Passer au contenu

Arnaque à la livraison de colis et phishing par SMS : comment ne pas se faire avoir ?

Les arnaques par SMS sont de plus en plus répandues. En se faisant passer pour une banque, une administration ou un service de livraison, les cybercriminels incitent leurs victimes à cliquer sur des liens frauduleux et à fournir des informations sensibles, dont des coordonnées bancaires. On vous explique comment repérer les arnaques et s’en protéger.

Le smishing est une attaque de phishing qui repose d’abord sur l’envoi d’un SMS. Il s’agit de l’abréviation de “SMS phishing”. Comme les autres opérations de phishing, l’offensive vise à mettre la main sur des données personnelles, en particulier des coordonnées bancaires.

Le message peut prétendre provenir d’une banque, d’une administration ou d’une entreprise connue, et inviter la personne à cliquer sur un lien malveillant ou à répondre à des informations confidentielles. Le but est souvent de voler de l’argent, que ce soit par le biais d’un site de phishing ou de l’installation d’un virus sur le smartphone de la victime.

Comme l’explique Stuart Jones, chercheur chez Proofpoint, le but des pirates est « d’inciter les victimes à partager des informations personnelles, de cliquer sur des liens malveillants ou bien de télécharger des logiciels ou des applications nuisibles ». C’est une stratégie particulièrement redoutable, qui touche énormément d’internautes. Selon une étude menée par le Mobile Ecosystem Forum (MEF), 39 % des consommateurs ont d’ailleurs été visés par une arnaque par SMS au cours de l’année 2023. Le smishing « reste le vecteur de phishing mobile le plus courant, avec 37 % des attaques en Inde, 16 % aux États-Unis et 9 % au Brésil », abonde Zimperium dans un communiqué partagé avec 01Net.

À lire aussi : Arnaques en ligne – nos 7 conseils pour repousser les escrocs

Explosion du phishing par SMS

Ces dernières années, le phishing par SMS est en hausse. Selon les recherches menées par Proofpoint, entre 300 000 et 400 000 attaques par SMS seraient détectées chaque jour. Depuis 2023, la société de sécurité a constaté une hausse de plus de 300 % des « attaques conversationnelles ». Comme son nom l’indique, ce type de cyberattaque consiste tout simplement à entrer en conversation avec un internaute, que ce soit par SMS, par une messagerie instantanée comme WhatsApp ou par mail.

Dans certains cas, le message initial peut aboutir à un appel téléphonique. Les cybercriminels vont jusqu’à se faire passer pour quelqu’un d’autre au téléphone. Ils tentent alors de manipuler leur interlocuteur pour le convaincre de suivre leurs consignes. C’est ce qu’il s’est passé lors de la cyberattaque ultra-sophistiquée qui a visé un employé de chez Google le mois dernier. Les pirates ont contacté le programmeur par téléphone pour le convaincre de lancer un processus de réinitialisation de mots de passe de son compte Google. Le développeur a bien failli tomber dans le piège.

Les arnaques à la livraison de colis

On peut s’attendre à ce qu’une certaine forme de phishing par SMS explose dans les semaines à venir, à savoir les arnaques à la livraison de colis. Ce type d’escroquerie consiste à se faire passer pour des services de livraison comme La Poste, Colissimo, DPD, Chronopost ou UPS. Le message affirme qu’un colis est en attente, en cours d’expédition ou n’a pas pu être livré. Pour finaliser la livraison, les victimes sont invitées à effectuer un paiement urgent, présenté comme des frais de port, des taxes ou des droits de douane. C’est une tactique très efficace parce qu’il est effectivement parfois nécessaire de régler des frais quand un colis arrive à la douane.

Il y a quelques semaines, Chronopost a en effet été victime d’une cyberattaque. Au cours de l’intrusion, un attaquant a pu exfiltrer une montagne de données sur les clients du transporteur, comme le nom, le prénom, le numéro de téléphone, et l’adresse postale. Plus de 200 000 personnes ont été touchées. Entre les mains des pirates, ces données représentent une sérieuse menace pour tous les Français.

En se servant des données dérobées, les criminels vont pouvoir orchestrer des escroqueries convaincantes. Comme toutes les autres arnaques, le smishing est en effet plus efficace s’il est personnalisé. En se servant d’informations personnelles sur la cible, comme le nom, l’adresse de résidence ou le numéro de Sécurité sociale, les pirates peuvent calibrer leurs messages et endormir la méfiance de leur interlocuteur. Dès lors, les messages personnalisés sont nettement plus efficaces. C’est pourquoi le hack de Chronopost suscite les inquiétudes des experts en cybersécurité.

À lire aussi : Arnaques en ligne – les 7 trucs des pirates pour vous piéger

Une arnaque difficile à bloquer

Une attaque de smishing est généralement plus efficace qu’une attaque phishing par mail. Le chercheur Stuart Jones rappelle que « beaucoup de gens ont un niveau élevé de confiance dans la sécurité des communications mobiles », ce qui explique que « les taux de clics sur les liens envoyés par mobile sont jusqu’à huit fois supérieurs à ceux reçus par messagerie électronique ». C’est logiquement pourquoi ce type d’arnaque est particulièrement prisé par les pirates.

Interrogé par nos soins, Benoit Grunemwald, expert en cybersécurité chez ESET France, explique que le smishing est par ailleurs « est plus difficile à traiter que l’hameçonnage par e-mail ». En effet, les mails frauduleux ne reposent « pas sur un nom de domaine identifiable pour l’expéditeur, comme “[email protected]” ».

« Au lieu de cela, les cybercriminels utilisent souvent des numéros de téléphone légitimes, rendant leur détection plus complexe », nous explique le chercheur.

Très souvent, les pirates « peuvent infecter des smartphones avec des logiciels qui envoient des messages frauduleux à l’insu du propriétaire ». C’est pourquoi « il n’est pas envisageable de bloquer systématiquement des numéros de téléphone, qui pourraient appartenir à des particuliers ou des entreprises légitimes ». Benoit Grunemwald ajoute qu’un « numéro peut être associé à du smishing pendant un temps, puis redevenir sain après la suppression du logiciel malveillant ». De facto, un blocage de tous les numéros impliqués dans les arnaques n’est pas envisageable. Un tel procédé pénaliserait en fait les utilisateurs victimes d’un virus.

À la place, ESET recommande de « cibler les URL contenues dans ces messages » au lieu des numéros de téléphone. La plupart des messages sont en effet taillés pour pousser l’utilisateur à cliquer sur un lien malveillant. Malheureusement, la détection des URL malveillantes est aussi particulièrement complexe.

« Ces domaines sont difficiles à détecter et à qualifier. En effet, les smartphones, souvent moins protégés que les ordinateurs (PC ou macOS équipés d’antivirus), accèdent directement à ces sites malveillants, compliquant leur identification. En conséquence, les éditeurs de sécurité reçoivent moins de signaux d’alerte de la part des utilisateurs », relate Benoit Grunemwald.

Conscients de l’omniprésence du smartphone, les développeurs ont repris « certaines des méthodes utilisées contre l’hameçonnage par e-mail » pour les adapter aux attaques par SMS, ajoute le responsable ESET.

Nos conseils pour se protéger contre le phishing par SMS

Tout d’abord, il est essentiel d’apprendre à repérer toutes les tentatives de piratage par SMS. Le fait de pouvoir « reconnaître les signes d’un message frauduleux et adopter les bons réflexes peut grandement limiter les risques », encourage Benoit Grunemwald.

Lorsque vous recevez un SMS, prenez le temps de lire attentivement le message avant d’agir. Pour repérer les arnaques, faites d’abord attention à l’expéditeur. S’il s’agit d’un numéro que vous ne connaissez pas, prenez du recul. Redoublez de prudence si le numéro qui vous contacte est étranger. Méfiez-vous des numéros avec un préfixe comme +44 ou +31. Néanmoins, les pirates peuvent parfois se servir d’un numéro français. Ce n’est donc pas une garantie que vous pouvez faire confiance à l’expéditeur.

Par ailleurs, prenez garde aux tentatives de pression, comme « Votre compte sera bloqué », « Action immédiate requise », ou encore « Dernier avertissement ». Avec des formulations comme celles-ci, les pirates cherchent à vous pousser à une réaction rapide en omettant toute prudence. Faites aussi attention à l’URL partagé. Parfois, les escrocs utilisent une adresse web proche d’un site officiel, mais légèrement modifiée, uniquement pour vous berner.

Ces messages peuvent aussi réclamer des données, comme un mot de passe, un numéro de carte bancaire, ou un code de validation reçu par SMS. Gardez à l’esprit qu’une entreprise légitime ne demande jamais ces informations par SMS, que ce soit votre banque, un transporteur, ou une plateforme de streaming telle que Netflix.

Surtout, ne commettez pas l’erreur de cliquer sur le lien glissé dans le SMS, même par simple curiosité. Il est possible que le lien force l’installation d’un virus sur votre appareil. Par mesure de sécurité, ignorez donc tous les liens envoyés par SMS.

Par ailleurs, ne répondez jamais au message. Vous pouvez avoir affaire à une personne dont le smartphone a été piraté, et qui ne comprendra pas ce que vous lui voulez. Les numéros peuvent avoir été compromis lors d’une attaque de Sim Swap, aussi appelée l’arnaque à la carte SIM. Comme Victor Baissait, enseignant et expert de la cybersécurité, l’explique sur X, « insulter en réponse quand on reçoit ce genre de SMS est contre-productif, il faut prévenir la victime ». Au lieu de répondre au message avec une insulte ou avec une question, l’expert recommande plutôt d’alerter la personne dont le numéro a été compromis.

De notre côté, on vous conseille cependant de vous abstenir. Certaines attaques visant l’iPhone se servent en effet des réponses de l’utilisateur pour berner les mécanismes de sécurité d’iMessage. La messagerie bloque automatiquement les liens contenus dans les messages envoyés par des expéditeurs inconnus afin de prévenir les tentatives de phishing. Les messages malveillants incitent les victimes à répondre, ce qui désactive automatiquement les restrictions sur les liens frauduleux. Les escrocs demandent d’envoyer un “Y” pour prétendument « rouvrir le lien d’activation ». Bref, il vaut mieux prendre l’habitude de ne jamais répondre pour ne pas faire le jeu des cybercriminels.

Comment prévenir les autorités ?

Enfin, il est important de prendre le temps de prévenir les autorités compétentes. En France, on vous recommande de transférer le SMS au numéro 33700. Le message malveillant sera ainsi directement envoyé aux autorités par le biais de votre opérateur. Ceux-ci pourront bloquer les numéros au cas par cas.

On espère que cet article dédié aux arnaques par SMS va vous aider à éviter les pièges tendus par les pirates. Si vous avez d’autres conseils, ou si vous avez été victime d’une escroquerie de ce type, n’hésitez pas à vous manifester dans les commentaires ci-dessous.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Florian Bayard
Sur le même sujet
Les dernières actualités
Donald Trump 2025
Donald Trump veut pulvériser le bouclier juridique qui protège nos données personnelles
France Travail Sms Phishing
Arnaque à la livraison de colis et phishing par SMS : comment ne pas se faire avoir ?
Netflix logo
Prix Netflix : quel abonnement choisir en 2025 ?
Meilleur Smartphone Moins 400 Euros
Les meilleurs smartphones à moins de 400 euros en février 2025
Iphone 14
Attention danger ! La première bêta d’iOS 18.4 pose de sérieux soucis à plusieurs appareils Apple
Ios 18.4 Centre De Contrôle Apple Music4
De la musique d’ambiance dans le Centre de contrôle d’iOS 18.4
Meilleur Smartphone Moins 500 Euros
Quels sont les meilleurs smartphones à moins de 500 euros en février 2025 ?
Windows 11
Au lieu de 259€, Windows 11 Pro ne coûte que 5% du vrai prix avec cette astuce légale
Top téléchargements