Clé à emporter
- La Federal Communications Commission (FCC) a mis en garde les gens contre une augmentation significative des attaques de phishing menées par SMS.
- Les experts affirment que les SMS sont devenus plus dangereux que les e-mails pour tromper les gens dans les escroqueries par hameçonnage.
-
Les SMS frauduleux peuvent contourner la technologie conçue pour intercepter les e-mails de phishing.
Juste au moment où vous pensiez maîtriser les e-mails de phishing, des acteurs de la menace changent de stratégie et attaquent des personnes utilisant des messages SMS frauduleux.
La Federal Communications Commission (FCC) a récemment publié une note pour avertir les gens de l'augmentation des attaques de phishing par SMS, partageant que les escroqueries par SMS ont augmenté de 168% entre 2019 et 2021, avec plus de 8 500 plaintes juste cette année seule.
"Les cybercriminels utilisent de plus en plus les SMS comme méthode pour contourner les contrôles de sécurité généralement mis en œuvre dans les e-mails et autres systèmes de communication", a déclaré Josh Yavor, responsable de la sécurité de l'information chez Tessian, à Lifewire. "Nous assistons à de nouvelles vagues d'attaques d'ingénierie sociale où les attaquants se font passer pour différents types de messages SMS pour duper les consommateurs afin qu'ils divulguent des informations sensibles et personnelles."
SMS militarisés
Les attaques de phishing perpétrées via des messages SMS frauduleux sont généralement connues sous le nom de smishing, ou comme la FCC les appelle dans sa note: robotexts.
Selon la commission, les plaintes concernant de tels SMS indésirables ont augmenté régulièrement ces dernières années, passant d'environ 5 700 en 2019, 14 000 en 2020 et 15 300 en 2021 à 8 500 jusqu'au 30 juin., 2022.
Il a également suggéré que ce chiffre pourrait n'être que la pointe de l'iceberg, pointant vers un rapport de Robokiller qui estime que les Américains ont reçu plus de 12 milliards de messages robotext en juillet 2022, soit une moyenne d'environ 44 spams pour chaque citoyen.
La FCC a également partagé certains des leurres courants que les escrocs derrière ces campagnes de smishing utilisent pour inciter les gens à divulguer des informations confidentielles.
"Comme les robocallers, un robotexter peut utiliser la peur et l'anxiété pour vous faire interagir", a noté la FCC. "Les SMS peuvent inclure des allégations fausses mais crédibles concernant des factures impayées, des problèmes de livraison de colis, des problèmes de compte bancaire ou des mesures d'application de la loi à votre encontre."
De plus, dans leur tentative d'interagir avec vous, les escrocs peuvent également utiliser les messages SMS frauduleux pour fournir des informations déroutantes, comme s'ils envoyaient un SMS à quelqu'un d'autre, afin de vous faire répondre, d'une manière ou d'une autre.
S'appuyant sur la note de la FCC, Yavor souligne que les SMS sont "intrinsèquement plus dangereux" que les e-mails en tant que moyen d'hameçonnage, car il est beaucoup plus difficile de lutter contre les messages frauduleux par SMS que par e-mail.
"Malheureusement, le monde de la sécurité des SMS est à la traîne par rapport aux e-mails, car les principales protections que nous avons dans les e-mails n'existent tout simplement pas avec les SMS", a déclaré Yavor. "Avec les SMS, il est plus difficile de former les gens à identifier les expéditeurs frauduleux, et les gens n'ont pas les mécanismes d'assistance auxquels ils sont habitués lorsqu'ils utilisent le courrier électronique."
D'après l'expérience de Yavor, les gens ont plus de chances d'identifier une fausse adresse e-mail, alors que c'est plus difficile avec les SMS, grâce à la prévalence de l'usurpation de numéro.
Les SMS sont plus dangereux
Yavor a fait référence à une enquête de Tessian, qui a révélé que plus de la moitié des personnes interrogées avaient reçu un SMS frauduleux au cours de l'année écoulée. De plus, un tiers d'entre eux sont tombés dans le piège de l'escroquerie, un nombre supérieur à celui de ceux qui ont interagi avec un e-mail de phishing.
Les gens ne s'attendent généralement pas à être arnaqués via leurs SMS, c'est pourquoi les SMS sont devenus un vecteur d'attaque très efficace, a noté Jeff Hancock, Harry and Norman Chandler Professor of Communication à l'Université de Stanford, dans l'enquête de Tessian.
La confiance avec les SMS, a-t-il soutenu, découlait du fait que jusqu'à récemment, très peu de personnes en dehors de notre réseau pouvaient nous joindre par SMS. "Alors que nous achetons en ligne et que nous sommes invités à partager notre numéro de téléphone portable, nous recevons désormais des SMS de contacts que nous ne connaissons pas - certains messages sont légitimes et d'autres non", a déclaré Hancock.
Si vous avez reçu un SMS suspect ou une demande inhabituelle de la part d'une personne en qui vous avez confiance, Yavor suggère que les meilleurs conseils soient les mêmes que dans les e-mails. Au lieu de vous engager immédiatement, prenez un moment pour contacter l'expéditeur via un autre moyen de vérifier l'authenticité du SMS.
"Il est impératif de toujours établir la confiance en dehors de la conversation par SMS et de se rappeler que les organisations légitimes [comme votre banque] ne donneront jamais d'ultimatum (comme un rappel dans 12 heures ou autre) ou ne demanderont pas de détails financiers ou de mots de passe par SMS ", a déclaré Yavor."Enfin, les gens peuvent signaler les spams et les SMS frauduleux à leur opérateur en transférant les messages au 7726."
