Qu'est-ce que le SMS Spoofing ?

L'usurpation de SMS consiste à modifier les informations de l'expéditeur à des fins frauduleuses, comme le numéro de téléphone et le nom du contact. Il est impossible de répondre à un faux SMS ou de le bloquer. L'usurpation d'identité repose entièrement sur l'usurpation d'identité.

Vous recevez un SMS d'une personne que vous croyez connaître, mais quelque chose ne semble pas normal après un examen plus approfondi. Le nom et le numéro de téléphone mobile ne sont pas identiques à ceux qui figurent dans les listes de contacts des personnes concernées ; ils sont simplement similaires.

Les attaques de cybersécurité augmentent rapidement. L'hameçonnage et les fraudes similaires comme l'usurpation d'identité étaient le type de cybercriminalité le plus répandu signalé au U.S. Internet Crime Complaint Center en 2021, affectant près de 324 000 personnes.

Intéressant ? Peut-être, oui. Mais aussi excitante qu'elle puisse paraître, cette capacité est incontestablement nuisible lorsqu'elle est utilisée de manière incorrecte.

Comment fonctionne l'usurpation de SMS ?

Vous pourriez penser que l'usurpation de SMS est un problème du XXIe siècle, mais vous seriez surpris d'apprendre que ses origines remonteraient à plusieurs décennies. Un commandant égyptien du nom de Sultan Baybars a réussi à prendre le puissant Krak des Chevaliers en 1271 en donnant aux chevaliers assiégés une fausse lettre de leur commandant et en leur ordonnant de se soumettre. À la fin, les chevaliers ont abandonné et ont découvert que la lettre était fausse.

L'usurpation d'identité par SMS consiste à masquer le numéro de téléphone de l'expéditeur réel dans un message SMS afin qu'il semble provenir d'un autre appareil. Cela peut se faire de deux manières :

  • Vous pouvez envoyer un message SMS depuis le téléphone de votre victime à une personne avec laquelle vous souhaitez communiquer. Le destinataire croira ainsi que le message provient d'une personne que vous connaissez, par exemple un ami ou un collègue.
  • Vous pouvez envoyer un message SMS à partir du numéro de téléphone d'une autre personne à une personne avec laquelle vous souhaitez communiquer. Cela permet également de faire croire au destinataire que le message provient d'une autre personne, par exemple un ami ou un collègue.

Smishing et SMS Spoofing : Quelle est la différence ?

L'usurpation de SMS et le smishing sont deux types d'escroqueries qui utilisent des messages texte pour obtenir des informations sensibles de victimes peu méfiantes. Elles reposent toutes deux sur des techniques d'ingénierie sociale, mais diffèrent par la manière dont elles vous ciblent.

Usurpation de SMS

L'usurpation de SMS se produit lorsqu'un pirate envoie un message SMS à partir d'un numéro méconnaissable. Le message peut sembler provenir d'une personne que vous connaissez ou d'une entreprise ou organisation en laquelle vous avez confiance. Ces attaques visent à vous inciter à répondre ou à cliquer sur un lien qui téléchargera un logiciel malveillant sur votre téléphone ou votre ordinateur.

Smishing

Le smishing est similaire à l'usurpation de SMS, mais les pirates envoient de faux e-mails contenant des liens malveillants au lieu d'utiliser des messages texte. Si vous cliquez sur le lien, il tentera d'installer un logiciel malveillant sur votre appareil ou vous conduira vers un faux site web où l'on vous demandera des informations personnelles telles que des numéros de carte de crédit et de sécurité sociale.

Qu'est-ce qu'un vecteur d'attaque par usurpation de SMS ?

Les vecteurs d'attaque par usurpation de SMS se font passer pour des messages provenant d'une source fiable afin d'inciter les utilisateurs de téléphones mobiles à divulguer leurs informations personnelles. Un message électronique contenant un lien ou un fichier exécutable est généralement utilisé pour propager cette attaque. Dès que le bouton est activé, l'attaquant peut accéder aux messages de la victime et les envoyer en son nom.

Pour que les victimes fournissent, envoient ou divulguent volontiers des informations confidentielles, il est nécessaire de leur faire croire qu'elles parlent avec un ami ou un membre de la famille en qui elles ont confiance. Cette technique peut usurper l'identité de plusieurs personnes simultanément, en fonction du nombre de destinataires simultanés et du vecteur d'attaque de l'usurpation.

Types d'usurpation de SMS

Il existe de nombreux types d'usurpation de SMS, notamment :

Faux identifiants d'expéditeur

Le type d'usurpation le plus courant consiste à remplacer le véritable identifiant de l'expéditeur par un autre numéro ou un autre nom. Les escrocs peuvent ainsi se faire passer pour quelqu'un d'autre - comme votre banque ou votre société de cartes de crédit - et vous inciter à donner des informations personnelles ou à télécharger des logiciels malveillants. Ils peuvent également usurper l'identité de l'appelant en effectuant de faux appels en plus des messages texte.

Messages en vrac non sollicités (UBM)

Les MNA sont des textes non sollicités qui semblent provenir de quelqu'un que vous connaissez mais qui proviennent d'une source inconnue. Ces messages peuvent contenir des liens vers des sites web malveillants, des attaques de phishing et d'autres escroqueries visant à dérober des informations personnelles sur des appareils mobiles.

Harcèlement

Ce type d'usurpation de SMS consiste généralement à envoyer des messages menaçants ou inappropriés à d'autres personnes. Il est souvent utilisé par les harceleurs, les intimidateurs et les cyberintimidateurs qui veulent intimider leurs victimes. Certains harceleurs utilisent cette méthode pour essayer d'extorquer de l'argent à leurs victimes en les menaçant de conséquences si elles ne paient pas.

Faux transferts d'argent

Il peut s'agir de l'envoi d'un courriel prétendant que vous avez gagné un prix pour que vous transfériez de l'argent sur un compte afin de le donner à une œuvre de charité, par exemple. Il peut aussi s'agir d'une escroquerie plus sinistre, dans laquelle des pirates tentent de voler vos informations personnelles en prétendant que vous avez gagné un prix, mais vous demandent ensuite vos coordonnées bancaires pour pouvoir déposer l'argent sur votre compte.

Espionnage d'entreprise

Dans cette attaque, un pirate envoie un SMS sur votre téléphone portable avec un lien vers un site web malveillant. Lorsque vous cliquez sur ce lien, il vous redirige vers un autre site et vole vos informations personnelles et vos informations d'identification, que le pirate peut utiliser pour accéder aux ressources de l'entreprise ou vous voler de l'argent.

Usurpation de SMS : Quels sont les usages légitimes ?

Les utilisations légitimes de l'usurpation de SMS comprennent les services de messagerie en masse, les messages officiels et la protection de l'identité.

Services de messagerie en masse

L'usurpation de SMS permet d'envoyer des messages en masse à plusieurs destinataires à la fois. Cela est particulièrement utile pour les entreprises qui souhaitent toucher leurs clients de manière rentable.

Messages officiels

Les organismes publics utilisent également l'usurpation de SMS pour envoyer des notifications importantes, comme les échéances fiscales ou les avertissements en cas de catastrophe naturelle. Lorsque vous envoyez ces messages, ils doivent provenir d'une source officielle afin que les gens sachent qu'ils sont légitimes et non des arnaques.

Protection de l'identité

Des entreprises comme Equifax utilisent cette technologie pour protéger l'identité de leurs clients. Supposons que quelqu'un essaie de vous appeler ou de vous envoyer un courriel en prétendant être d'Equifax avec un numéro de rappel. Dans ce cas, vous pouvez facilement vérifier si c'est réel ou non en appelant le numéro sur votre téléphone plutôt que de fournir des informations personnelles par téléphone ou par Internet.

Que doivent faire les utilisateurs pour se protéger de l'usurpation d'identité par SMS ?

  • Méfiez-vous des messages non sollicités que vous recevez sur votre appareil mobile et n'ouvrez aucun lien dans ces messages. Si vous ouvrez un lien, assurez-vous de visiter le site Web dont il prétend provenir en tapant l'URL dans votre navigateur.
  • Ne répondez pas aux SMS vous demandant des informations personnelles telles que des numéros de compte ou des mots de passe. Si vous recevez un de ces messages, supprimez-le immédiatement sans y répondre.
  • Contactez votre fournisseur de services mobiles si vous recevez un message SMS vous demandant de l'argent ou des informations personnelles.

Récapitulation

Personne n'est complètement à l'abri de l'usurpation d'identité. Vous devez toujours signaler les escrocs qui vous harcèlent ou qui utilisent votre numéro à des fins d'usurpation à votre opérateur et aux services de police afin qu'ils puissent déterminer l'origine des messages. Cela permet d'éviter les usurpations de SMS à l'avenir. Pour vous assurer que vous ne recevrez plus de SMS de l'escroc, vous pouvez utiliser des bloqueurs de SMS à télécharger.

En outre, il est nécessaire d'être conscient et de se prémunir contre d'autres risques d'usurpation d'identité, notamment l'usurpation d'identité par courriel et l'usurpation d'identité par domaine direct qui pourraient nuire à votre réputation. Consultez notre guide complet sur la sécurité de l'usurpation d'adresse électronique pour être à l'abri de futures attaques.