Le smishing est un type particulier d'attaque par hameçonnage qui cible les usagers de la Poste et des banques. Voici comment vous défendre
Tout support est bon pour une attaque de phishing visant à voler les identifiants d'accès aux comptes en ligne des utilisateurs. Même le bon vieux SMS peut être utilisé pour l'arnaque dite du "smishing".
Ce type d'escroquerie est très simple et utilise des méthodes apparemment anodines : il s'agit d'envoyer un SMS à l'utilisateur et de le convaincre de cliquer sur un lien, qui l'envoie ensuite sur un site web où se déroule la véritable escroquerie. Le problème est que, comme dans presque tous les cas de phishing, l'utilisateur moyen ne s'attarde pas beaucoup sur le message et clique instinctivement sur le lien. Comme d'habitude, nous avons donné notre numéro de téléphone aux pirates : il est fort probable qu'ils l'aient pris sur l'un de nos profils sociaux. Ou, plus rarement, ils l'ont trouvé dans un paquet de données acheté sur le marché noir du Deep Web.
Smishing par la Poste italienne et Banco Posta
L'un des cas les plus fréquents de smishing est celui où des pirates tentent de voler nos identifiants de la Poste italienne ou de Banco Posta. Évidemment pour vider notre compte. Le mécanisme est très simple : le SMS semble provenir de Poste Italiane et nous avertit qu'il y a des problèmes avec notre compte et que nous devons cliquer sur le lien pour changer nos données d'accès et l'OTP, le mot de passe à usage unique qui protège notre compte.
Bien sûr, tout est faux : l'expéditeur n'est pas Poste Italiane, il n'y a aucun problème avec notre compte et, si nous cliquons sur le lien, nous sommes envoyés sur un site qui n'est pas Poste Italiane. Si nous saisissons nos données sur ce site, nous les donnons donc aux pirates informatiques et nous pouvons dire adieu à nos économies. Une variante du SMS propose en bas de page l'option d'appeler un numéro de téléphone pour obtenir une "assistance". En réalité, il s'agit d'un numéro étranger auquel répond un centre d'appels : un opérateur nous demandera nos données d'accès et promettra de résoudre lui-même le problème du compte fantôme. Le résultat est le même : le compte est vidé.
Comment se protéger du smishing
La première façon de se protéger contre un SMS de smishing est de s'assurer que vous ne recevez pas le message : ne donnez jamais votre numéro de téléphone sur les réseaux sociaux, les forums ou autres sites web. Si le SMS d'arnaque nous parvient quand même, nous devons l'ignorer et le supprimer : ni Poste Italiane, ni aucune banque ou société de cartes de crédit n'utilise les SMS pour les communications importantes.
Ils utilisent généralement leur propre appli qui établit une communication cryptée avec les serveurs de la banque/de la poste/de la carte afin d'empêcher quelqu'un de voler nos données sensibles.