3 novembre 2022

Le phishing par SMS ou SMiShing : 8 fois plus de clics que sur les emails !

Le phishing par SMS ou SMiShing : 8 fois plus de clics que sur les emails !

Vous avez sûrement vu récemment, autour de vous, une vague de réception d’un SMS concernant la vignette Crit’Air à récupérer sous 48h ou encore l’expiration de votre carte vitale par Ameli. Il s’agissait de campagnes de SMiShing. Avec des taux d’ouverture et de clics 8 fois supérieurs à l’hameçonnage par e-mail, le SMiShing est devenu le canal de communication privilégié par les cybercriminels.

Qu’est-ce que le SMiShing ?

Le SMiShing ou hameçonnage par SMS est une méthode d’arnaque dans laquelle un cyberattaquant envoie un SMS à des centaines de destinataires grâce à une « banque SIM », un boîter contenant des dizaines de cartes SIM. Le but est d’exploiter la curiosité des personnes (réception de colis), leur culpabilité (facture non payée) ou leur proposer un gain rapide (CPF – Compte Personnel de Formation) afin d’obtenir des actions permettant de compromettre les données d’un utilisateur ou l’infrastructure d’une organisation. Le nombre de ce type d’attaques a augmenté de plus de 37% en 2021 et pour cause, il est beaucoup plus rapide de mettre en place une campagne d’hameçonnage par SMS que par e-mail. En effet, un SMS ne demande pas autant de personnalisation pour être crédible et les outils de protection sont moins répandus. Par ailleurs, les utilisateurs sont moins informés sur les risques que comportent l’hameçonnage par SMS que par e-mail. Selon le rapport State of the Phish, la connaissance de la terminologie liée à la cybersécurité a diminué entre 2020 et 2021. En 2021, seulement 23% des participants à l’étude ont identifié la définition de SMiShing dans un questionnaire à choix multiples. Il est donc nécessaire de s’informer et de se sensibiliser à l’hameçonnage par SMS afin de limiter l’impact néfaste de ces attaques.

« Là où 2020 nous a appris la nécessité d’être agile et réactif face au changement, 2021 nous a démontré la nécessité de mieux nous protéger », a déclaré Loïc Guézo, Directeur de la Stratégie Cybersécurité SEMEA chez Proofpoint France. « Alors que l’email reste la méthode d’attaque préférée des cybercriminels, il est évident qu’il nous faut instaurer une culture de la sécurité. Dans ce paysage de menaces en constante évolution et alors que le travail à distance devient monnaie courante, il est essentiel que les organisations donnent à leurs employés les moyens d’agir et soutiennent leurs efforts pour apprendre et appliquer de nouvelles compétences et de nouveaux comportements cyber, au bureau et à la maison, mais aussi désormais de … partout !»

SMiShing

Comment se protéger contre le SMiShing ?

Il n’est possible de se protéger contre le SMiShing que si l’on apprend à identifier l’attaque. Voici quelques moyens de les identifier :

  • Vérifier l’expéditeur du SMS reçu. Si vous ne le connaissez pas, ne cliquez surtout pas sur les liens qui le composent. En effet, contrairement à l’ouverture d’un e-mail sur un ordinateur, il est impossible de survoler un lien sur smartphone. En cas de doutes, ne cliquez pas.
  • Prêter une attention particulière à la demande du message. Comme pour l’hameçonnage par e-mail, les attaquants jouent sur le degré d’urgence, la cupidité ou sur la curiosité pour inciter à cliquer sur un lien malveillant.
  • Si vous recevez un message d’un service (mise à jour de mot de passe, etc.) que vous n’avez pas utilisé dans l’instant, il y a de fortes chances que ce soit une tentative de SMiShing.

La solution BlueSecure

BlueSecure propose une offre de sensibilisation au SMiShing par le biais de formation en e-learning et de campagnes de SMiShing ou de phishing par e-mail et SMS combinés. Protégez votre organisation en formant vos collaborateurs à tous les risques liés aux attaques de cybercriminels. Faites de l’humain le maillon fort de votre sécurité de l’information.

N’hésitez pas à nous contacter pour de plus amples renseignements :

NOUS CONTACTER