L'usurpation de SMS consiste à modifier les informations de l'expéditeur à des fins frauduleuses, telles que le numéro de téléphone et le nom du contact. Il n'est pas possible de répondre à un texte frauduleux ou de le bloquer. L'usurpation d'identité par SMS repose entièrement sur l'usurpation d'identité.
Vous recevez un faux SMS d'une personne que vous pensez connaître, mais quelque chose ne semble pas normal après un examen plus approfondi. Le nom et le numéro de téléphone portable ne sont pas identiques à ceux qui figurent dans les listes de contacts des personnes concernées ; ils sont simplement similaires.
Les attaques de cybersécurité augmentent rapidement. L'hameçonnage et les fraudes similaires comme l'usurpation d'identité étaient le type de cybercriminalité le plus répandu signalé au U.S. Internet Crime Complaint Center en 2021, affectant près de 324 000 personnes.
Intéressant ? Peut-être, oui. Mais aussi excitante qu'elle puisse paraître, cette capacité est incontestablement nuisible lorsqu'elle est utilisée de manière incorrecte.
Comment fonctionne l'usurpation de SMS ?
Vous pourriez penser que l'usurpation de SMS est un problème du XXIe siècle, mais vous seriez surpris d'apprendre que ses origines remonteraient à plusieurs décennies. Un commandant égyptien du nom de Sultan Baybars a réussi à prendre le puissant Krak des Chevaliers en 1271 en donnant aux chevaliers assiégés une fausse lettre de leur commandant et en leur ordonnant de se soumettre. À la fin, les chevaliers ont abandonné et ont découvert que la lettre était fausse.
L'usurpation de SMS consiste à dissimuler le numéro de téléphone de l'expéditeur réel dans un message SMS de sorte qu'il semble provenir d'un autre appareil. Il y a deux façons de procéder :
- Vous pouvez envoyer un message SMS depuis le téléphone de votre victime à une personne avec laquelle vous souhaitez communiquer. Le destinataire croira ainsi que le message provient d'une personne que vous connaissez, par exemple un ami ou un collègue.
- Vous pouvez envoyer un message SMS à partir du numéro de téléphone d'une autre personne à une personne avec laquelle vous souhaitez communiquer. Cela permet également de faire croire au destinataire que le message provient d'une autre personne, par exemple un ami ou un collègue.
Smishing et SMS Spoofing : Quelle est la différence ?
Le SMS spoofing et le smishing sont deux types d'escroqueries qui utilisent des messages texte falsifiés pour obtenir des informations sensibles de victimes peu méfiantes. Ils s'appuient tous deux sur des techniques d'ingénierie sociale, mais diffèrent par la manière dont ils vous ciblent.
Usurpation de SMS
L'usurpation de SMS se produit lorsqu'un pirate envoie un message SMS à partir d'un numéro méconnaissable. Le message peut sembler provenir d'une personne que vous connaissez ou d'une entreprise ou organisation en laquelle vous avez confiance. Ces attaques visent à vous inciter à répondre ou à cliquer sur un lien qui téléchargera un logiciel malveillant sur votre téléphone ou votre ordinateur.
Smishing
Le smishing est similaire à l'usurpation de SMS, mais les pirates envoient de faux e-mails contenant des liens malveillants au lieu d'utiliser des messages texte. Si vous cliquez sur le lien, il tentera d'installer un logiciel malveillant sur votre appareil ou vous conduira vers un faux site web où l'on vous demandera des informations personnelles telles que des numéros de carte de crédit et de sécurité sociale.
Qu'est-ce qu'un vecteur d'attaque SMS Spoofing ?
Les vecteurs d'attaque par usurpation de SMS se font passer pour des messages provenant d'une source fiable afin d'inciter les utilisateurs de téléphones portables à divulguer leurs informations personnelles. Un message électronique contenant un lien ou un fichier exécutable est généralement utilisé pour propager cette attaque. Dès que le bouton est pressé, l'attaquant peut accéder aux messages de la victime et les envoyer en son nom. Un moyen d'éviter cela est de n'accepter que les messages provenant d'entreprises de confiance qui utilisent une plateforme fiable de marketing par SMS et par courrier électronique.
Pour que les victimes fournissent, envoient ou divulguent volontiers des informations confidentielles, il est nécessaire de leur faire croire qu'elles parlent avec un ami ou un membre de la famille en qui elles ont confiance. Cette technique peut usurper l'identité de plusieurs personnes simultanément, en fonction du nombre de destinataires simultanés et du vecteur d'attaque de l'usurpation.
Types d'usurpation de SMS
Il existe de nombreux types d'usurpation de SMS, notamment :
1. Faux identifiants d'expéditeur
Le type d'usurpation le plus courant consiste à remplacer le véritable identifiant de l'expéditeur par un autre numéro ou un autre nom. Cela permet à des acteurs malveillants d'usurper l'identité d'entités telles que votre banque ou votre société de cartes de crédit, et de vous inciter à divulguer des informations personnelles ou à télécharger des logiciels nuisibles. Ils peuvent également usurper l'identité de l'appelant en effectuant de faux appels en plus de l'usurpation de messages textuels.
2. Messages en vrac non sollicités (UBM)
Les MNA sont des textes non sollicités qui semblent provenir de quelqu'un que vous connaissez mais qui proviennent d'une source inconnue. Ces messages peuvent contenir des liens vers des sites web malveillants, des attaques de phishing et d'autres escroqueries visant à dérober des informations personnelles sur des appareils mobiles.
3. Le harcèlement
Ce type d'usurpation de SMS consiste généralement à envoyer des messages menaçants ou inappropriés à d'autres personnes. Certains harceleurs utilisent cette méthode pour tenter d'extorquer de l'argent à leurs victimes en les menaçant de conséquences si elles ne paient pas.
4. Faux transferts d'argent
Il peut s'agir de l'envoi d'un courriel prétendant que vous avez gagné un prix pour que vous transfériez de l'argent sur un compte afin de le donner à une œuvre de charité, par exemple. Il peut aussi s'agir d'une escroquerie plus sinistre, dans laquelle des pirates tentent de voler vos informations personnelles en prétendant que vous avez gagné un prix, mais vous demandent ensuite vos coordonnées bancaires pour pouvoir déposer l'argent sur votre compte.
5. Espionnage d'entreprise
Dans cette attaque, un pirate envoie un SMS sur votre téléphone portable avec un lien vers un site web malveillant. Lorsque vous cliquez sur ce lien, il vous redirige vers un autre site et vole vos informations personnelles et vos informations d'identification, que le pirate peut utiliser pour accéder aux ressources de l'entreprise ou vous voler de l'argent.
Usurpation de SMS : Quels sont les usages légitimes ?
Les utilisations légitimes de l'usurpation de SMS comprennent les services de messagerie en masse, les messages officiels et la protection de l'identité.
Services de messagerie en masse
L'usurpation de SMS permet d'envoyer des messages en masse à plusieurs destinataires à la fois. Cela est particulièrement utile pour les entreprises qui souhaitent toucher leurs clients de manière rentable.
Messages officiels
Les organismes publics utilisent également l'usurpation de SMS pour envoyer des notifications importantes, comme les échéances fiscales ou les avertissements en cas de catastrophe naturelle. Lorsque vous envoyez ces messages, ils doivent provenir d'une source officielle afin que les gens sachent qu'ils sont légitimes et non des arnaques.
Protection de l'identité
Des entreprises comme Equifax utilisent cette technologie pour protéger l'identité de leurs clients. Supposons que quelqu'un essaie de vous appeler ou de vous envoyer un courriel en prétendant être d'Equifax avec un numéro de rappel. Dans ce cas, vous pouvez facilement vérifier si c'est réel ou non en appelant le numéro sur votre téléphone plutôt que de fournir des informations personnelles par téléphone ou par Internet.
Que doivent faire les utilisateurs pour se protéger de l'usurpation d'identité par SMS ?
- Méfiez-vous des messages textuels non sollicités que vous recevez sur votre appareil mobile et n'ouvrez pas les liens contenus dans ces messages. Si vous ouvrez un lien, assurez-vous de visiter le site web dont il se réclame en tapant l'URL dans votre navigateur.
- Ne répondez pas aux SMS vous demandant des informations personnelles telles que des numéros de compte ou des mots de passe. Si vous recevez un de ces messages, supprimez-le immédiatement sans y répondre.
- Contactez votre fournisseur de services mobiles si vous recevez un message SMS vous demandant de l'argent ou des informations personnelles.
Récapitulation
Personne n'est complètement à l'abri de l'usurpation d'identité. Vous devez toujours signaler les escrocs qui vous harcèlent ou qui utilisent votre numéro à des fins d'usurpation à votre opérateur et aux services de police afin qu'ils puissent déterminer l'origine des messages. Cela permet d'éviter les usurpations de SMS à l'avenir. Pour vous assurer que vous ne recevrez plus de SMS de l'escroc, vous pouvez utiliser des bloqueurs de SMS à télécharger.
En outre, il est nécessaire d'être conscient et de se prémunir contre d'autres risques d'usurpation d'identité, notamment l'usurpation d'identité par courriel et l'usurpation d'identité par domaine direct qui pourraient nuire à votre réputation. Consultez notre guide complet sur la sécurité de l'usurpation d'adresse électronique pour être à l'abri de futures attaques.
