Pour vous protéger contre le Smishing et le Vishing, les deux cyberattaques favorites des pirates depuis fin 2024, nous vous présentons en détail ces menaces dérivées du Phishing et les bonnes pratiques qui vous permettront de vous en prémunir efficacement.
Sommaire
Qu’est-ce que le Smishing & le Vishing ?
Définition du Smishing
Le Smishing c’est uneforme de Phishing, qui utilisel’ingénierie socialeet les SMS (ou parfois des applications comme Messenger et WhatsApp)pour vous escroquer. Pour mieux vous tromper, les cybercriminels jouent sur le fait que ces modes de communication sont souvent perçus comme plus personnels et donc moins suspectsque les emails. Ainsi, lorsque vous recevez des messages semblant provenir de sources fiables, vous êtes moins méfiant et plus enclin à obéir aux demandes des pirates.
C’est pourquoi, ces derniers emploient généralement le Smishing pour :
voler vos données personnelles : identifiants de connexion, mots de passe, numéros de sécurité sociale, informations bancaires, etc…
vous soutirer de l’argent : accès à vos comptes bancaires, achats frauduleux, arnaques en tout genre…
vous faire télécharger un ou plusieurs malwares : qui infectent vos appareils afin de permettre aux hackers de les contrôler ou de vous espionner à distance, voire de les utiliser dans des attaques plus vastes
usurper votre identité : pour commettre des actions répréhensibles en se cachant derrière la vôtre
Comment se présentent les arnaques via Smishing ?
La plupart du temps, ces attaques suivent le même scénario.
Les pirates vous envoient un SMS en se faisant passer pour une source légitime et digne de confiance, comme par exemple :
une institutions financières (banque, organisme de crédit, Paypal, etc…)
une société de livraison (DHL, UPS, etc…)
un fournisseur de services (EDF, GDF, Orange, SFR, etc…)
une administration publiques
ou encore vos propres contacts personnels, si les pirates ont réussi à s’approprier leur numéro de téléphone (comme dans un cas de SIM Swap par exemple)
Bien entendu, ces SMS sont conçus pour vous manipuler en exploitant vos émotions (urgence, peur, curiosité, etc…). C’est pourquoi ils utilisent souvent sur l’un de ces sujets comme prétexte pour vous contacter :
Alerte de sécurité concernant votre compte bancaire ou l’un de vos comptes en ligne Exemple : Votre compte a été bloqué, Activité suspecte détectée
Notifications liées à une livraison concernant l’un de vos colis Exemple : Votre colis est en attente de livraison veuillez confirmer votre adresse et/ou régler les frais de douanes
Offres promotionnelles ou gains fictifs exceptionnels à réclamer Exemple : Vous avez gagné le nouvel Iphone 16 Pro, cliquez ici pour le réclamer
Demandes d’informations personnelles sous un prétexte fallacieux Exemple : Veuillez confirmer vos informations personnellesafin de continuer à bénéficier pleinement de nos services
Enfin, ce SMS contient généralement un lienfrauduleux qui, lorsque vous cliquez dessus :
lance le téléchargement d’un malware sur votre appareil
vous redirige vers un faux site web imitant parfaitement celui d’un organisme légitime (votre banque, un site e-commerce, etc…) afin de vous inciter à renseigner vos informations personnelles
Définition du Vishing
Le Vishing, qui est aussi une variante du Phishingbasée sur l’ingénierie sociale, utilise quant à lui les appels vocaux pour tenter de vous escroquer. Là encore, les pirates s’appuient sur vos biais cognitifs pour mieux vous manipuler. Comme par exemple, le fait qu’une demande réalisée via un appel téléphonique est généralement perçue comme plus importante et urgente qu’une demande envoyée par email. Ou encore, le fait qu’une conversation orale semble moins suspecte qu’un email.
Lorsque les pirates utilisent le Vishing, ils ont généralement pour objectif de récupérer :
vos informations financières : numéros de cartes bancaires, codes PIN, identifiants de comptes bancaires en ligne, tout ce qui leur permettra de s’emparer de votre trésorerie
vos données personnelles : emails, identifiants et mots de passe, et de manière plus large, toute information permettant l’usurpation de votre identité
Dans le cadre d’une attaque par Vishing, les pirates passent d’abord par une étape de collecte de renseignements sur leur victime. Cela leur permet d’en apprendre plus sur vous / votre société et de crédibiliser leur argumentaire pour vous pousser à leur obéir. Pour ce faire toutes les sources sont bonnes : vos réseaux sociaux, des informations publiques, une base de données volées achetée sur le darkweb, etc…
Ensuite, ils se cachent souvent derrière l’un de ces scénariospour légitimer leur appel :
Arnaque au président : l’escroc se fait passer pour le président de la société ciblée et demande de réaliser un virement urgent et confidentiel
Arnaque au changement de RIB : où le hacker se présente en tant que fournisseur de la société ciblée et demande le règlement de factures sur un compte bancaire autre que l’habituel
Arnaque au faux conseiller bancaire : une personne s’identifiant comme votre conseiller bancaire vous alerte à propos d’une activité suspecte sur votre compte et vous demande des informations confidentielles pour le « sécuriser »
Arnaque au support technique : un présumé technicien informatique vous appelle pour signaler un problème technique avec votre ordinateur et vous propose une assistance à distance. Il peut ensuite vous demander de lui donner la main sur votre poste, de réaliser des actions par vous mêmes ou encore de lui fournir des informations personnelles pour « résoudre le problème ».
Chacun de ces scripts est conçu pour créer chez vous un sentiment d’urgence et/ou de peur, afin de vous pousser à répondre rapidement à la demande qui vous est faîte, sans trop réfléchir à sa légitimité. Notamment en jouant sur des détails comme : l’autorité qui se dégage de la voix de votre interlocuteur; Ou encore le fait qu’il vous est difficile de vérifier l’identité de l’appelant en temps réel.
Comment vous protéger du Smishing & du Vishing si vous y êtes confronté ?
Smishing : éviter les pièges
Voici bons réflexes que vous pouvez facilement adopter pour vous protéger face à une attaque par Smishing :
soyez prudents face aux messages non sollicités : en particulier ceux qui vous demandent des informations personnelles ou financières. Dans le doute n’obéissez jamais à la demande qui vous êtes faite.
ne répondez jamais aux SMS qui vous semblent suspects : même si le message vous invite à répondre « STOP ». Car vous confirmez ainsi aux escrocs que votre numéro est actif. Enregistrez le numéro en tant que spam et supprimez les simplement.
méfiez-vous également des messages qui vous incitent à agir rapidement : prenez le temps de vérifier l’authenticité du SMS
vérifiez l’expéditeur en contactant directement l’organisme concerné via des canaux officiels : si vous recevez un message semblant provenir de votre banque, d’un site e-commerce ou d’une autre organisation, n’utilisez pas les infos de contact fournies dans le SMS. Contactez la directement en utilisant un numéro de téléphone ou son site web officiel
ne cliquez jamais sur les liens contenus dans les messages que vous recevez
Vishing : les bons réflexes pour éviter les arnaques
Maintenant que nous avons vu comment vous protéger du Smishing, voici les bonnes pratiques qui vous permettront d’éviter les pièges du Vishingsi vous y êtes confrontés :
vérifiez le numéro de téléphone de l’appelant : soyez attentif aux numéros de téléphone de vos interlocuteur, contrôlez qu’ils correspondent bien aux numéros des organisations légitimes qui vous contactent habituellement et évitez de répondre aux numéros inconnus
au moindre doute sur l’identité de l’appelantraccrochez : et contactez l’organisation qui semble vous avoir appelé, en utilisant son numéro de téléphone officiel,, pour vérifier la légitimité de la demande qui vous est faîte
ne divulguez jamais vos identifiants de connexion ou vos informations d’identité lors d’une conversation téléphonique : une organisation légitime ne vous demandera jamais ces éléments par téléphone. Ne communiquez jamais ces informations, même si l’appelant semble insistant ou menaçant.
utilisez des applications permettant d’identifier les appels comme spams : cela permettra de réduire le nombre d’appels non sollicités que vous recevez et par conséquent, le risque que vous tombiez dans le piège du Vishing
Se protéger du Smishing et du Phishing en amont : utilisez les bons outils & soyez prêt
Pour compléter ces conseils spécifiques à chacune des deux attaques (Smishing & Vishing), voici nos recommandations pour vous protéger dans le même temps contre deux types menaces :
activez la double authentification partout où vous le pouvez : et ajoutez ainsi une couche de sécurité supplémentaire sur vos comptes en ligne
effectuez les mises à jour de votre appareil : elles contiennent des correctifs de sécurité qui protègent votre appareil contre les logiciels malveillants diffusés via des liens de Smishing
si vous êtes confrontés à une tentative de Smishing ou Vishing, signalez là sur la plateforme du 33700 : qui lutte contre les SMS et appels indésirables
limitez la quantité d’informations personnelles que vous partagez publiquement en ligne : moins les escrocs en savent sur vous moins ils ont d’éléments concrets pour vous piéger
tenez vous au courant des techniques de manipulation des pirates pour pouvoir les contrer
Conclusion
En résumé, pour vous protéger contre le Smishing et le Vishing, les outils de cybersécurité et la vigilance sont vos meilleures armes. Car désormais les pirates utilisent beaucoup plus l’ingénierie sociale que les malwares pour s’introduire dans vos systèmes ou vous voler vos données. Alors, pour limiter les risques de tomber dans les pièges des cybercriminels, n’hésitez pas à faire appel à nos équipes techniques. Elles vous proposeront une gamme complète de services (protection robuste de vos réseaux et machines, sensibilisation de vos utilisateurs aux différentes cyberattaques actuelles, partage de conseils & bonnes pratiques en matière de cybersécurité …) qui vous permettront de vous défendre efficacement face aux hackers et de renforcer la cybersécurité de votre société.
Pour offrir les meilleures expériences, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations des appareils. Le fait de consentir à ces technologies nous permettra de traiter des données telles que le comportement de navigation ou les ID uniques sur ce site. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines caractéristiques et fonctions. Pour en savoir plus, consultez notre politique de cookies.
Fonctionnel
Toujours activé
Le stockage ou l’accès technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’utilisateur.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
Le stockage ou l’accès technique est nécessaire pour créer des profils d’utilisateurs afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.
