Votre ami vous envoie un SMS à minuit pour vous dire qu'il a besoin que vous remplissiez un formulaire de toute urgence. Vous le faites.
À la minute où vous entrez vos coordonnées, le lendemain, vous n'avez plus aucune nouvelle de lui. Plus tard, vous découvrez que votre compte a été piraté et que vous ne pouvez plus vous connecter. L'expéditeur de ce message n'était pas votre ami cette nuit-là, il s'est simplement fait passer pour lui et vous ne vous en êtes pas douté. C'est le cas de nombreuses attaques par smishing. Ces messages sont habilement dissimulés et semblent souvent trop innocents.
Le phishing utilise la même tactique, sauf qu'il passe par e-mail, forums ou Internet. L'attaquant convainc le destinataire de cliquer sur des liens malveillants et tente de le piéger. Ces e-mails semblent trop légitimes, mais ils ne proviennent pas de sources reconnues.
Heureusement, nous allons vous expliquer comment éviter de tomber dans le piège. Dans ce guide, nous allons démystifier tout ce que vous devez savoir sur le smishing et le phishing et explorer des détails supplémentaires.
Qu'est-ce que le smishing ?
Les appels et SMS indésirables ont augmenté au fil des ans. Les auteurs utilisent des liens malveillants pour compromettre les victimes, attirer les utilisateurs et tenter de leur soutirer des informations sensibles. Les SMS sont instantanés et les utilisateurs qui sont vraiment occupés oublient de vérifier l'identité des destinataires ou de vérifier l'historique de leurs messages, tombant ainsi dans le piège en quelques secondes. Les pirates peuvent se faire passer pour des fonctionnaires ou des entités juridiques afin de donner une apparence légitime à leurs messages et compromettre ainsi l'identité des victimes. Ils peuvent utiliser des numéros locaux pour envoyer des SMS authentiques et les victimes ne se méfieront pas. Certains pirates envoient même des messages de smishing à partir de numéros inconnus, et plus d'un milliard de messages indésirables sont envoyés chaque minute !
Comment fonctionne le smishing ?
Le smishing est une forme d'hameçonnage par SMS qui fonctionne de la manière suivante. Imaginez que vous receviez un message vous indiquant que vous devez réinitialiser rapidement le mot de passe de votre compte PayPal. Ou que vous soyez bloqué hors de votre compte et deviez vérifier votre identité. Vous recevez un SMS vous demandant de cliquer sur un lien pour résoudre le problème, et vous indiquant que vous devez suivre les instructions contenues dans le message.
La plupart des utilisateurs de téléphones portables ne savent pas comment fonctionne le phishing, car ils ne peuvent pas déterminer l'authenticité de ces messages.
Le smishing peut entraîner des pertes de données se chiffrant en millions de dollars. Selon la division des plaintes pour cybercriminalité du FBI’s cybercrime complaint division, plus de 2 800 cas de smishing ont été enregistrés rien qu'en 2023, entraînant des pertes de 3 millions de dollars. Une étude de McAfee montre qu'un Américain sur quatre est victime d'une escroquerie fiscale. Si vous avez déjà reçu des SMS vous demandant de saisir un code d'authentification multifactorielle de manière inattendue, sans que vous en ayez fait la demande, il y a de fortes chances qu'il s'agisse de smishing !Les SMS ont un taux d'ouverture beaucoup plus élevé que les e-mails et les autres formes de communication en ligne. Cela en fait une cible attrayante pour les escrocs et les cybercriminels.
Qu'est-ce que le phishing ?
Le phishing est un type de cyberattaque dans lequel l'attaquant envoie un e-mail en se faisant passer pour une entité officielle. Il peut manipuler émotionnellement la victime, lui insuffler un sentiment d'urgence ou la manipuler psychologiquement pour qu'elle divulgue des informations sensibles. Ce qui est effrayant avec le phishing, c'est que parfois, les victimes ne parviennent pas à détecter ces faux e-mails et les considèrent comme authentiques. Elles peuvent être incitées à effectuer des actions telles que télécharger des liens malveillants, répondre à des demandes frauduleuses ou partager des informations confidentielles.
Comment fonctionne le phishing ?
Le phishing classique consiste à envoyer des e-mails en masse à des groupes ou des organisations. Le spear phishing est plus ciblé, l'attaquant visant des entités spécifiques au sein de l'entreprise. Par exemple, il peut usurper l'identité d'un cadre supérieur de l'entreprise. Le cybercriminel peut se faire passer pour lui et tenter de contacter les employés. Les nouveaux employés qui ne sont pas au courant tombent souvent dans le piège de ces e-mails et finissent par interagir avec le cybercriminel sans connaître ni vérifier sa véritable identité.
Les tactiques de phishing évoluent avec le temps, ce qui signifie que l'attaquant peut contourner les filtres de messagerie et les mesures de sécurité traditionnels. Ils peuvent contourner les scanners de sécurité critiques, pirater l'organisation, augmenter leurs privilèges et provoquer des violations de données. Et tout cela à partir d'un simple e-mail. Certains e-mails peuvent également inclure des notes vocales ou demander à la victime de communiquer avec eux via des notes vocales ou des liens de diffusion en direct. Les cybercriminels peuvent utiliser des deepfakes basés sur l'IA et ainsi faire passer leurs tactiques d'usurpation d'identité au niveau supérieur.
3 différences essentielles entre le smishing et le phishing
Il existe une différence entre le phishing et le smishing. L'un utilise les messages téléphoniques et l'autre les canaux de communication par e-mail pour cibler les utilisateurs. Les deux fonctionnent selon le même principe : choquer l'utilisateur avec des interactions chargées d'émotion et l'amener à divulguer des informations critiques.
Si vous pouvez éviter de vous laisser piéger par les tactiques de smishing et de phishing et apprendre à les ignorer, vous aurez une longueur d'avance. Voici quelques différences essentielles entre le phishing et le smishing :
#1. Appareils ciblés
Les attaques de phishing peuvent cibler les ordinateurs portables, les systèmes réseau, les infrastructures mobiles, les tablettes et autres appareils électroniques. Le smishing se limite aux téléphones mobiles ou aux smartphones. Le smishing évolue cependant, car les cybercriminels utilisent des applications de messagerie telles que Telegram, Discord et Slack pour cibler les utilisateurs mobiles.
#2. Liens et pièces jointes
Les liens de smishing peuvent rediriger l'utilisateur vers une ligne téléphonique ou lui demander d'appeler l'attaquant pour lui parler. Le phishing redirige simplement les utilisateurs vers un faux site web ou leur demande de remplir des formulaires en ligne et de fournir leurs informations personnelles. Les e-mails de phishing contiennent généralement des pièces jointes malveillantes, tandis que les messages de smishing contiennent des liens malveillants et des numéros de téléphone.
#3. Méthodes de communication
Le smishing utilise les SMS sur les téléphones mobiles. Le phishing cible tous les ordinateurs ou appareils ayant accès à des clients de messagerie électronique.
Smishing vs phishing : principales différences
Le smishing et le phishing ont des méthodes de livraison différentes, mais leurs objectifs d'attaque sont similaires. Tous deux visent à obtenir un accès non autorisé à des données et ressources sensibles. Les attaques de smishing utilisent des SMS pour instiller un sentiment d'urgence ou inciter à agir immédiatement. Le phishing se produit principalement par e-mail ou par le partage de sites web frauduleux. L'attaquant peut mener des recherches approfondies et établir le profil de ses victimes pendant des mois avant de lancer une attaque de spear phishing.
Voici les principales différences entre le smishing et le phishing :
| Smishing | Hameçonnage |
|---|---|
| Les SMS de smishing peuvent être signalés par le filtre anti-spam de votre téléphone ou atterrir dans les courriers indésirables. | Les e-mails de phishing peuvent échapper à la détection humaine et aux filtres anti-spam. |
| Les pirates ciblent principalement les téléphones portables, les smartphones, les appareils mobiles et tout moyen de communication électronique utilisant les SMS. | Les pirates attirent leurs victimes uniquement par le biais de canaux de communication par e-mail. |
| Ces escroqueries peuvent prendre la forme de fausses loteries, d'escroqueries financières ou de messages d'urgence. | Les escrocs peuvent envoyer des liens vers des sites web ou des formulaires web malveillants et demander à la victime de les consulter. |
| L'objectif d'une attaque par smishing est de voler des informations personnelles identifiables et de distribuer des logiciels malveillants | Les attaques par hameçonnage visent à voler les identifiants d'entreprise ou à tenter de prendre le contrôle de comptes à un niveau plus profond au sein de l'organisation. |
5 façons d'éviter ou d'éliminer les attaques de smishing et de phishing
Maintenant que vous comprenez les différents mécanismes du smishing et du phishing, vous pouvez prendre des mesures pour éviter d'en être victime. Voici cinq façons d'éviter ou d'éliminer les attaques de phishing et de smishing :
- Soyez vigilant et sceptique – Ne répondez pas aux e-mails inconnus. Restez vigilant lorsque vous interagissez avec quelqu'un en ligne. Vérifiez l'identité de l'expéditeur avant de divulguer des informations personnelles ou des numéros de téléphone. Ne cliquez sur aucun lien ni aucune pièce jointe.
- Mettez en place une authentification multifactorielle (MFA) – Ajoutez une couche de sécurité supplémentaire à tous vos appareils en mettant en place l&la; & Elle est plus efficace que l'authentification à deux facteurs et empêchera les cybercriminels de pirater votre matériel physique s'ils ont accès à vos locaux.
- Sensibilisez vos employés – Il ne suffit pas d'installer les derniers logiciels antivirus ou solutions de surveillance des logiciels espions. Les pirates ne ciblent pas la technologie, mais les personnes qui l'utilisent. Instaurez une culture de sensibilisation à la cybersécurité au sein de votre organisation et formez vos employés aux différentes stratégies d'ingénierie sociale. Indiquez-leur les éléments à surveiller et comment repérer les comportements suspects en ligne.
- Appliquez régulièrement les correctifs et mises à jour – Il est très important d'appliquer régulièrement les correctifs et mises à jour de vos systèmes logiciels et matériels. Installez les dernières mises à jour pour vos appareils mobiles, micrologiciels et applications. Cela permettra d'éviter les bugs potentiels ou les vulnérabilités cachées que les pirates pourraient exploiter s'ils les découvraient.
- Utilisez des solutions de surveillance des menaces – Vous pouvez utiliser n'importe quel outil anti-smishing ou solution technologique anti-phishing pour prévenir les attaques de smishing et de phishing. Ils ne sont pas infaillibles, mais ils réduisent considérablement les risques en détectant et en filtrant les menaces. La supervision manuelle nécessaire sera ainsi beaucoup moins importante.
Pourquoi les organisations doivent-elles se protéger contre les escroqueries par smishing et phishing ?
Le niveau de sensibilisation mondial aux escroqueries par phishing et smishing est très faible. Selon le rapport State of the Phish, seuls 22 % des utilisateurs déclarent connaître ces pratiques malveillantes. Le manque de connaissances sur les tactiques de smishing et de phishing peut nuire à votre cyber-résilience. De nombreux utilisateurs ne comprennent pas les limites techniques des mesures de protection lorsqu'il s'agit d'identifier et de prévenir automatiquement les incidents liés aux logiciels malveillants.
Certaines victimes laissent leurs appareils déverrouillés et de nombreux utilisateurs n'optent pas pour des verrous biométriques ou des codes PIN à quatre chiffres. Se connecter à des réseaux WiFi publics non sécurisés et transmettre des données d'entreprise via ces réseaux peut présenter de nombreux risques pour la sécurité et la confidentialité des données. Les réseaux ne sont jamais totalement protégés et les cybercriminels peuvent intercepter les canaux de communication ou étudier leurs victimes en secret.
L'utilisation des smartphones et des appareils électroniques est une seconde nature pour les jeunes actifs. Et contrairement à la génération Y, tous ne connaissent pas les meilleures pratiques en matière de cybersécurité. L'automatisation de la sécurité est une bonne chose, mais l'ingénierie sociale peut la contourner. Les SMS reçus sur les téléphones portables ne disposent pas de systèmes d'authentification traditionnels ni de filtres anti-spam. Et lorsque ces SMS mélangent informations professionnelles et personnelles, ils brouillent les pistes.
Les utilisateurs mobiles reçoivent des centaines de SMS chaque jour et il peut être difficile de déterminer comment les acteurs malveillants peuvent exploiter les opportunités pour voler leurs informations.
Une cybersécurité alimentée par l'IA
Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.
Obtenir une démonstrationConclusion
Vous pouvez également rechercher une augmentation ou une diminution soudaine du nombre de SMS entrants ou sortants afin de déterminer si vous êtes la cible de menaces de smishing. Surveillez les passerelles SMS pour détecter d'éventuelles anomalies et installez des mécanismes anti-usurpation d'identité afin de protéger vos canaux de messagerie mobile.
Évitez de vous laisser emporter par vos émotions et ne réagissez pas de manière impulsive aux e-mails menaçants ou à tout message qui semble urgent. Prenez du recul, détendez-vous et ne vous laissez pas intimider. Prenez votre temps et faites preuve de bon sens lorsque vous partagez ou traitez des informations sensibles.
Vous pouvez également effectuer des simulations de phishing sur votre infrastructure pour voir dans quelle mesure vous êtes susceptible d'être ciblé. Vérifiez auprès de votre service des ressources humaines avant de le faire. Encouragez vos employés à signaler les incidents de phishing et mettez-les à l'aise pour qu'ils puissent les partager. Une autre bonne astuce consiste à leur permettre de signaler ces incidents de manière anonyme.
Nous espérons que notre guide vous aidera à comprendre les différences entre le smishing et le phishing. Vous pouvez contacter SentinelOne pour obtenir une assistance supplémentaire.
FAQs
Le smishing et le phishing sont tous deux très répandus et peuvent mettre en danger vos informations personnelles et financières. Il est tout aussi important de mettre en place des mesures de sécurité pour lutter contre les menaces liées au smishing et au phishing.
Vous pouvez vérifier les paramètres SMS de votre téléphone et activer le filtre anti-spam. Bloquez tous les numéros inconnus ou suspects qui tentent de vous joindre. Activez le filtre pour bloquer automatiquement les messages provenant d'expéditeurs inconnus. Cette fonction est presque toujours disponible par défaut sur tous les téléphones.
Si l'expéditeur utilise un domaine public comme Gmail, il est assez évident qu'il s'agit d'un e-mail de phishing. La plupart des entreprises ont leur propre domaine officiel. Un autre indice révélateur est une faute d'orthographe dans le nom de domaine. Par exemple, sentinl1.com au lieu de sentinelone.com
Si l'e-mail contient des fautes de grammaire ou d'orthographe, ou mentionne des dates ou des lieux erronés, ainsi que d'autres erreurs dans des détails que seuls vous ou vos employés connaissez de l'intérieur, ce sont également des signes évidents.
De nombreux navigateurs web intègrent des fonctionnalités de sécurité qui avertissent les utilisateurs des e-mails de phishing potentiels. Il existe des extensions de navigateur gratuites qui peuvent filtrer les e-mails de phishing dans une certaine mesure. SentinelOne Singularity™ Platform est une solution complète qui protégera vos appareils mobiles, serveurs, terminaux, clouds, identités et utilisateurs contre divers types de phishing et d'arnaques. Elle est entièrement évolutive et personnalisable, mais n'est pas gratuite en raison de ses fonctionnalités avancées.