Le dernier cas de smishing ravive une peur qui ne doit jamais s’éteindre
Plus que des armes, des visages cachés, des fuites rocambolesques et des actions dangereuses. Aujourd’hui, pour vider un compte courant, il suffit d’envoyer un SMS.
La dernière victime en date a été, il y a quelques jours, un retraité de Favaro Veneto, dont le compte bancaire a été vidé en quelques minutes et qui s’est mis à maudire immédiatement après, non seulement les criminels qui l’avaient escroqué, mais aussi et surtout sa propre naïveté.
Le vieil homme a reçu un faux SMS de sa banque, lui signalant « une opération suspecte » et, pour inspirer davantage de confiance, lui proposant de parler avec un opérateur pour éviter le blocage de sa carte. Bien entendu, l’appel téléphonique du faux opérateur anti-fraude l’avertissant de « vérifications en cours » sur son compte courant était également une escroquerie.
Cependant, la victime était déjà dans un état émotionnel alarmant et n’était donc pas très lucide.
Cet état d’esprit facilite la tâche des criminels. Le pirate en question avait donc expliqué à la victime toutes les procédures à suivre pour bloquer le paiement. Après avoir raccroché son téléphone, l’homme avait attendu un SMS indiquant que l’opération « s’était correctement déroulée ». Au lieu de cela, un nouvel appel a été reçu du numéro 39-113 ; cette fois d’un faux policier qui a conseillé à la victime de contacter le numéro gratuit de sa banque pour éviter la « fraude toujours en cours ». C’est alors que l’homme a commencé à avoir des soupçons et a contacté la vraie police, qui a bien sûr nié avoir passé l’appel.
La victime a alors compris, mais trop tard, être tombée dans le piège et que l’argent qu’elle avait sur son compte (toutes ses économies) avait disparu et atterri sur le compte de quelqu’un d’autre.
C’est un peu comme se réveiller après avoir reçu un coup violent à la tête, qui peut laisser des traces très profondes et douloureuses.
Le smishing
Parlons plus précisément du smishing, la technique d’attaque par SMS, et du vishing (phishing vocal), qui ne sont certes pas nouveaux, mais se développent comme menaces, notamment parce que les attaques sont de plus en plus ciblées et dangereuses, comme celle dont a été victime cet habitant de Favaro Veneto.
L’attaquant peut se faire passer pour un policier ou un opérateur bancaire, comme dans le cas que nous venons de décrire, mais aussi pour une personne connue de la victime, comme un membre de sa famille, un ami ou un collègue de travail, afin d’augmenter la probabilité que la victime fasse confiance au message et se laisse entraîner dans une conversation qui l’amènera ensuite à communiquer ses données personnelles.
Au cours de l’année écoulée, les chercheurs ont fait état d’une croissance rapide des attaques menées par le biais d’appareils mobiles. Il s’agit de l’envoi de plusieurs messages par des cybercriminels qui cherchent à susciter un véritable intérêt, afin de créer un climat de confiance pour attirer la victime dans leur piège.
Au cours de cette période, l’augmentation du volume des attaques « conversationnelles » a été de 318 % au niveau mondial, de 328 % aux États-Unis et de 663 % au Royaume-Uni.
Le succès de ces techniques dans le monde de la cybercriminalité tient à plusieurs facteurs : la généralisation des filtres anti-spam pour les e-mails qui, associée à une sensibilisation accrue et plus répandue des utilisateurs, renforce la barrière capable de bloquer les e-mails de phishing ; le fait que, contrairement aux e-mails, les SMS ont un taux d’ouverture très élevé et que la plupart d’entre eux sont ouverts dans les 15 minutes ; et le fait que les opérateurs téléphoniques n’ont pas encore mis en place des méthodes de filtrage des messages adaptées à ce niveau de risque élevé. Enfin, il convient de tenir compte de la grande facilité avec laquelle un cybercriminel parvient aujourd’hui à récupérer des contacts téléphoniques.
Il ne reste donc à l’escroc qu’à inventer une histoire crédible qui serve de piège au destinataire du message : un problème avec son compte courant, avec sa carte de crédit, le gain d’un prix, mais aussi la demande d’aide de la part d’un ami ou d’un enfant qui écrit qu’il a perdu son téléphone portable.
Bref, tout ce qui peut amener de manière convaincante le malheureux à cliquer sur un lien malveillant.
Le vishing est quant à lui encore plus sournois, car de l’autre côté du téléphone, la voix semble très convaincante et appelle d’un numéro connu qui peut être celui de la banque, de la compagnie d’assurance ou d’autres établissements.
Par exemple, les journaux ont enregistré au cours des dernières années des histoires de voix reproduites avec l’intelligence artificielle et qui, en se faisant passer pour des PDG d’entreprises, ont demandé à leurs subordonnés de déplacer de grosses sommes d’argent.
Les recommandations
Même dans le cas de ces deux types de crimes, il existe toujours des recommandations utiles :
- Pour le smishing, ne cliquez jamais sur un lien suspect et ne remplissez pas de formulaires avec vos données, sans avoir d’abord appelé votre banque, votre assurance ou l’entreprise en question, afin de vous assurer de la fiabilité du message.
- Pour le vishing, beaucoup proposent la biométrie vocale qui permet de vérifier l’identité d’un appelant sur la base d’une représentation mathématique de la voix stockée dans une base de données.
Ce qui est certain, c’est qu’on ne peut plus se passer, surtout au niveau de l’entreprise, d’une formation actualisée et capable de suivre les évolutions rapides de la piraterie.
Cette dernière ne semble pas vouloir cesser d’inventer de nouvelles façons d’escroquer les entreprises, les administrations, les sociétés et les particuliers. La seule chose qui peut l’arrêter est de se confronter à des utilisateurs préparés et capables de répondre aux attaques avec autant de ruse.
Étant donné que c’est toujours le facteur humain qui permet aux pirates de s’en sortir, comme dans le cas évoqué précédemment, la préparation, la sensibilisation et la posture numérique correcte de chaque utilisateur représentent la barrière la plus efficace pour mettre un terme au risque informatique de plus en plus alarmant.