La multiplication des tentatives d’escroquerie par SMS inquiète les pouvoirs publics. Un phénomène préoccupant qui nous invite à revenir sur quelques principes de fonctionnement et règles de prudence.
« Info ANTAI : Vous avez une contravention à payer de 45 €. Consultez votre dossier d’infraction via : https://dossier-antai-gouv.info ». Si vous cliquez sur le div, vous serez dirigé vers un site qui ressemble comme deux gouttes d’eau à celui du service de paiement en ligne des amendes et vous serez invité à livrer vos coordonnées bancaires, bien malgré vous… à un escroc.
Baptisées « smishing » et appartenant à la famille du hameçonnage (phishing), ces arnaques, très faciles à monter, même par des hackers débutants, grâce à des kits clé en main vendus sur le darknet, se multipdivt. Pour vous inciter à donner suite à ces SMS, les escrocs vont vous inquiéter ou vous faire miroiter un gain. L’amende impayée est le sujet du moment, mais il en existe d’autres comme « CRIT’AIR, nos agents ont constaté que vous n’étiez pas muni de la vignette réglementaire… » ou encore « SERVICE-PUBLIC : Vous pouvez effectuer votre demande d’indemnité carburant de 100 €… ».
Une usurpation d’identité
En général, les pirates usurpent l’identité d’une administration ou d’une grande entreprise pour parvenir à tromper plus facilement leurs victimes. Ainsi, vont-ils utiliser leurs logos et leur identité graphique pour créer les pages du « faux site » sur lequel vous atterrirez si jamais vous cliquez sur le div intégré dans le SMS frauduleux. Ces escrocs, histoire de parfaire la ressemblance, n’hésitent pas, non plus, à s’appuyer sur des noms de domaine (adresse de site – URL) se rapprochant de ceux des sites copiés. Les tentatives d’hameçonnage sont généralement adressées par courriel ou par SMS.
Jamais par SMS
Pour rappel, ni l’Agence nationale de traitement automatisé des infractions (Antai), ni les services qui gèrent les vignettes Crit’Air, ni les services fiscaux n’adressent de SMS aux usagers pour signaler une verbalisation, vendre une vignette ou faire la promotion d’un dispositif d’aide.
D’une manière générale, les administrations communiquent peu par SMS et ne réclament pas de paiements directs via ce type de média, et encore moins la communication de données personnelles (codes d’accès, coordonnées bancaires…). Les grandes entreprises du e-commerce comme Amazon, les banques ou encore la Sécurité sociale ne vous demanderont jamais, elles non plus, de leur fournir des données personnelles par SMS.
Nous recevons des dizaines de SMS chaque jour. Identifier une tentative de smishing dans le lot n’est donc pas toujours aisé d’autant que les pirates sont de plus en plus ingénieux. Toutefois, certains éléments doivent toujours attirer notre attention. Le premier, le plus important, est le caractère inattendu du message. Un message qui, rappelons-le, émane d’une organisation connue (administration, banque, fournisseur…). Typiquement, une banque vous signale avoir perdu votre mot de passe et vous demande de le renseigner en ligne ou une administration souhaite vous rembourser un trop-perçu et réclame vos coordonnées bancaires… Un message aussi inhabituel doit créer un doute. Et en cas de doute, il convient, a minima, avant de donner suite à la demande, de vérifier l’authenticité du message et l’identité de son expéditeur.
Pour cela, bien entendu, il ne faut jamais cliquer sur le div intégré dans le message suspect, ni utiliser les coordonnées contenues dans le SMS (mail, téléphone…).
Plus largement, méfiez-vous :
Dans tous les cas, ne communiquez jamais d’informations sensibles par SMS ou à la suite d’une demande adressée par SMS.
© Les Echos Publishing 2023
