Escroqueries par SMS : Comment éviter les attaques par SMS
L’escroquerie classique par hameçonnage par e-mail est en train de renaître par SMS.
Si vous avez récemment reçu un tas de SMS suspects de numéros inconnus prétendant être USPS, votre banque ou une autre grande entreprise vous demandant de résoudre un problème urgent, vous n’êtes pas seul. J’espère que ces missives bizarres ont déclenché vos alarmes d’ombre et que vous avez gardé vos doigts qui cliquent sur les liens à distance, car ces textes ne sont pas légitimes. Il s’agit d’une itération relativement nouvelle de l’escroquerie par hameçonnage, dans laquelle les voleurs se cachant derrière l’opacité d’un écran espèrent que vous achèterez suffisamment de déguisement pour leur donner ce qu’ils veulent. Cette mise à jour centrée sur le texte de l’escroquerie classique passe par « smishing », un portemanteau de « SMS » et « phishing ».
Ne vous sentez pas trop mal si vous considérez brièvement de tels textes comme plausiblement authentiques, cependant. Ils sont astucieusement conçus pour tirer parti de ce moment unique de la technologie, une époque où les dangers d’une économie de plus en plus compliquée et en ligne nous font revenir à la simplicité relative de l’ère du dumbphone à la recherche de garde-fous supplémentaires comme l’utilisation de SMS pour deux facteurs l’authentification ou la réception d’alertes textuelles lorsqu’un colis a été livré. Mais comme même les plus avertis d’entre nous ont des jours de congé ou des moments flous où une escroquerie par smishing pourrait passer inaperçue, nous avons préparé une introduction sur la façon de les repérer et de les éviter.
Comment fonctionne le Smishing
Les escroqueries par smishing fonctionnent sur le même principe que les escroqueries par hameçonnage par e-mail dont elles sont issues, mais elles sont beaucoup plus faciles à déployer pour les escrocs. Les escrocs envoient un tas de messages d’apparence officielle à partir d’un numéro usurpé qui sollicite les identifiants des utilisateurs ou d’autres informations vitales/sensibles, qui peuvent ensuite être utilisées pour le vol d’identité et le vol de compte.
Alors que les services de messagerie sont devenus assez bons dans le processus d’élimination des mauvaises choses au fil des décennies, les opérateurs de téléphonie et les fabricants en sont encore aux premiers stades du développement du filtre anti-spam.. De plus, le grand public est progressivement devenu de plus en plus informé sur les menaces de phishing. Ainsi, plutôt que de gaspiller de l’énergie en tentant de recréer l’apparence et la langue d’un véritable e-mail Bank of America qui trompera non seulement les filtres IA mais aussi l’utilisateur final, les escrocs ont emprunté la voie beaucoup plus facile du fusil de chasse envoyant des messages SMS à des tonnes de numéros avec l’espoir qu’un meunier prendra l’appât.
En de rares occasions, le message infâme tentera de faire installer par le destinataire un logiciel malveillant de collecte de données déguisé en application légitime. Cette méthode est plus courante pour les utilisateurs d’Android, car c’est à la fois le système d’exploitation de smartphone le plus courant sur la planète et aussi le système d’exploitation qui donne aux utilisateurs plus de liberté pour télécharger des applications à partir de sources non vérifiées.
Repérer les arnaques
Il est beaucoup plus difficile d’identifier un texte smishing à lui seul que de reconnaître un e-mail d’apparence « off » comme une arnaque de phishing. De nombreux messages SMS authentiques envoyés par les entreprises semblent assez laids et étranges, en particulier par rapport au type de formatage de texte que nous avons l’habitude de recevoir de nos amis et de notre famille. Ces problèmes esthétiques ont une myriade de causes. L’entreprise pourrait avoir externalisé la tâche à un tiers. Le formatage peut se confondre en cours de route lors du passage d’un programme de rédaction informatique à un SMS (qui peut encore varier d’un opérateur à l’autre). L’humain qui crée le modèle de message a peut-être juste eu une idée étrange de ce qui a l’air « officiel ».
Cette méthode de communication d’entreprise est encore si étrange et peu familière que parfois même de vrais textes sont pris pour des arnaques. Prenez, par exemple, ce texte d’Ikea via le service de file d’attente Waitline. Il a été envoyé et reçu en conjonction avec un retour de bonne foi au magasin de la société à Burbank, en Californie. Mais en tant que Google du numéro de téléphone à partir duquel il a été envoyé, de nombreuses personnes ont qualifié le message de faux.
Pensez-y
En fin de compte, vous êtes votre meilleure ligne de défense contre les escrocs, et l’un des moyens les plus simples de les éviter est de faire preuve de bon sens chaque fois qu’un texte smishing vous parvient. Faites-vous même affaire avec Chase ? Non? Il est peu probable qu’ils vous bloquent l’accès à votre compte si ce compte n’existe pas. Vous attendez un colis ? De DHL ? Même ainsi, il est sage de parcourir vos e-mails pour obtenir un reçu de commande et/ou un numéro de suivi afin de rechercher vous-même l’envoi plutôt que de cliquer sur un lien aléatoire dans un texte. Et – cela ne devrait pas vous choquer – vous avez et ne gagnerez jamais un prix qui vous demande de le récupérer en cliquant sur un lien envoyé par un numéro inconnu.
Vérifier l’expéditeur
Supposons que ce texte d’entreprise suspect prétend provenir d’une entreprise que vous utilisez réellement. Votre prochaine étape devrait être d’examiner l’expéditeur. Les services VOIP utilisés pour envoyer de tels messages signifient qu’ils apparaîtront presque toujours sous forme de bulles vertes pour les utilisateurs iOS. De plus, iMessage permet d’envoyer des e-mails avec des messages SMS, de sorte que certains spams qui auraient été facilement piégés dans les filtres de Gmail ont désormais une seconde chance de succès dans vos messages. Mais une simple inspection de la carte de contact de l’expéditeur peut souvent révéler une adresse e-mail qui est un fouillis de lettres et de chiffres et qui ne provient décidément pas de la véritable entreprise.
De plus, méfiez-vous des messages provenant de chiffres tels que « 5000 », qui sont des indicateurs des services de messagerie électronique fréquemment utilisés par les escrocs.
Inspectez le texte
Les textes de smishing contiennent souvent des indices révélateurs de leur inauthenticité. Tout d’abord, recherchez des signes évidents tels que des mots mal orthographiés, une ponctuation étrange, une grammaire incorrecte ou des espaces supplémentaires erronés entre les mots et la ponctuation. Aucune entreprise du Fortune 500 n’envoie une communication aussi bâclée.
Gardez un œil sur les messages vous invitant à agir rapidement ou réclamant un temps limité. Les escrocs espèrent qu’un sentiment d’urgence fomenté vous fera abandonner votre bon sens.
Les textes tronquent souvent les URL, que les smishers utilisent à leur avantage. Leur arnaque fonctionne en convainquant l’utilisateur de cliquer sur un lien vers un site louche, de sorte qu’ils créent souvent une URL qui est préchargée avec des bits apparemment légitimes et espèrent que les protocoles de raccourcissement d’URL du téléphone cachent les parties les plus évidentes de l’adresse farcies à l’arrière . C’est une bonne règle de base de ne jamais cliquer sur un lien envoyé par quelqu’un que vous ne connaissez pas. Si vous êtes vraiment préoccupé par une réclamation faite par un smisher dans son texte d’appât, vous pouvez toujours enquêter en vous connectant à votre compte par les méthodes normales ou en recherchant vous-même les véritables informations du support client.
