Une vaste campagne de phishing menée par le groupe de cybercriminels chinois, Roaming Mantis, affecte actuellement de nombreuses personnes en France. Plusieurs dizaines de milliers de SMS malveillants auraient en effet déjà été envoyés depuis le début de l’été.
Tribune – Fabrice De Vesian, Channel Manager chez Yubico, rappelle quelques principes de base concernant le smishing, comment ne pas tomber dans le piège et s’en protéger :
« Le smishing est une forme de phishing qui utilise des SMS pour tromper les utilisateurs afin qu’ils communiquent des informations précieuses, telles que des identifiants de connexion bancaire ou des données personnelles, en les convainquant que le message provient d’une source fiable. Cette technique prend de l’ampleur car de plus en plus de personnes utilisent leurs smartphones pour effectuer des paiements, et de nombreuses banques et enseignes vérifient les comptes des utilisateurs par le biais de SMS, ce qui favorise la prolifération de ces messages frauduleux.
Concrètement, si un message indique à un client qu’il provient de sa banque et lui demande de cliquer sur un lien, il ne faut surtout pas suivre ces instructions mais plutôt contacter la banque directement afin de s’assurer que tout est en ordre. De la même manière que si une marque demande une confirmation pour une livraison par exemple, il est préférable de se rendre directement sur le site en question afin de vérifier toute notification ou action requise. En outre, il est primordial de ne procéder à aucun téléchargement dont la source n’est pas sûre, sous peine d’ouvrir la porte à un logiciel malveillant.
Les consommateurs ne doivent pas se laisser piéger par un message personnalisé ou qui semblerait légitime, car les cybercriminels utilisent des techniques très pointues. Les attaques d’ingénierie sociale sont en effet de plus en plus sophistiquées et rendent les arnaques au smishing extrêmement puissantes et persuasives. Les vulnérabilités resteront un problème tant que l’action des utilisateurs sera nécessaire. C’est la raison pour laquelle il est essentiel que ces derniers soient en mesure de repérer une tentative d’attaque ou un message frauduleux.
L’authentification basique à deux facteurs, les questions de récupération et les mots de passe sont insuffisants pour se protéger contre les attaques telles que le phishing ou le smishing. La mise en place de méthodes d’authentification multifacteurs (MFA) résistantes au phishing, pour accéder aux applications et aux comptes contenant des informations confidentielles, est essentielle pour créer un environnement sécurisé. Cela permet en effet de valider l’identité de l’utilisateur à l’aide d’au moins deux méthodes distinctes, plutôt qu’une simple combinaison de nom d’utilisateur et de mot de passe. Elle protège ainsi contre le vol d’identité, les cyberattaques et les compromissions de données en empêchant l’accès non autorisé aux applications et aux données sensibles si un cybercriminel parvient à outrepasser la première couche de sécurité. Cependant, la protection la plus efficace reste aujourd’hui les clés de sécurité physiques. Contrairement aux codes d’authentification par exemple, qui peuvent être partagés en ligne, elles permettent, tout comme la reconnaissance faciale, vocale ou par empreinte digitale, d’ajouter une étape supplémentaire au processus de connexion, qui ne peut pas être piratée à distance. »