Hameçonnage par texto – Escroquerie par texto

Si vous avez déjà reçu un texto douteux d’un numéro inconnu qui vous demande de cliquer sur un lien pour régler un problème de paiement ou de compte, alors vous avez peut-être été la cible d’une tentative d’hameçonnage. Le but de l’hameçonnage par texto est de tromper une personne pour qu’elle fournisse des renseignements sensibles.

Les attaques d’hameçonnage par texto sont de plus en plus courantes étant donné le pourcentage élevé d’ouverture de messages textes et de réponses. Seulement 20 % des courriels sont ouverts et 6 % reçoivent une réponse (car le public est de plus en plus à l’affût des fraudes par courriel), contre 98 % et 45 % respectivement en ce qui concerne les messages textes¹. Les études démontrent que les gens sont plus enclins à faire confiance à un texto qu’à un courriel, et ils sont nombreux à ne pas être au courant des attaques d’hameçonnage par texto. De plus, les gens ont souvent l’habitude de consulter leurs messages textes pendant qu’ils sont en train de se déplacer ou de faire autre chose : les fraudeurs profitent de ces moments de distraction pour les inciter à cliquer sur des liens ou à fournir des renseignements financiers ou personnels sans réfléchir.

Comme plus de six milliards de personnes dans le monde ont un téléphone intelligent (capable d’envoyer et de recevoir des messages textes), l’hameçonnage par texto est une escroquerie qui gagne en popularité.

Qu’est-ce que l’hameçonnage par texto ?

Le but de ce genre d’attaque est d’amener une personne sans méfiance à divulguer des renseignements sensibles qui pourront ensuite être utilisés pour commettre d’autres cybercrimes. C’est un type de fraude psychologique qui consiste à exploiter la confiance de quelqu’un et à manipuler sa prise de décisions. Comme les cybercriminels se font passer pour une personne ou une organisation légitime et digne de confiance (comme une banque ou un service de livraison), leurs cibles baissent leur garde. De plus, ils utilisent un contexte pour créer une situation qui a l’air réelle et anéantir tout soupçon.

Méthodes employées par les cybercriminels

Les cybercriminels utilisent souvent l’une des deux méthodes suivantes pour voler des données au moyen d’un hameçonnage par texto.

• Renvoi à un site Web malveillant : Le lien contenu dans le message texte peut vous diriger vers un faux site qui vous demande d’inscrire des renseignements personnels ou financiers. Le message et le site en question sont (presque) identiques à un vrai message et à un vrai site, si bien qu’ils réussissent à vous tromper.

• Installation d’un logiciel malveillant sur le téléphone : Le lien peut vous amener à télécharger un logiciel malveillant qui s’installe alors sur votre téléphone. Ce logiciel ressemble souvent à un lien ou à une application légitime, mais une fois sur votre téléphone, il donne aux cybercriminels l’accès à vos données et à vos identifiants de connexion.

Exemples courants d’hameçonnage par texto

Il existe plusieurs formes d’hameçonnage par texto, mais certaines attaques sont plus récurrentes – parce qu’elles fonctionnent ! Voici quelques exemples :

« Il y a un problème avec votre compte bancaire »

Le message texte a l’air de venir de votre banque et vous demande des renseignements personnels ou financiers, comme votre numéro de compte ou votre NIP.

On pourrait tenter de vous inciter à cliquer sur un lien contenu dans le texto pour aller vérifier une opération douteuse sur le site de votre banque. On pourrait aussi vous demander de communiquer avec le service à la clientèle au numéro indiqué afin d’informer un représentant d’une opération suspecte ou d’un compte compromis.

Une autre variante consiste à prétendre qu’il faut débloquer votre compte de façon urgente en vous demandant de fournir votre nom d’utilisateur et votre mot de passe pour régler le problème.

« Faites un don aux sinistrés »

Les pirates se servent aussi de la sympathie des Canadiens pour recueillir des renseignements personnels et financiers. Par exemple, après un ouragan, une inondation ou une autre catastrophe naturelle, un cybercriminel pourrait vous envoyer un texto vous demandant de faire un don pour venir en aide aux sinistrés. On vous demanderait alors de fournir les renseignements de votre carte de crédit, votre adresse, et parfois, votre numéro d’assurance sociale. Dans certains cas, les fraudeurs factureront votre carte de crédit chaque mois simplement pour vous faire croire qu’il s’agit d’un véritable organisme de bienfaisance.

« Cliquez pour profiter d’une offre remarquable ! »

Un message texte frauduleux peut promettre un cadeau ou une récompense, ou encore offrir quelque chose de gratuit. Habituellement, cette offre est dite exclusive ou d’une durée limitée pour créer un sentiment d’urgence et vous inciter à agir rapidement sans prendre le temps de réfléchir.

« Votre colis est prêt à être livré »

Une escroquerie courante de nos jours consiste à envoyer un message texte qui provient soi-disant d’une entreprise de livraison. Profitant de la croissance des achats effectués en ligne, les fraudeurs envoient parfois un texto avec un lien qui vous demande de mettre à jour vos « préférences de livraison » pour un colis qui est en route. Dans d’autres cas, le message peut prétendre qu’un article coûteux n’a pas pu vous être livré.

Si vous ouvrez le message et cliquez sur le lien, on vous demandera peut-être de fournir les renseignements de votre carte de crédit pour reporter la livraison, ce qui permettra aux fraudeurs de les utiliser ensuite. Dans certaines circonstances, le lien peut également vous amener à télécharger un logiciel malveillant sur votre appareil, ce qui donnera aux pirates un accès presque illimité à vos données ou à vos fichiers personnels.

Comment se protéger

Les attaques d’hameçonnage par texto sont de plus en plus fréquentes, mais il y a un moyen très simple de ne pas en être victime : ne rien faire. En évitant de cliquer sur un message texte douteux ou de répondre à un texto provenant d’un numéro inconnu, vous faites ce qu’il y a de mieux pour vous protéger. Voici d’autres trucs pour vous protéger contre les attaques :

• Attendez six secondes. Si vous recevez un message qui vous presse de mettre votre compte à jour ou de profiter d’une offre d’une durée limitée, prenez six secondes pour vous demander s’il s’agit d’un message suspect. Méfiez-vous !

• Appelez directement la banque ou le détaillant. Les entreprises et institutions financières légitimes ne vous demanderont pas de mettre à jour votre compte ni de fournir des renseignements de connexion par texto. Il est toujours préférable de confirmer les demandes reçues par texto en appelant le numéro officiel de l’entreprise (c’est-à-dire celui qui se trouve sur son site Web, et non celui qui est dans le message).

• Évitez de cliquer sur un lien dans le message. Il peut s’agir d’un piège pour installer un logiciel malveillant ou recueillir des données personnelles.

• Vérifiez le numéro de téléphone. Les numéros de téléphone suspects, par exemple ceux qui n’ont que quatre chiffres, peuvent indiquer qu’on a utilisé un service pour envoyer des textos à partir d’un courriel. C’est l’une des nombreuses tactiques employées par les fraudeurs pour masquer leur vrai numéro.

• Évitez de stocker des renseignements bancaires sur votre téléphone. Ces renseignements pourraient être compromis si un cybercriminel réussit à installer un logiciel malveillant sur votre appareil.

Les tentatives d’hameçonnage par texto sont de plus en plus fréquentes, mais si vous connaissez les différents types d’attaques, vous pourrez les repérer plus facilement. Sachez vous protéger afin de garder vos renseignements personnels et financiers en sécurité.

¹ D’après une étude de Gartner : « Tap Into The Marketing Power of SMS », par Chris Pemberton.

Partager cet article