Se faire piéger par le Smishing : cas pratique
Découvrez dans cet article comment il est possible de se faire piéger à partir d’un simple SMS. On parle alors de smishing. Je me fais avoir pour vous:-)
Reconnaître les menaces numériques : le Smishing
Suite à la lecture de cet article, vous devez être capable :
- D’expliquer ce qu’est le smishing
- De comprendre comment les cybercriminels procèdent pour duper les victimes
- D’appliquer les bons réflexes face à ce type de menace
Je vais donc vous présenter, très concrètement et par l’exemple, une arnaque par SMS plutôt bien ficelée. Pour tout vous avouer, j’ai même failli tomber dans le panneau tellement la méthode utilisée est vicieuse. Connaître les consignes de sécurité, c’est bien. Mais souvent cela reste abstrait tant que l’on n’est pas confronté à la menace. C’est pourquoi, dans ce cours, je vous montre comment je peux me faire pirater.
Mais avant tout, savez-vous ce qu’est le Smishing?
Le smishing est une menace de sécurité numérique qui connaît un boom ces derniers temps. Pour faire simple, il s’agit de l’équivalent de la technique d’hameçonnage (ou phishing en anglais), mais par SMS. On pourrait traduire smishing en français pour hameçonnage par SMS.
A la fin de cette démonstration, je vous donne tous les conseils, astuces et réflexes que vous devez acquérir pour éviter de vous faire piéger par le Smishing.
Pour les personnes qui préfèrent le format vidéo, voici un clip qui reprend l’essentiel de l’article :
C’est parti!
Découvrir les étapes de cette attaque de smishing
Dans ce chapitre, je vais faire ce qu’il ne faut surtout pas faire. Lorsque vous recevez ce type de message, la seule action possible est de supprimer le SMS et surtout ne pas cliquer sur le lien.
Smishing : Réception du SMS
Voici le message que j’ai reçu sur mon téléphone:
Ce message est émis depuis un numéro qui semble appartenir à l’opérateur Orange. En effet, comme le montre l’image ci-dessus, l’opérateur a déjà communiqué avec moi via ce numéro.
Le SMS propose un remboursement de 45 euros en dédommagement des coupures subies lors du dernier confinement. Pour en bénéficier, le Sms indique qu’il faut en faire la demande via notre espace.
Je clique donc sur le lien pour remplir ma demande de remboursement!
Accès au formulaire de demande de remboursement
J’accède alors à une page Internet qui reprend tous les codes des sites d’Orange: Logo, couleurs, favicon sur l’onglet, police de caractères…
Le premier écran me demande de renseigner mon numéro du téléphone:
Je renseigne donc un numéro de téléphone et je clique sur le bouton Continuer.
Dans le deuxième écran, nous accédons au formulaire de demande de remboursement. Il m’est demandé de renseigner des informations personnelles telles que mes noms, prénoms, adresse et date de naissance
Je renseigne les différents champs puis je clique de nouveau sur le bouton Continuer
Dès le troisième écran, les choses sérieuses commencent. Pour me faire rembourser, le formulaire me demande mes informations bancaires, soit un numéro de carte de crédit valide.
Je renseigne des coordonnées bancaires fausses pour essayer de passer à l’étape suivante. Ca ne fonctionne pas… Les pirates sont allés jusqu’à contrôler que la carte bancaire est valide. Du coup, ma demande est rejetée, le message carte bancaire invalide, veuillez réessayer.
A tout hasard, j’essaie avec des numéros de tests fournis par les logiciels de paiement. Ça marche! J’arrive alors sur une page de confirmation de la bonne prise en compte de ma demande de remboursement.
Pour faire plus vrai que nature, si vous cliquez sur le bouton Continuer de cette page, vous êtes redirigés vers le vrai site d’Orange. Mais, c’est trop tard, les pirates disposent de toutes mes données personnelles et surtout bancaires…
Les coulisses de cette arnaque de smishing
Dans ce chapitre, je vais vous expliquer quelles sont les motivations des escrocs et les raisons qui font que cette dernière est vraiment bien réalisée (si l’on peut dire…)
Objectifs de pirates
Dans la plupart des attaques informatiques, les cybercriminelles vont principalement utiliser 3 types de procédé:
- Tenter de voler vos identifiants et mots de passe
- Récupérer vos données personnelles via un formulaire
- Installer un logiciel malveillant sur votre appareil
Comme vous avez pu le voir dans le chapitre précédent , nous nous situons ici dans le deuxième cas : Récupération des données personnelles, incluant même les données bancaires!
Une arnaque de smishing bien ficelée
Les pirates améliorent sans cesse leurs techniques pour duper leur victime. Cette arnaque est bien travaillée, dans le sens où beaucoup d’éléments peuvent prêter à confusion.
A commencer par le numéro de téléphone utilisé pour envoyer les SMS. Il s’agit d’un numéro déjà utilisé par Orange pour communiquer avec leurs clients. Les derniers messages que j’ai reçus de l’opérateur datent de 2019. Je pense que les escrocs ont réussi à racheter un ancien numéro d’Orange pour leur arnaque.
Ensuite, le remboursement de 44,99 euros semble plausible. Il ne s’agit pas d’une somme démentielle, ce qui la rend plus crédible. De plus, nombreux sont ceux qui ont régulièrement des petits problèmes techniques avec Internet. Du coup, un petit cadeau de l’opérateur reste possible.
Enfin, l’aspect global du site semble, au premier abord, vraiment réaliste. Nous retrouvons dans les pages, tous les codes utilisés habituellement par l’opérateur. Les pirates ont poussé le détail jusqu’au favicon, la petite image située au niveau de l’onglet.
Toutefois, comme toutes les arnaques, le SMS et le site Internet contenaient un certains nombres d’indices qui devaient vous mettre la puce à l’orteil (comme dirait les Bodin’s)😁
Le Smishing : les bons réflexes à adopter
Dans ce chapitre, nous allons reprendre les différents éléments de cette arnaque pour bien comprendre ce qui doit vous alerter face à ce type de menace numérique.
Ne jamais ouvrir un lien depuis un SMS
C’est une des règles de base en ce qui concerne le phishing, mais elle est d’autant plus vrai avec le hameçonnage par SMS. Pourquoi? Tout simplement parce qu’il est encore plus difficile de savoir quel site va s’ouvrir sur un smartphone. Contrairement à l’ordinateur, vous ne pouvez pas survoler le lien pour déterminer l’adresse de destination.
Concernant le lien, il faut également se méfier de toutes les adresses Internet raccourcies. Dans notre message, l’adresse bit.ly/3bN… est une URL raccourcie. Le problème de ce type d’adresse est qu’elle occulte la véritable adresse de destination. Il est toutefois possible de déterminer la véritable adresse qui se cache derrière en utilisant des sites spécialisés.
Le site Internet utilisé par les cybercriminels pour mener à bien leur attaque est https://www.compteorange.com/. Cette adresse semble crédible, et en plus elle est en https.
Le https ne veut pas dire que le site est nécessairement sécurisé. Cela signifie que les données qui transite sont cryptées.
En cas de doute sur la fiabilité d’un site, faites un copier coller de l’adresse du site précédé du mot clé avis sur un moteur de recherche. Vous aurez un aperçu de la valeur du site. Dans notre cas, il n’y a pas de doute:
Vérifier la cohérence globale du message
Que ce soit par mail ou par SMS, il est impératif d’observer la cohérence globale des messages! La règle est : si quelque chose vous paraît suspect, c’est que ça l’est certainement!
Dans le SMS que j’ai reçu, le message stipule que je dois faire une demande de remboursement via mon espace client. Pourtant lorsque je clique sur le lien, la première page du site me demande mon numéro de téléphone. Bizarre, Orange vient de m’envoyer un SMS donc il a potentiellement mon téléphone.
Ensuite, il me demande de renseigner à nouveau mon adresse, ma date de naissance, mes coordonnées bancaires… Si je suis client sur Orange, l’opérateur a déjà en sa possession toutes ces informations. Pourquoi il ne me demande pas de me connecter à mon espace client comme indiqué dans le SMS?
Voilà le type d’incohérence qui doit vous alerter lorsque vous recevez des mails ou des SMS. En cas de doute, demandez de l’aide à une connaissance.
Observer les détails
Faire un site Internet est chronophage! Aussi, une perte de temps est incompatible avec l’objectif principal des escrocs qui souhaitent rentabiliser rapidement leur petite affaire!
Pour cette raison, en observant d’un peu plus près le site Internet, on se rend compte qu’il s’agit d’une pâle copie du site d’Orange. Par exemple, le bandeau en haut de la page est simplement une image et non un menu. Je ne peux donc pas ouvrir le menu pour me balader sur d’autres pages du site. C’est la même chose pour le bas de page.
De la même façon, le site propose un certain nombre de liens, tel que Besoin d’aide ?. Or si j’essaie de cliquer sur ce dernier, il ne se passe rien. Il s’agit là, d’indices techniques qui doivent vous alerter. Un opérateur comme Orange ne bâclera jamais une telle page, même pour une opération temporaire comme un éventuel remboursement.
Gare au Smishing
Le Smishing est une nouvelle tendance qui semble se développer à grande vitesse. Ces attaques numériques s’avèrent plus vicieuses et plus délicates à traiter. Toutefois, la principale règle reste toujours la même pour s’en protéger : ne jamais ouvrir un lien si l’on n’est pas sûr à 100% du site qui va s’ouvrir!
Que ce soit par mail, par SMS, par courrier ou par démarchage, les gens malhonnêtes usent et abusent de tous les moyens possibles pour duper leurs victimes. Hélas, Internet n’y échappe pas.
J’espère que cet article vous a sensibilisé sur la menace par SMS. Ce concept d’article met l’accent sur un exemple concret afin de montrer comment on peut, sans s’en rendre compte, donner des informations personnelles à son insu.
Je pense rédiger plus d’articles de ce type, si vous souhaitez être averti des nouveautés du site, je vous conseille l’inscription à la lettre d’information ou venir régulièrement visiter le site. Ou les 2 😀
Je publie régulièrement de petites astuces et conseils sur ma page Facebook. N’hésitez pas à y jeter un œil et vous abonner si cela vous plaît.
A bientôt