale, ou social engineering, est utilisée en combinaison avec le smishing. L'attaquant peut appeler l'utilisateur pour lui demander des informations privées avant d'envoyer un SMS : les informations privées peuvent ensuite être utilisées dans l'attaque par SMS. Plusieurs opérateurs téléphoniques ont tenté de lutter contre les appels d'ingénierie sociale en affichant “Spam Risk” sur un smartphone lorsqu'un numéro d'escroquerie connu appelle l'utilisateur.

Les malwares sont souvent arrêtés par des fonctions de sécurité de base d'Android et d'iOS. Mais même avec de solides contrôles de sécurité sur les systèmes d'exploitation mobiles, aucun contrôle de sécurité ne peut lutter contre les utilisateurs qui envoient volontairement leurs données à un numéro inconnu.

De nombreux attaquants utilisent l'automatisation pour envoyer leurs SMS à de nombreux utilisateurs, et utilisent une adresse email afin d'éviter d'être détectés. Le numéro de téléphone indiqué dans l'identification de l'appelant est généralement un numéro qui pointe vers un service VoIP en ligne comme Google Voice, où il est impossible de rechercher l'emplacement du numéro.

L'image suivante montre un exemple d'attaque par smishing. Ici, l'agresseur se fait passer pour le fisc et menace le destinataire d'être arrêté et de se retrouver ruiné s'il n'appelle pas le numéro indiqué dans le message.

Si le destinataire appelle, il se fait arnaquer pour envoyer de l'argent.

Une attaque de smishing plus courante utilise des noms de marque avec des liens censés pointer vers le site de la marque.

Habituellement, un attaquant dira à l'utilisateur qu'il a gagné de l'argent ou fournira un lien malveillant censé être destiné à suivre un colis, comme dans l'exemple suivant.

La langue utilisée dans le message ci-dessus devrait mettre la puce à l’oreille des utilisateurs qui connaissent le fonctionnement du smishing. Mais de nombreux utilisateurs font confiance aux SMS et ne sont pas rebutés par un langage informel.

Un autre signe d'avertissement est l'URL : elle ne pointe pas vers une URL officielle de FedEx. Mais tous les utilisateurs ne sont pas familiers avec les URL officielles des marques et peuvent les ignorer.

Les attaquants utilisent ce type de message parce que la probabilité que la cible attende un colis est élevée. Si le message est envoyé à des milliers de destinataires, il peut tromper beaucoup d'entre eux.

Le lien pointe généralement vers un site hébergeant un malware, ou invite l'utilisateur à se connecter à son compte. La page d'authentification ne se trouve pas sur le site officiel de FedEx, mais il est plus difficile de voir l'URL complète sur le navigateur d'un smartphone, et de nombreux utilisateurs ne se donneront pas la peine de vérifier.

Les pirates utilisent un message auquel l'utilisateur peut s'attendre. D'autres attirent les victimes en leur promettant de l’argent s'ils renseignent leurs données personnelles. L'image suivante est une autre attaque de smishing utilisant le nom de marque d'Amazon :

Là encore, le langage utilisé dans l'attaque ci-dessus devrait rendre les destinataires suspects, mais les utilisateurs font confiance aux conversations informelles dans les SMS. Le lien dans ce message pointe vers un site .info sans rapport avec les propriétés web d'Amazon.

Le domaine a déjà été supprimé et n'est plus accessible, mais il est probable que le lien pointe vers une page qui tente de collecter des données privées, y compris des informations d'identification. L'URL de ces attaques redirige généralement les utilisateurs vers un serveur contrôlé par l'attaquant où s'affiche le contenu du phishing.