En matière de cybersécurité, les escrocs ne manquent pas d'imagination. Parmi les techniques les plus sournoises figure le smishing, autrement dit le hameçonnage par SMS. Cette forme d'arnaque gagne du terrain, portée par la confiance que nous plaçons (trop) facilement dans les messages que nous recevons sur nos téléphones. Une arnaque par SMS peut néanmoins coûter très cher, surtout aux professionnels qui manipulent des données sensibles et peuvent exposer leur entreprise entière à un vol d'identité, voire à un détournement bancaire. Alors, comment reconnaître un SMS frauduleux ? Que faire si on en est victime ? Et surtout, comment s'en protéger efficacement ? Tout ce qu'il faut savoir.
Qu'est-ce que le smishing ou hameçonnage par SMS ?
Le smishing, contraction de " SMS " et " phishing ", est une tentative de fraude via un simple texto. Le plus souvent, ces SMS frauduleux jouent sur l'urgence ou la confusion pour pousser la cible à cliquer sur un lien, téléphoner à un faux numéro ou transmettre ses informations personnelles. Ces messages peuvent sembler parfaitement légitimes au premier coup d'œil. Et c'est justement là tout le danger.
Objectif : voler vos informations et vos appareils
Les arnaques par smishing visent deux cibles : vos informations (codes de carte bancaire, accès à votre boîte e-mail, données de connexion à vos plateformes professionnelles...) ou votre appareil lui-même. Certains liens frauduleux installent directement un maliciel (malware) sur votre mobile, ouvrant grand la porte à une prise de contrôle de votre smartphone, de vos applications, voire de vos outils de travail.
Techniques employées : spoofing, virus et vol d'identité
L'un des ressorts les plus fréquents du smishing est le spoofing : l'escroc " déguise " son message pour qu'il apparaisse comme émis par un service connu (banque, opérateur télécom, service de livraison, administration). Et une fois qu'un collaborateur clique sur le lien frauduleux, il suffit parfois de quelques secondes pour qu'un ransomware chiffre les données d'une entreprise entière.
Comment reconnaître un SMS frauduleux ?
Même s'ils deviennent de plus en plus crédibles, les SMS d'arnaques ont leurs signes distinctifs. À condition d'être attentif.
Un numéro suspect, trop court (type " 36200 "), étrangement formaté (" MonConseiller ", " SupportLivraison ") ou affiché avec un nom générique (" Service client "), est souvent le premier indice.
Ensuite, vient le ton du message : alarmiste, pressant, voire culpabilisant. " Dernier rappel avant fermeture ", " Votre paiement est en attente ", " Votre colis est retenu ", " Nouvelle tentative de connexion sur votre compte "... La grammaire de la peur est toujours la même. Méfiez-vous également des SMS trop engageants du type " Félicitations, vous avez gagné un iPhone ! ". Tout est fait pour déclencher un réflexe émotionnel.
Puis il y a le lien. Parfois raccourci, parfois imitant un site connu. Parfois même sans lien du tout, avec une simple consigne : " Appelez ce numéro immédiatement ". Le but est le même : vous faire sortir du cadre sécurisé.
Et si le fil de la conversation semble authentique ? Prudence. Le spoofing permet de faire apparaître le message dans une discussion déjà existante avec votre banque, votre fournisseur, voire... votre propre service IT.
Campagne marketing par SMS : comment ne pas être confondu avec un arnaqueur ?
Envoyer des SMS commerciaux peut être redoutablement efficace. À condition de ne pas passer pour une arnaque. Quelques règles simples :
- identifiez clairement votre entreprise dès la première ligne ;
- bannissez les liens raccourcis ;
- n'annoncez jamais de " gagnant " ou de " cadeau " sans explication ;
- proposez toujours une option de désinscription ;
- utilisez des plateformes certifiées.
Un bon SMS marketing, c'est d'abord un message qui inspire confiance.
Que faire si l'on est victime de spam par SMS ?
La panique est mauvaise conseillère. Si vous êtes ciblé par un spam ou suspectez une tentative d'arnaque par SMS, voici les réflexes à adopter.
Ne pas répondre, même par réflexe
Répondre, même par un simple " STOP ", confirme que votre numéro de mobile est actif. Vous devenez alors une cible certifiée et serez automatiquement ajouté à d'autres listes de diffusion.
Ne pas cliquer, même si le message semble crédible
Qu'il s'agisse d'un lien pour suivre un colis, confirmer un paiement ou vérifier une connexion : ne cliquez jamais avant d'avoir vérifié l'expéditeur sur un autre canal. Une vraie entreprise ne vous forcera jamais à agir en urgence par simple texto.
Vérifier l'expéditeur, avec méthode
Un numéro inconnu, un message sans signature claire, une URL suspecte : tout cela doit déclencher une alerte immédiate. Et s'il s'agit d'un service que vous utilisez réellement, contactez-le par vous même, sans passer par le lien ou le numéro fourni dans le SMS.
Signaler un SMS frauduleux
Chaque signalement contribue à limiter la diffusion de l'arnaque. Le bon réflexe à avoir consiste à transférer le message suspect au 33700. Ce service national, gratuit et opéré par les principaux opérateurs, centralise les plaintes et signalements de SMS frauduleux pour alimenter les actions judiciaires et bloquer les numéros suspects.
Bloquer le numéro et supprimer le message
Une fois signalé, bloquez le numéro, puis supprimez le message pour éviter de cliquer dessus par inadvertance plus tard. Prévenez également vos collègues ou votre Directeur des systèmes d'information (DSI) s'il s'agit d'un message professionnel. Mieux vaut prévenir une attaque à grande échelle.
Comment se protéger d'une arnaque par SMS ?
La prévention est votre meilleure alliée. Pour vous éviter de tomber dans le piège du smishing :
- ne communiquez jamais vos données bancaires ou vos identifiants par SMS, même si le message semble provenir d'un service officiel ;
- activez la double authentification sur vos comptes sensibles (boîte mail, CRM, plateformes de paiement...) ;
- installez un antivirus performant sur vos appareils, y compris votre téléphone mobile ;
- formez vos équipes, car les tentatives d'arnaque par SMS sont parfois redoutablement bien rédigées ;
- mettez en place une procédure de vérification interne pour toute demande de paiement inhabituelle.