Vous avez probablement entendu parler du phishing – lorsque des criminels tentent de vous inciter à cliquer sur des liens, à soumettre des informations sensibles ou à télécharger des logiciels malveillants par e-mail. La smishing est une forme de phishing... mais par messages texte. Au lieu d'un e-mail frauduleux atterrissant dans votre boîte de réception, il arrive sous forme de SMS, iMessage, WhatsApp ou autre notification textuelle sur votre téléphone. L'objectif est le même : vous inciter à cliquer sur un lien malveillant, à partager des informations personnelles ou à télécharger des logiciels malveillants. 

Tout comme le phishing, la smishing est un type d'attaque d'ingénierie sociale où un escroc manipule vos émotions pour contourner votre meilleur jugement. Tomber dans un piège de smishing pourrait exposer des informations sensibles telles que des détails bancaires, des mots de passe ou même donner accès à votre appareil à un cybercriminel. 

La bonne nouvelle ? Vous n'êtes pas obligé d'y succomber. Une fois que vous connaissez les signes de la smishing, il devient beaucoup plus facile de repérer, d'éviter et de signaler ces escroqueries. 

À quoi ressemble un texte de smishing ? 

Le terme "smishing" vient de "SMS phishing" – SMS étant un terme archaïque pour désigner la messagerie textuelle.  

Les messages de smishing sont sournois. Ils se déguisent souvent en alertes urgentes de banques, services de livraison, agences gouvernementales, ou même de votre patron. L'objectif est toujours le même : vous faire agir rapidement avant que vous ne réfléchissiez sérieusement à la demande.  

Voici quelques-uns des types de textes de smishing les plus courants : 

• Faux mises à jour de livraison. Vous pourriez recevoir un message disant, « Votre colis est retardé. Mettez à jour vos informations de livraison ici. » Le lien semble officiel, mais le site est une arnaque.     

• Alertes bancaires ou de compte. Ces messages prétendent qu'il y a des activités suspectes sur votre compte. Ils vous incitent à cliquer sur un lien ou à appeler un numéro pour « vérifier » vos informations. 

• Escroqueries de prix ou de cadeaux. Le texte pourrait lire, « Félicitations ! Vous avez gagné une carte cadeau de 1 000 $. Cliquez pour la réclamer. » 

• Usurpations d'agences gouvernementales. Certains textes prétendent venir de l'IRS, de la Sécurité Sociale, voire de la police, exigeant un paiement immédiat ou des informations personnelles. Une autre arnaque courante est de prétendre que vous avez un péage ou une contravention impayée. 

• Escroqueries d'emploi ou de gains d'argent. Des messages comme « Gagnez 500 €/jour en travaillant depuis chez vous. Postulez maintenant ! » exploitent les personnes en recherche d'emploi. 

• Vérifications de compte. Vous pouvez recevoir des textes disant que votre compte PayPal, Netflix, Amazon ou autre est verrouillé. Souvent, les escrocs diront que vous devez réinitialiser votre mot de passe, puis ils volent votre véritable mot de passe lorsque vous le saisissez dans leur faux formulaire de « Réinitialisation de mot de passe ».  

Ces textes incluent souvent des liens qui semblent légèrement décalés. Ils peuvent avoir des domaines avec des numéros aléatoires, des caractères supplémentaires ou des terminaisons étranges comme .xyz au lieu de .com. Et parce que nous avons tendance à faire davantage confiance aux messages texte qu'aux e-mails, les escrocs savent que vous êtes plus susceptible de cliquer sans réfléchir. 

Pourquoi la smishing semble plus urgente 

Si les e-mails de phishing essaient de vous presser, la smishing augmente cette pression d'un cran. Nos téléphones sont toujours dans nos mains et les textes sont plus personnels et immédiats. Les escrocs en sont conscients et en profitent. 

Une tactique classique de smishing consiste à créer un sentiment d'urgence, qui peut être soit négatif, soit positif : 

• Urgence négative : « Votre compte bancaire est verrouillé. » « Un mandat d'arrêt est lancé contre vous. » « Connexion suspecte détectée. » 

• Urgence positive : « Vous avez gagné un prix ! » « Réclamez votre cadeau gratuit avant minuit ! » « Offre exclusive uniquement pour vous ! » 

Ces messages sont conçus pour vous faire paniquer ou vous exciter suffisamment pour cliquer sur le lien avant de réfléchir. 

Prendre quelques secondes avant de cliquer 

Une pause simple peut vous éviter beaucoup de problèmes. Si vous recevez un message texte inattendu vous demandant de cliquer sur un lien, de partager des informations ou d'agir rapidement, prenez une respiration. 

Posez-vous les questions suivantes : 

• Est-ce que j'attendais ce message ? 

• Le lien semble-t-il suspect ? (La plupart des liens dans les textes légitimes proviendront de domaines simples et reconnaissables.) 

• Le message a-t-il du sens ? Ai-je réellement commandé un colis ? Ai-je vraiment un compte avec ce service ? 

Si vous n'êtes toujours pas sûr, vérifiez la situation via les canaux officiels (c'est-à-dire un numéro de téléphone, un e-mail de contact ou un site web non inclus dans le texte). Ouvrez directement l'application ou tapez vous-même le site web – ne faites pas confiance au lien dans le message. 

Vous pouvez également montrer le message à un ami ou à un proche pour avoir leur avis. Un second regard est un excellent moyen pour détecter les arnaques !

Lorsque l'escroc connaît votre nom 

Tout comme le spearphishing par e-mail, la smishing peut être personnalisée. Les escrocs peuvent faire référence à votre nom ou à votre lieu de travail. Ils récupèrent souvent ces informations à partir de violations de données publiques, de réseaux sociaux ou d'annuaires en ligne. 

Si un texte inclut vos informations personnelles, cela ne signifie pas qu'il est digne de confiance ; cela pourrait signifier qu'un escroc a fait ses devoirs. Restez prudent chaque fois que vous recevez une demande urgente et inattendue.  

Que faire si vous recevez un texte de smishing 

Si vous recevez un texte suspect, l'une des actions les plus sûres à adopter est de ne rien faire. Ne répondez pas. Ne cliquez pas. N'interagissez pas. 

Même répondre « STOP » indique que votre numéro est actif et peut entraîner plus de tentatives d'escroquerie. 

Au lieu de cela, bloquez le numéro. Les smartphones ont une fonctionnalité intégrée pour bloquer les numéros de téléphone et les signaler comme spam.  

Vous pouvez prendre une capture d'écran du texte et la partager avec votre groupe de famille pour les avertir de l'escroquerie. De nombreuses escroqueries cibleront les membres de votre famille et de votre groupe d'amis, alors diffusez l'avertissement. 

Enfin, supprimez le message. Une fois signalé et bloqué, supprimez le message de votre téléphone pour éviter de l'ouvrir accidentellement plus tard. 

Bonnes habitudes de sécurité téléphonique  

Bien que les filtres anti-spam capturent beaucoup de déchets, aucun filtre n'est parfait. Voici quelques moyens de réduire votre vulnérabilité. Les mêmes bonnes habitudes de cybersécurité que vous utilisez sur votre ordinateur fonctionnent également pour votre téléphone. 

• Activez l'authentification multifactorielle (AMF) pour tous vos comptes.      

• Utilisez des mots de passe longs et uniques pour chaque compte, gérés avec un gestionnaire de mots de passe. 

• Gardez le système d'exploitation et les applications de votre téléphone à jour, car les mises à jour incluent les dernières corrections de sécurité.      

• Activez les fonctionnalités de blocage des appels/sms spam et fraude au sein de votre opérateur téléphonique ou dans les paramètres de votre appareil. Parlez-en à votre fournisseur de téléphonie mobile pour plus d'informations.  

Signaler le smishing fait une différence 

Vous pourriez penser qu'un seul signalement n'a pas d'importance, mais ce n'est pas vrai. Les opérateurs de téléphonie et le gouvernement utilisent les signalements pour fermer les opérations frauduleuses, mettre sur liste noire des liens malveillants et empêcher d'autres personnes de devenir victimes. 

En signalant les textes de smishing, vous ne vous protégez pas seulement vous-même. Vous aidez à arrêter l'escroquerie pour tout le monde. 

Vous avez plusieurs options pour signaler des smishing présumés : 

• Transférez le message au 7726 (SPAM). Cela fonctionne avec la plupart des grands opérateurs américains et les aide à bloquer les numéros frauduleux. 

• Vous pouvez signaler les tentatives de smishing à la Federal Trade Commission (FTC) à reportfraud.ftc.gov. Vous pouvez également signaler l'incident au FBI à IC3.  

Réfléchissez avant de cliquer 

La smishing repose sur la vitesse. Un escroc peut-il vous faire cliquer avant de réfléchir ? Évitez les appâts de smishing en prenant quelques secondes pour vérifier l'expéditeur, inspecter les URL de lien et vous demander si ce texte semble légitime. 

Souvenez-vous : Aucune organisation légitime ne vous demandera jamais des informations sensibles ou n'exigera une action urgente par SMS. Lors de doute, supprimez-le. 

Et pour plus de conseils sur la sécurité en ligne, inscrivez-vous à notre newsletter !