Smishing: Comment se protéger contre les arnaques de phishing par SMS
Avec des messages tels que "Votre colis sera renvoyé à l'expéditeur aujourd'hui" ou "Dernière chance pour récupérer votre colis", les cybercriminels veulent que vous mordiez à l'ameçon! En effet, le "smishing" (phishing par SMS) contient des liens dangereux, mais il est également très facile à reconnaître. J'ai résumé pour vous les conseils les plus importants pour éviter ces arnaques.
Nous sommes en 2021, tout le monde a un smartphone et tout le monde commande des colis sur internet! Il est donc logique que les cybercriminels prennent le train en marche et exploitent la situation des gens pour lancer des attaques. En Allemagne, où je vis, l'Office fédéral de la sécurité des technologies de l'information (BSI) met en garde contre une nouvelle vague d'arnaques par SMS.
Evidemment, ce problème concerne aussi la France où ces arnaques par SMS ont connu un regain en visibilité dans la presse généraliste, certains médias parlant de "nouvelle grande menace parmi les arnaques en ligne." Un rapport de la plateforme cybermalveillance.gouv.fr du 15 avril dernier a noté une forte recrudescence des arnaques par sms.
Comment reconnaître une tentative de phishing?
| Les principaux signaux d'alerte du phishing |
|---|
| ✘ Grammaire / orthographe incorrecte |
| ✘ Demande de saisie de données personnelles |
| ✘ Réaction à quelque chose que vous n'avez pas du tout fait (Pas de colis commandé → notification de colis). |
| ✘ Vérification des liens ou des expéditeurs |
Dans la plupart des cas, les tentatives de phishing se font via des messages courts qui contiennent des liens dangereux et vous incitent généralement à vous rendre sur les pages douteuses. Au printemps 2021, les messages pouvaient être les suivants:
- Votre paquet sera renvoyé à l'expéditeur aujourd'hui. Dernière chance de le récupérer
- Bonjour [nom], Le coursier a récupéré votre colis. Pour suivre votre colis: [Lien]
- Vous avez un problème non résolu avec votre colis?: [Lien]
Les SMS de phishing ne doivent pas toujours concerner de prétendus colis. J'ai beaucoup couvert le sujet du phishing pendant l'un de mes stages en rédaction et j'ai appris quelques trucs et astuces, que j'aimerais partager avec vous. Outre le smishing, les e-mails de phishing constituent un danger souvent sous-estimé.
Comment distinguer le smishing/phishing des vrais messages?
Faites attention à l'orthographe et à la grammaire
Dans la plupart des cas, les messages de phishing ou de smishing peuvent être reconnus par leur grammaire et leur orthographe. Des entreprises comme Amazon, DHL ou votre banque ne sont pas susceptibles de faire des erreurs dans leurs messages. Les erreurs de majuscules et de ponctuation, comme dans le premier exemple ci-dessus, sont également de bons indices.
Les banques ne demandent jamais vos données personnelles par SMS
En outre, presque toutes les banques, y compris les banques en ligne comme N26, soulignent elles-mêmes qu'elles ne vous demanderont jamais de saisir des informations personnelles par courrier électronique ou par SMS. Elles préfèrent vous demander de vous connecter à votre compte bancaire en ligne via un navigateur ou de consulter un message dans votre boîte mail.
Un regard sur la barre d'adresse du navigateur est particulièrement important.
Un SMS de votre banque contient-il un lien et le message semble-t-il digne de confiance? Vous pouvez ensuite maintenir le lien sur votre smartphone et le copier. Collez-le maintenant dans une note ou brièvement dans une fenêtre de message et vérifiez si le texte du lien mène effectivement à la page promise.
La plupart du temps, les url sont très aléatoires et ne contiennent aucun mot-clé lié de près ou de loin à une entreprise ou une institution fiable, ou mènent à des pages complètement différentes. Dans ces cas-là, vous pouvez être sûr à 100% que le mail ou le SMS essaie de vous induire en erreur.
Pour les e-mails: vérifiez l'expéditeur
Alors qu'avec le smishing, il n'est pas si facile de voir si le numéro appartient réellement à votre banque ou à un fournisseur réputé, c'est une autre histoire avec le phishing par e-mail. Recherchez les informations détaillées sur l'expéditeur dans vos applications de messagerie et examinez de plus près l'adresse électronique.
Faut-il supprimer les messages de phishing qu'on a reçu?
Contrairement aux virus, chevaux de Troie ou logiciels malveillants, la simple réception d'un message de smishing n'est pas dangereuse au début. En principe, vous pouvez ignorer le message et rien d'autre ne se produira. Cependant, je vous recommande de supprimer les messages, car vous n'en avez plus besoin.
Avant cela, vous pouvez bien sûr prendre une capture d'écran du faux message et contacter votre conseiller bancaire ou le support du service qui a servi de leurre. De cette façon, vous pouvez contribuer à clarifier la situation et à prendre des mesures contre les cybercriminels.
Vous n'êtes toujours pas sûr que quelque chose ne va pas sur votre compte bancaire? Rendez-vous ensuite sur la page de la banque en ligne via votre navigateur ou contactez votre conseiller bancaire. De cette façon, vous serez informé des problèmes éventuels.
Que faire si vous avez déjà cliqué sur un lien et saisi vos données après un sms de phishing?
Avez-vous découvert trop tard cet article sur le smishing et avez-vous déjà cliqué sur un lien ou même saisi vos données sur un site web? En cas de phishing bancaire, contactez immédiatement votre conseiller bancaire et informez-le. Par précaution, votre carte bancaire ou de crédit sera probablement bloquée et vous recevrez généralement gratuitement une nouvelle carte avec un nouveau code PIN.
Si vous avez saisi votre adresse électronique ou votre adresse à la place, c'est beaucoup moins dangereux mais beaucoup plus ennuyeux. Car une bonne source de revenus sur Internet consiste à vendre des adresses mail "réelles" ou des adresses à des sociétés de publicité. Vous recevrez probablement plus de courriers de phishing et de spam après avoir saisi vos données.
Si le service concerné le propose, vous devez également activer l'authentification à deux facteurs. Cela permet de protéger votre compte même si un attaquant a réussi à trouver votre mot de passe. En principe, il est conseillé d'activer l'authentification à deux facteurs pour chaque service qui le propose.
En France, si vous souhaitez signaler une escroquerie en ligne ou un contenu illicite sur Internet, vous pouvez le faire via la plateforme dédiée du ministère de l'Intérieur internet-signalement.gouv.fr. Pour porter plainte, rendez-vous au commissariat de police ou à la brigade de gendarmerie dont vous dépendez, ou adressez votre plainte par écrit au procureur de la République du tribunal de grande instance de votre domicile.
Plus de conseils et d'informations sur les actions à prendre contre la cybermalveillance
En tant que particulier, vous pouvez être accompagné gratuitement dans votre dépôt de plainte par l’association France Victimes qui opère le numéro d’aide aux victimes du ministère de la Justice: 116 006 (appel et service gratuits, ouvert 7 jours sur 7 de 9h à 19h).
Enfin, la brigade numérique de la Gendarmerie nationale peut également vous apporter une assistance en ligne 24h/24 dans vos démarches. Pour dialoguer en ligne avec un gendarme, cliquez ici.
Si vous avez des questions ou des expériences concernant ce sujet, n'hésitez pas à les poster dans les commentaires. Si vous avez d'autres conseils et astuces pour cet article, je les inclurai bien sûr volontiers! Le dernier mais non le moindre conseil: Restez sceptiques et surtout, faites attention!
Cet article est donc du pishing, ameçon sans h. Plus sérieusement, grammaire / orthographe incorrecte, méfiance, les arnaqueurs ont pris des cours de français. J'ai vu des textes avec peu de fautes que tout le monde pourrait faire et que peu de gens trouveraient.