Depuis 2020, Cybermalveillance.gouv.fr constate une forte croissance de l’hameçonnage par SMS et cette tendance ne fait que s’accentuer. L’hameçonnage ou phishing par SMS, également appelé « smishing » (contraction de « SMS » et « phishing » en anglais), est une méthode utilisée par les cybercriminels pour tromper leurs victimes en usurpant l’identité d’un tiers connu, comme des administrations, des banques, des services de livraison ou des services en ligne.

Sous cette fausse identité et avec un faux prétexte, l’hameçonnage par SMS consiste à émettre un message court qui incite les victimes à communiquer des informations personnelles, des données bancaires ou même des identifiants de connexion. Les cybercriminels peuvent également tenter d’infecter le téléphone mobile de la victime avec une application malveillante ou l’inciter à rappeler un numéro pour l’escroquer.

Les cybercriminels profitent en effet, du développement des services d’information par SMS adoptés par les administrations, les banques, les sociétés de livraison et d’autres organismes pour usurper leur identité via ce canal de communication plus aisés pour eux :

• les SMS frauduleux sont souvent rédigés de manière concise ;
• ils utilisent un langage courant, évitant ainsi les fautes d’orthographe ou de syntaxe ;
• l’expéditeur n’est identifiable que par un numéro de téléphone standard ou un intitulé sommaire, ce qui complique la vérification de l’authenticité de l’émetteur ;
• les notifications instantanées et la réactivité associées aux téléphones mobiles incitent les utilisateurs à réagir rapidement aux messages reçus, sans toujours se méfier suffisamment.

Concrètement, les victimes reçoivent un SMS qui semble provenir d’une administration, d’une entreprise de livraison, d’une banque, d’un opérateur, etc. Le message incite systématiquement la victime à réaliser une action. Les messages sont souvent alarmants et créent un sentiment d’urgence.

Les SMS d’hameçonnage peuvent avoir différentes finalités. Certains visent à voler des informations personnelles, des données bancaires ou des identifiants de connexion. D’autres tentent d’infecter le téléphone de la victime avec un virus en incitant à l’installation d’une application malveillante. Certains messages incitent simplement la victime à rappeler un numéro, qui peut être surtaxé, pour mener une escroquerie supplémentaire.

Et si vous êtes victime d’hameçonnage par SMS :

• contactez directement l’administration ou l’entreprise censée l’avoir envoyé pour confirmer l’authenticité du message ;
• faites immédiatement opposition si vous avez communiqué des informations sensibles ou si vous constatez des activités frauduleuses sur vos comptes ;
• conservez les preuves, comme le message frauduleux et les informations du site Internet visité.
• signalez les opérations frauduleuses à votre banque et administration et déposez plainte auprès des autorités compétentes et auprès de la plateforme Perceval du ministère de l’Intérieur.

En conclusion, l’hameçonnage par SMS représente une menace croissante pour les utilisateurs de téléphones mobiles. Restez vigilant face aux SMS suspects, ne communiquez jamais vos informations personnelles ou bancaires à moins d’être certain de l’authenticité du message et suivez les conseils de sécurité pour vous protéger contre ces attaques.

NB : si vous êtes un particulier vous pouvez être accompagné gratuitement par l’association de France Victimes au 116 006 (appels et services gratuits) numéro d’aide aux victimes du ministère de la Justice. Vous pouvez également être accompagnez par la plateforme Info Escroquerie du ministère de l’Intérieur ay 0 805 805 817 (appels et services gratuits).  

Consultez ici l‘article de cybermalveillance.gouv.fr : Le « Smishing » ou hameçonnage par sms

Ce mois d’Avril a été marqué par la publication de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) qui, comme tous les ans, rédige un rapport d’activité sur l’exercice écoulé.

Concernant l’année 2022, il est primordial de rappeler l’influence du contexte européen et international sur l’environnement cyber. En effet, l’ANSSI reconnait que son activité durant l’année 2022 a été grandement impactée par l’invasion russe de l’Ukraine qui a permis de multiplier les actions de déstabilisations en Europe.

L’ANSSI a également dû se mobiliser davantage lors de la Présidence française du Conseil de l’Union Européenne qui a fait de la France une plus grande cible aux cybermenaces pendant cette Présidence.

Pendant l’année 2022, l’ANSSI a développé de grands axes de lutte contre le risque cyber au niveau national et international. Elle a déployé le plan des CSIRT régionaux, dotant de nombreux territoires d’entreprises compétentes capables de soutenir les TPE/PME en cas de cyberattaques. Elle a également réalisé le premier exercice de crise cyber REMPAR22.

Par ailleurs, elle a rayonné au niveau européen avec l’adoption de NIS 2, en participant au challenge européen de la cybersécurité ou encore en représentant la France lors de l’International Counter Ransomware Initiative.

Nul doute que cette importante dynamique se perpétue pendant l’année 2023.

Consultez l’intégralité du rapport d’activité : Rapport d’activité – ANSSI – 2022

Nous vous avions parlé, en novembre dernier, de ce nouveau règlement européen sur la résilience du secteur financier aux risques cyber.

Ce texte vise à harmoniser les exigences de résilience numériques des entités financières européennes afin que toutes les entreprises du secteur puissent être en mesure de contrer la plupart des menaces cyber.

Le règlement DORA a donc été adopté le 14 décembre dernier, puis publié officiellement le 27 décembre mais ne sera applicable qu’à partir du 17 janvier 2025. Ce délai relativement long permettra aux entités financières concernées, notamment les entreprises d’assurances et de réassurances de se préparer et se mettre en conformité.

Nous reviendrons plus en détails sur ce texte au premier semestre 2023.

Consultez ici l’intégralité du document : RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022