Le mode opératoire des cyber-criminels est de vous coller un virus dans votre smartphone via un SMS contenant un lien piégé
pour révéler tout le contenu et d'utiliser votre numéro pour
cyber-attaquer d'autres personnes. Les arnaques sont les colis et les
cartes vitales. En cas d'infection virale, faites un hard-reset de votre
smartphone sans oublier de sauvegarder vos données personnelles et changez de numéro de téléphone
L'ensemble des mobiles sont vulnérables à différentes menaces. Ces menaces ne cessent d'exploser d'année en année et continueront de représenter un risque majeur pour les utilisateurs de mobiles dans les années à venir. Les cyber-attaques par SMS, notamment, constituent une menace considérable pour tous ces utilisateurs.
L’hameçonnage (= Phishing) est un problème qui se présente sous toutes sortes de formes et de formes. Alors que le moyen le plus courant pour quelqu’un de se faire hameçonner impliquerait généralement des e-mails et autres, les tentatives de phishing par SMS sont également assez courantes. En fait, selon un récent rapport publié par le département des recettes et des douanes du gouvernement britannique, le phishing par SMS, ou 'smishing' comme on l’appelle familièrement, est en fait à la hausse et a connu un bond massif ces derniers mois. Sur la base des conclusions de ce rapport, les tentatives de phishing par SMS ont augmenté de 700% au cours des six premiers mois de 2021 lorsque vous comparez le taux de telles attaques à la fréquence à laquelle elles se sont produites au cours des six derniers mois de 2020.
L’une des raisons pour lesquelles une telle augmentation se produit pourrait avoir quelque chose ou l’autre à voir avec l’augmentation des achats en ligne et autres en raison de la pandémie. Les gens sont généralement coincés à la maison ces jours-ci car ils doivent éviter les situations dans lesquelles ils pourraient souffrir d’une sorte d’infection, et comme l’épicerie est toujours une nécessité pour eux d’acheter, cela donne aux escrocs une occasion privilégiée.
Cela a également entraîné une crise de crédibilité pour les entreprises qui veulent pouvoir communiquer avec leurs clients par SMS et autres. Beaucoup de ces entreprises constatent que les clients ne font tout simplement confiance à aucun des messages texte qu’ils ont reçus, même en dépit du fait que c’est le cas, ils semblent provenir d’une entreprise légitime en raison du fait que c’est le genre de chose qui pourrait potentiellement finir par être une ruse qui a été mise en jeu par un escroc.
Avec tout cela ayant été dit et maintenant à l’écart, il est important de noter qu’il y a des choses que vous pouvez faire si vous avez l’impression d’avoir reçu un message texte qui n’est essentiellement qu’une tentative d’hameçonnage.
Une chose que vous pouvez potentiellement finir par faire, c’est que vous pouvez signaler le SMS afin que les autorités puissent prendre les mesures appropriées à cet égard. Il est essentiel de le faire afin que la fréquence de ces types de textes puisse être réduite jusqu’à ce qu’ils ne soient plus du tout un problème.
Mantas Sasnauskas, chercheur principal en cybersécurité chez CyberNews, fournit des conseils aux consommateurs sur la façon de se protéger contre les imperfections :
- Si vous obtenez un texte de ce qui ressemble à une entreprise légitime que vous reconnaissez, avant de cliquer sur un lien, vérifiez / recherchez qu’il a la même URL que le site Web réel de l’entreprise. Si vous voyez des différences, ne cliquez pas dessus.
- Si l’URL correspond au site Web original de l’entreprise, assurez-vous que lorsque vous cliquez dessus, vous n’êtes pas redirigé vers un autre site Web similaire avec une adresse différente - car cela pourrait être de mauvais acteurs vous interceptant pour collecter vos données personnelles et bancaires.
- Certains gestionnaires de mots de passe peuvent vraiment vous aider dans ce cas – ils stockent des mots de passe sécurisés pour vous, mais peuvent également signaler si le site Web que vous visitez est malveillant ou est connu pour le phishing ou si l’un de vos mots de passe est apparu dans l’une des fuites de données. Si je devais recommander une action pour améliorer votre cybersécurité en ligne, ce serait d’obtenir un gestionnaire de mots de passe pour protéger vos comptes en ligne.
- Fautes d’orthographe et de grammaire. Un message qui ne semble pas professionnel doit vous évoquer la présence d’une arnaque. Les entreprises légitimes font rarement d’importantes fautes d’orthographe ou de grammaire dans les communications avec leurs clients.
- Ne répondez jamais à aucun SMS indésirable. Si vous répondez, les spammeurs ont la confirmation que vous êtes une personnelle réelle et une cible potentielle. Il arrive que les spammeurs vous incitent à répondre en indiquant « Saisissez STOP pour être retiré de notre mailing list » ou un texte équivalent. Ne tombez pas dans le panneau. Si vous répondez, vous recevrez encore plus de SMS et d’appels indésirables. Le mieux est de ne jamais répondre.
- Le fait de cliquer sur un lien contenu dans un SMS indésirable vous donne accès à un faux site Web spécialement conçu pour vous voler de l’argent ou vos informations personnelles. Dans certains cas, le site Web peut infecter votre téléphone au moyen d’un virus, susceptible de vous espionner et de ralentir les performances de votre téléphone en occupant de l’espace sur sa mémoire.
- N’oubliez pas que les entreprises légitimes comme les banques ou les organismes gouvernementaux ne demandent pas d’informations personnelles ni financières par le biais d’un SMS indésirable ou email frauduleux. Protégez vos données personnelles et faites attention à la façon dont vous les publiez. Méfiez-vous de tout SMS vous demandant de « mettre à jour » ou de « vérifier » les détails de votre compte.
- Si vous doutez de la légitimité du SMS, la meilleure chose à faire consiste à contacter directement l’entreprise concernée. Vous pouvez rechercher son site Web sur un moteur de recherche, puis cliquer sur les résultats ou saisir l’URL directement dans votre barre d’adresse. Vous pouvez également trouver son numéro de téléphone et l’appeler pour vérifier.
- En France, vous pouvez signaler un SMS indésirable ou automatisé à votre opérateur en transférant le message au 33700 et confirmez avec le numéro d’origine impliqué. Cette méthode de signalement fonctionne pour les principaux fournisseurs de réseau. Vous pouvez recevoir une réponse automatique qui vous remercie pour votre signalement et vous fournit d’autres instructions si nécessaire. L’envoi de messages au 33700 est gratuit.
Arnaque par SMS 👀 Comment déjouer le phishing sur smartphone.#cybersécurité #décryptage
— CNET France (@cnetfrance) May 17, 2021
À découvrir -> https://t.co/YAYux4YAEx pic.twitter.com/jOHTH2Wtjh
Après le phishing par SMS, voici le phishing par téléphone qui fait de sérieux dégâts !
Leur but du jeu, vous contacter par téléphone (montant élevé, retards de paiements,...) pour vous inviter de rappeler un numéro. Toutefois, les hackers se faisant passer pour un conseiller bancaire peuvent vous appeler directement afin de soutirer vos cordonnées bancaires (= appel-harpon). Leur mode opératoire consiste à vous appeler avec le véritable numéro de votre banque (= Spoofing). En cas de doute, faire opposition sur les cartes bancaires et prélèvements et signaler l'arnaque à la banque sans oublier de le signaler à la police (sur place ou en ligne via le 33700) et de bloquer ces numéros même véritables.
C'est un scénario de + en + courant. Une personne se rend sur une plate-forme de réseaux sociaux et clique sur un lien attractif mais piégé. Seulement, un écran bleu apparaît avec un message d'avertissement indiquant le numéro à rappeler pour réparer un grave problème de PC.
Un technicien sympathique répond au téléphone, plus que disposé à vous aider, mais pour un certain prix. Après avoir transmis les informations de carte de crédit pour payer le logiciel afin de résoudre le problème de PC, l'arnaque est terminée et la victime paiera le prix fort si il fait pas opposition.
Le logiciel ne fonctionne pas et le technicien serviable disparaît vu qu'il est passé par un numéro de téléphone vérolé ou jetable tel qu'un 'Mobicarte'. Vous ne parviendrez plus à le joindre. La personne est devenu la nouvelle victime d'une pratique malveillante appelée phishing par téléphone (ou vishing en anglais).
Le phishing par téléphone en résumé
Nous avons presque tous déjà entendu parler de « phishing ». Le phishing consiste à inciter les destinataires de l'email ou du SMS à cliquer sur des liens menant vers des fichiers ou des sites Web qui hébergent des programmes malveillants ou de faire rappeler des numéros suspects. Les liens peuvent également apparaître dans les annonces en ligne qui ciblent les consommateurs.
Le phishing par téléphone se sert d'arnaques vocales pour conduire les gens à faire des choses qu'ils pensent être dans leur intérêt. Il prend souvent le relais du phishing.
Dans l'exemple ci-dessus du premier paragraphe, la victime a cliqué sur un lien pour une publicité en ligne liée à ses centres d'intérêt. Le programme malveillant intégré dans le lien a déclenché un blocage que seul le « technicien » serviable au bout du fil peut résoudre. La victime devra régler une certaine somme d'argent pour remédier au problème. Bien sûr, c'était une supercherie. La « société » du technicien était la source réelle du problème.
Dans quelle mesure le phishing par téléphone est-il répandu ?
La fraude par carte de crédit en 2015 a coûté 16 milliards de dollars aux entreprises à l'échelle mondiale. Le phishing par téléphone a atteint 1 milliard de dollars, selon la BBC. Concrètement, le phishing par téléphone peut survenir dès que les auteurs de l'arnaque accèdent aux renseignements personnels des victimes.
Les cybercriminels créent délibérément des conditions visant à pousser des victimes peu méfiantes à céder volontairement de précieuses informations personnelles, telles que leur nom, prénom, adresse, numéros de téléphone et numéro de carte de crédit.
Grâce à ces informations, les cybercriminels peuvent initier de nombreuses opérations frauduleuses, en commençant par de faux frais pour la réparation d'un ordinateur ou un logiciel antivirus, selon l'arnaque.
Le phishing par téléphone prospère lorsque les cybercriminels ont un minimum d'informations concernant les intérêts de l'utilisateur. Ils exploitent ces connaissances pour créer un sentiment d'urgence impliquant un problème chez la victime, puis ils interviennent pour lui sauver la mise en proposant une solution simple et en se montrant apaisants.
Comment reconnaître le phishing par téléphone
Il est parfois difficile pour les personnes de savoir quand elles sont victimes de phishing par téléphone. Les victimes se rendent souvent compte que la personne serviable au bout du fil est en train de les arnaquer qu'après avoir partagé leurs informations d'identification. Toutefois, il existe certains signes d'avertissement qui peuvent aider à détecter les fraudes potentielles.
Dans de nombreux cas, les appelants se désignent comme des spécialistes ou autorités dans leur domaine. Ils peuvent se présenter comme des techniciens en informatique, des banquiers, des agents de police, ou même comme des victimes.
Cependant, si ces appelants sont légitimes, authentifier leur affiliation professionnelle grâce à un simple appel téléphonique ne doit pas poser problème. S'ils ne peuvent pas, ou ne veulent pas fournir les informations nécessaires pour vérifier leur identité, ils ne sont pas dignes de confiance. S'ils fournissent des coordonnées, il est quand même important de vérifier leur légitimité de façon indépendante en utilisant un numéro de téléphone public officiel pour appeler l'organisation en question.
Même s'il est tentant de céder sous la pression, un sentiment d'urgence et de panique est un grand signal d'alerte. Les utilisateurs doivent prendre plusieurs grandes respirations, puis noter toute information que la personne fournit lors de l'appel, sans partager eux-mêmes des informations personnelles. Là encore, ils peuvent accéder à des sources tierces afin de trouver un numéro de téléphone public à appeler pour procéder à une vérification.
Les destinataires de ces appels ne doivent pas non plus cliquer sur les liens piégés dans les emails (phishing) ou dans les SMS envoyés sur des téléphones mobiles (phishing par SMS) que la personne au téléphone peut envoyer. Toute correspondance est susceptible de contenir des « pièges » qui conduiront au téléchargement de programmes malveillants et virus qui pourraient prendre le contrôle de systèmes informatiques, voler des informations d'identification de l'utilisateur et même épier les utilisateurs.
Si les utilisateurs reçoivent des appels non sollicités d'une personne souhaitant proposer n'importe quel type de service informatique, ils ne doivent pas essayer de rappeler en utilisant le même téléphone que celui sur lequel ils ont reçu l'appel.
Il existe désormais une technologie téléphonique qui bloque la ligne téléphonique de la victime après qu'elle a raccroché et redirige ses prochains appels vers l'appelant frauduleux. Ceux qui pensent qu'il s'agit d'un problème authentique doivent utiliser un autre téléphone pour appeler un numéro reconnu publiquement.
Même si le phishing par téléphone et son cousin en ligne, le phishing, ne sont pas près de disparaître, faire preuve de vigilance et d'une forte dose de scepticisme peut aider à réduire le risque de perte découlant de ce type d'escroqueries.
RAPPEL - La fédération bancaire française rappelle, elle, « qu'un conseiller bancaire ne demandera JAMAIS à un client de confirmer une opération bancaire ni communiquer ses informations personnelles liées à son compte, que ce soit par téléphone, SMS ou mail »
Aucun commentaire :
Enregistrer un commentaire