Qu'est-ce que le Smishing ?
Combinaison de SMS (Short Messaging Service) et de phishing, le hameçonnage désigne les messages textuels envoyés par des pirates pour obtenir des informations personnelles et sensibles. Comme le spear phishing, les attaques par hameçonnage consistent à inciter les utilisateurs à cliquer sur un lien pour fournir des informations sensibles, comme les crédits d'accès qui peuvent être utilisés pour accéder aux systèmes cibles, ou même déposer des malwares.
Découvrez nos 10 exigences en matière de protection des terminaux.
Cette méthode d'attaque est récemment devenue plus populaire en raison de la facilité de collecte des numéros de téléphone, de la prévalence des smartphones et de la confiance présumée d'un message texte par rapport à un courrier électronique traditionnel. Alors que les courriels peuvent contenir n'importe quel nombre de lettres ou de caractères spéciaux, les numéros de téléphone du monde entier suivent des schémas spécifiques, comme le schéma à 10 chiffres trois-quatre-trois aux États-Unis, et les attaquants peuvent essayer différentes combinaisons ou envoyer des bombardements à une plage spécifique. En outre, les numéros de téléphone sont souvent associés aux médias sociaux, ce qui les rend plus faciles à trouver tout en fournissant aux attaquants un référentiel d'informations pour rendre les tentatives de smishing plus personnalisées.
Les escrocs réussissent également grâce à la relation entre un utilisateur et son téléphone. Qu'ils soient en déplacement ou distraits par autre chose, les utilisateurs sont plus susceptibles de se fier à leur smartphone ou de parcourir un message plutôt que de le lire attentivement. Pour se protéger au mieux contre le smishing - et les escroqueries par hameçonnage en général - il est important que les utilisateurs examinent minutieusement les numéros de téléphone, lisent attentivement les messages et ne cliquent jamais sur un lien qui ne leur est pas familier.
En savoir plus sur le hameçonnage
Comment repérer une tentative de smishing
Malheureusement, les attaques de hameçonnage ne manquent pas, quel que soit l'appareil utilisé. Que les cybercriminels soient à la chasse aux cartes de crédit, aux identifiants de connexion ou à toute autre information sensible, les tentatives de hameçonnage par SMS sont des menaces auxquelles les utilisateurs mobiles doivent être préparés.
Les services bancaires font souvent l'objet d'une attaque par smishing. Se faisant passer pour une institution financière légitime, ces messages textuels peuvent donner l'impression que le temps est compté afin d'encourager les victimes à se connecter sans réfléchir.
Figure 1 : Exemple de message texte alertant la victime de la compromission de son compte et l'encourageant à se connecter à l'aide du lien fourni.
La meilleure façon de réagir à ce type de messages est de contourner le lien et de se rendre directement à la banque elle-même. Rendez-vous sur le site web de la banque, connectez-vous à son application ou même appelez une agence locale pour vérifier s'il y a des problèmes avec un compte bancaire.
Un autre exemple d'attaque par smishing tire parti de l'authentification multifactorielle (MFA). Les pirates envoient des messages textuels d'identification aux utilisateurs, les encourageant à se connecter. Les pirates créent ces pages pour qu'elles ressemblent aux sites d'identification authentiques que les utilisateurs connaissent bien.
Figure 2 : Exemple de message texte encourageant la victime à se connecter au lien fourni afin de vérifier son identité.
Face à de telles attaques, les utilisateurs doivent faire preuve de prudence. Se sont-ils connectés à quelque chose récemment ? Est-ce la façon normale de vérifier leur identité ? Comme pour les institutions bancaires, il est préférable de s'adresser directement à la source et de vérifier. Il est important de noter que même si certains attaquants profitent de l'AMF, la sécurité accrue de l'AMF reste une défense incroyablement importante contre la cybercriminalité.
La figure 3 est un exemple réaliste basé sur un message de smishing reçu par l'un de nos employés.
Figure 3 : Capture d'écran d'une tentative d'hameçonnage avec le numéro étrange et le lien incorrect mis en évidence
Comment éviter d'être victime d'une fraude
Comme indiqué précédemment, l'une des meilleures techniques pour éviter d'être victime d'un smishing est de faire preuve d'esprit critique à l'égard des SMS que vous recevez. Ne cliquez jamais sur un lien qui ne vous est pas familier et ne vous sentez pas obligé de répondre à un texte étrange provenant d'un numéro que vous ne reconnaissez pas. Si vous recevez un message d'hameçonnage aux États-Unis, vous pouvez le signaler à reportfraud.ftc.gov.
Pour les professionnels de la sécurité, il est important de mettre en œuvre l'éducation des utilisateurs. Former et tester votre entreprise sur la manière d'identifier le hameçonnage et le smishing réduira considérablement la probabilité de réussite d'une tentative de hameçonnage.
Pour aller plus loin, une autre pièce importante de ce puzzle est l'adoption à l'échelle de l'organisation d'une position Zero Trust . Il est important de surveiller votre environnement en gardant à l'esprit que rien ne doit faire l'objet d'une confiance implicite - tout ce qui se trouve dans votre réseau peut être utilisé contre vous. Des produits comme endpoint detection and response (EDR) offrent une large visibilité et une détection basée sur l'apprentissage machine (ML)pour une analyse des menaces en temps réel. Un produit EDR peut être associé à une plateforme d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) pour une réponse aux menaces basée sur l'automatisation.
En savoir plus sur la façon dont la sécurité du terminal et du réseau fonctionnent ensemble.
Inscrivez-vous à une démo Cortex pour découvrir comment Cortex XDR et XSOAR peuvent améliorer votre posture de sécurité.
