Après les appels téléphoniques et les mails, c’est désormais par SMS que les arnaques fusent. Un message de votre banque, du gouvernement ou d’une entreprise vous proposant une superbe promotion, qui vous renvoie en fait vers un site frauduleux. Ce système s’appelle le smishing. On fait le point sur ce qu’il faut savoir sur cette arnaque.
Quel est le mécanisme du smishing ?
Le smishing, qui correspond à l'hameçonnage par SMS, est une méthode utilisée par les cybercriminels pour arnaquer leurs victimes. Ils s’approprient pour cela l’identité d’une tierce personne, physique ou morale, pour mettre en confiance le destinataire du message. Le cybercriminel peut, par exemple, se faire passer pour une entreprise d’énergie ou de livraison, un service de l’administration, une banque, ou même un membre de votre famille. Dans son message, l’arnaqueur va inciter sa cible à effectuer une action, sous couvert de différents prétextes, comme un problème de livraison ou un incident de paiement.
Le SMS contient généralement peu d’informations, mais invite à cliquer sur un lien pour en savoir davantage, voire à rappeler un numéro de téléphone. C’est là que la mécanique se met en route, puisque le site internet concerné est frauduleux et va encourager la victime à donner "des informations personnelles et/ou de carte bancaire, voire des identifiants de connexion", précise le gouvernement sur son site dédié à la cybermalveillance. Ces mêmes données vont être demandées à la personne si elle appelle le numéro de téléphone indiqué dans le message. L’objectif de la manœuvre peut aussi aboutir à l’installation d’un logiciel malveillant sur le terminal de la personne, de manière à lui soutirer des informations personnelles ou à prendre le contrôle de l’appareil.
Comment ne pas se faire avoir ?
Même si vous êtes au fait de l’existence de ces arnaques, il n’est pas toujours évident de maintenir une vigilance permanente. Néanmoins, quelques points clés sont à retenir pour éviter de tomber dans le piège. Ne communiquez jamais d’informations personnelles et confidentielles sollicitées via un SMS. Si vous avez un doute, n’hésitez pas à contacter directement la société ou l’organisme en question, via le numéro de téléphone qui figure sur leur site internet officiel, pour vous assurer que le message reçu provient bien de lui. De même, si vous n’êtes pas certain que le lien qui vous a été envoyé est sécurisé, il est préférable de le retrouver directement depuis le site internet de l'entité concernée, plutôt que de cliquer sur celui qui vous a été envoyé par SMS.
Que faire si vous avez été victime de smishing ?
Si malgré ces précautions, vous avez été victime de smishing, il est primordial d’agir au plus vite, pour éviter que le cybercriminel ne puisse aller trop loin dans sa démarche. Dans le cas où vous avez transmis des informations sensibles, comme vos coordonnées bancaires, prévenez tout de suite votre banque pour faire opposition sur toutes les transactions depuis votre compte. Dans la mesure du possible, conservez également les preuves de cette arnaque, par exemple l’adresse du site internet ou des captures d’écrans pouvant justifier l’historique de la manipulation. N’hésitez pas à protéger votre téléphone ou votre ordinateur, si vous suspectez qu’un logiciel malveillant y a été installé à votre insu. Des antivirus existent notamment pour cela. De même, si vous soupçonnez le piratage de l’un de vos comptes en ligne, modifiez immédiatement votre mot de passe. Il est aussi indispensable de déposer plainte au commissariat pour signaler officiellement que vous avez été victime d’un acte malveillant. Enfin, vous pouvez relayer l’existence de la fraude auprès de l’organisme qui s’est fait usurper son identité, afin qu’il puisse agir et prévenir le reste des personnes susceptibles d’être la cible d’une cyberattaque.