Le smishing est une forme de phishing qui utilise les téléphones portables en tant que plateforme d'attaque. Le criminel exécute l'attaque dans l’intention de rassembler des informations personnelles, notamment le numéro de sécurité sociale et/ou de carte de crédit. Le smishing est envoyé par textos ou SMS, d’où son nom : « SMiShing ».
Les attaques de smishing utilisent des SMS, également connus sous le nom de textos. Cette forme d’attaque est devenue de plus en plus populaire, car les utilisateurs ont plus tendance à faire confiance à un message reçu via une application de messagerie sur leur téléphone plutôt que par email.
Beaucoup de victimes n'associent pas les arnaques de phishing aux SMS personnels, mais en fait, il est plus facile pour les acteurs malveillants de trouver votre numéro de téléphone que votre adresse email. Il existe un nombre limité d'options avec les numéros de téléphone - aux États-Unis, un numéro de téléphone comporte 10 chiffres.
Un email, en revanche, n'est pas limité en taille, bien qu'il y ait un nombre raisonnable de caractères attendus. Les emails peuvent contenir des chiffres, des lettres et des symboles (!, # et %, par exemple). Il est bien plus facile de mettre à la suite dix chiffres aléatoires pour contacter une victime plutôt que de contacter une personne par adresse email.
Le pirate peut simplement envoyer des messages à une combinaison de chiffres de la même longueur qu’un numéro de téléphone. Il peut essayer n'importe quelle combinaison de chiffres sans que cela ne lui porte préjudice. Gartner rapporte que 98 % des textos sont lus et qu’une réponse est envoyée dans 45 % des cas. Il est donc très logique que les pirates les utilisent en tant que vecteur d'attaque ; d'autant plus que, selon Gartner, seulement 6 % des emails reçoivent des réponses.
Il y a plusieurs choses différentes que le pirate informatique tente d’accomplir à l’aide d’un texto. Il peut notamment vous voler des données personnelles en se faisant passer pour un conseiller de votre banque. Il peut vous inciter à cliquer sur un lien dans le texto pour vous connecter à la page Web de votre banque et vérifier des frais récents douteux. Il peut vous demander de composer le numéro du service clients, indiqué dans le texto pour vous faciliter la tâche, afin de vous parler de frais récents douteux ou d’une corruption de compte.
Les pirates tentent également d’utiliser de faire appel à votre bienveillance pour recueillir des informations sensibles. Par exemple, ils peuvent envoyer des messages concernant un plan d’urgence suite à un ouragan, dans lesquels ils vous demandent de faire un don. Le pirate vous demande de cliquer sur le lien figurant dans le SMS et de saisir vos informations de carte de crédit, votre adresse, et souvent, votre numéro de sécurité sociale. Une fois que le pirate a obtenu votre numéro de carte de crédit, il peut même prélever des sommes sur votre carte de crédit chaque mois, pour éviter de vous alarmer.
Autre exemple d'attaque de smishing : vous pouvez recevoir une offre de votre opérateur, proposant une remise sur un service ou une mise à niveau du téléphone. Le message vous invite à cliquer sur le lien fourni pour activer l’offre. Une fois que vous accédez à la fausse page Web, qui ressemble au site web de votre opérateur, le site vous demande de confirmer votre numéro de carte de crédit, votre adresse, voire votre numéro de sécurité sociale. N'oubliez pas que si cela semble trop beau pour être vrai, c'est probablement le cas.
Le phishing à l’aide d’un freeware de messagerie instantanée, comme Facebook Messenger ou WhatsApp, ne relève pas techniquement du smishing, mais il y est étroitement lié. Le pirate exploite le fait que les utilisateurs hésitent de moins en moins à ouvrir des messages d’inconnus et à y répondre sur les plateformes de réseaux sociaux.
Comme dans un phishing classique, l’objectif de l’attaque est de vous soutirer des données personnelles, notamment des mots de passe et/ou des numéros de carte de crédit. Pour obtenir ces informations, l’attaquant peut vous proposer une offre ou un autre élément de valeur. Ces offres contiennent souvent un lien cliquable.
Recevoir un message d’un inconnu qui vous demande des informations est souvent un bon indicateur de phishing possible par messagerie instantanée, mais ces attaques peuvent sembler provenir de personnes que vous connaissez et qui sont déjà dans votre réseau. Cela se produit souvent lorsque le compte d’un de vos contacts sur les réseaux sociaux a été piraté ou falsifié.