Accueil > Pratique web > exercices > Phishing par SMS

Phishing par SMS

jeudi 17 décembre 2015

Reçu, l’autre jour, le SMS suivant sur mon téléphone mobile :

Premier réflexe : ne pas cliquer, il n’y a jamais, avec ce type de message, une urgence absolue à obéir aux propositions présentées. Il ne faut pas non plus essayer de rappeler le correspondant, car le numéro de téléphone, d’un inconnu qui laisse un message, sans donner les raisons précises de son appel, doit être considéré d’office comme étant fortement douteux.

Mieux vaut prendre le temps de vérifier, surtout si cela permet d’en apprendre un peu plus sur ces technologies « innovantes » qui, selon la propagande de la presse spécialisée, seraient tellement simples, rapides, conviviales, intuitives et (soit-disant) gratuites...

Commençons par une simple routine de bon sens :

Ce correspondant ne se présente pas : aucun nom, aucune raison sociale. Seule information : un MMS m’attendrait, alors que suis sensé avoir reçu un message vocal. On ne m’indique ni l’objet ni la raison de ce MMS.

Comment se fait-il qu’au lieu de m’envoyer directement ce fameux MMS, on me demande de « cliquer là » pour y arriver ?

Je constate que deux heures différentes sont affichées.

La première (19:14) a été ajoutée à la main. Elle fait partie du SMS proprement dit (car pour l’instant, ce que j’ai sous les yeux n’est qu’un simple SMS).

L’autre mention (21:25), par contre, correspond à ce qui est automatiquement inscrit sur tous les SMS.

En ajoutant une inscription « technique » (l’heure affichée en premier), l’expéditeur essaie de rendre le message plus crédible.

Rien qu’à cette étape (quelques secondes de réflexion), on a suffisamment d’éléments pour en conclure qu’il s’agit d’une arnaque.

Si, dans cette situation, l’utilisateur tombe dans le panneaux c’est qu’il y a bien eu une faille de sécurité... mais la faille n’est à chercher dans aucun logiciel, puisqu’elle réside uniquement dans la faculté de l’utilisateur à mettre en action son sens critique personnel.

L’utilisateur se fait piéger, ici, uniquement parce qu’il se comporte, tel un vulgaire routeur, en reconduisant automatiquement le stimuli ou le signal qui lui a été transmis, sans contrôle ni décision volontaire de ses actes, en se reposant sur un processus qui lui échappe, en obéissant aux injonctions débiles du premier venu.

Revenons à notre exemple. Nous savons, par déduction, qu’il s’agit d’une tentative frauduleuse.

Voyons à présent comment procéder à une vérification élémentaire qui lèvera toute hésitation.

Je note précisément uniquement le nom de domaine sur un petit papier : mms-contact.com, je ferme mon smartphone puis j’ouvre mon navigateur web, sur mon ordinateur.

Très important : je n’ai pas cliqué sur le lien présenté dans le message. Je passe d’un appareil à un autre pour couper toute relation entre le message reçu et la vérification.

En fait, j’aurais pu rester sur mon smartphone en utilisant un navigateur web, sur cet appareil. J’avoue que je me sens mille fois plus en sécurité sur mon PC (sous Linux) que sur ce maudit Smartphone (Android), pour lequel je n’éprouve que le mépris le plus profond.

Je clique donc dans la barre d’adresse de mon navigateur web, sur mon ordinateur. Je tape uniquement le domaine puis je valide par la touche « Entrée » de mon clavier.

Page blanche :

On me propose donc d’accéder à un soit-disant service dont la page d’accueil sur le web, renvoie à un contenu totalement vide.

Conclusion immédiate : cela ne peut être qu’une arnaque. La vérification ne m’a pris moins de 5 minutes.

Attention toutefois : n’en concluez pas qu’une page « non vide » aurait été, pour cette raison, obligatoirement non frauduleuse ! Bien entendu, il existe une multitude de page trafiquée, qui se font passer pour ce qu’elles ne sont pas ; c’est ce que l’on appelle le Phishing.

Là encore, ce n’est qu’en observant les adresses affichées dans la barre d’adresse ou dans les liens hypertextes qu’il est possible de lever le doute.

Autre exemple de tentative frauduleuse par SMS, plus ancien :

Il n’y a pas lieu de se poser mille questions :

1) Je n’attends aucune livraison.
2) Je sais que, d’habitude, quand je reçois une livraison dans un point relais, on m’indique toujours le nom de l’entreprise qui expédie et le nom et l’adresse de la boutique dans laquelle se trouve le colis. De plus, on ne m’a jamais demandé de rappeler qui que ce soit : il suffit juste de passer.

Déduction immédiate : ce message est obligatoirement une tentative frauduleuse.

Peu importe les raisons pour lesquelles mon n° de téléphone est utilisé ; c’est bien dommage, mais, de toutes façons, il ne sert à rien d’essayer d’en savoir plus à ce sujet.

Ce message n’est pas une erreur. Il s’agit d’une tentative d’intrusion malveillante, par conséquent, je ne suis pas tenu d’y répondre.

Dans ces cas-là, que ce soit un mail ou un SMS, la première chose qui doit rester à l’esprit c’est même qu’il ne faut surtout jamais répondre à ce genre de sollicitation, car on tomberait alors en plein dans le piège et que cela risque de coûter très cher.

Dans le cas d’un SMS frauduleux, vous pouvez transférer le message au 33700. On vous demandera juste de confirmer le n° de téléphone qui vous a envoyé le SMS (dernière vue, dans notre exemple).

Dernier exemple sur ce type d’arnaque, un message laissé sur votre boîte vocale, de ce type :

Voici les mots-clés qui vous permettront d’en savoir plus à ce sujet :

 escroquerie téléphone mobile

 risques fraude SMS

 arnaque SMS

Essayez également de taper juste les n° de téléphone reçus (celui que l’on vous propose de rappeler et celui à partir duquel on vous a contacté) dans le champ de recherche d’un moteur tel que Google.

Les autres supports maison sur le phishing :

 Phishing : identifier un message frauduleux

 Phishing : exemples (1)

 Phishing : exemples (2)

 Divers déchets

 

Un message, un commentaire ?

modération a priori

Attention, votre message n’apparaîtra qu’après avoir été relu et approuvé.

Qui êtes-vous ?
Ajoutez votre commentaire ici
  • Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.