Qu'est-ce que le Smishing ?
Le smishing est un type d'attaque d'ingénierie sociale qui utilise la tromperie, la corruption ou d'autres techniques pour amener la victime à faire ce que veut son agresseur. Le smishing est défini par le fait qu'il utilise des SMS, d'où son nom (Smishing).
Le smishing est devenu une technique de cyberattaque de plus en plus répandue ces dernières années en raison de l’utilisation croissante d’appareils mobiles. De nombreuses organisations autorisent l’utilisation d’appareils mobiles pour les entreprises, qu’il s’agisse de téléphones appartenant à l’entreprise ou dans le cadre d’un programme BYOD ( Bring Your Own Appareil ), ce qui fait des SMS une forme de communication courante.
En outre, de nombreuses entreprises, y compris des prestataires financiers et des marques telles qu'Apple, Amazon et Netflix, utilisent de plus en plus les SMS pour communiquer avec leurs clients. Cela est particulièrement vrai pour les communications urgentes, telles que les problèmes liés au compte du client.
Les Smishers en profitent pour rendre leurs attaques plus plausibles. Les messages de smisming se font généralement passer pour des communications provenant d'un fournisseur légitime et sont conçus pour inciter la cible à cliquer sur un lien malveillant. Cette approche tire parti de certaines fonctionnalités des communications par SMS, notamment :
- Raccourcissement des liens : De nombreuses marques légitimes utilisent des services de raccourcissement de liens (comme bit.ly) dans les SMS en raison de la longueur limitée des messages. Les smishers profitent du fait que ces services cachent l’URL de destination à l’utilisateur, ce qui permet de tromper plus facilement un utilisateur pour qu’il visite un site d’hameçonnage.
- Pas de lien : sur un ordinateur, le fait de passer la souris sur un lien avec le curseur peut révéler sa cible. Ce n’est pas le cas pour les appareils mobiles, ce qui rend plus difficile pour un utilisateur de valider un lien avant de cliquer dessus.
- Mentalité permanente : la plupart des gens sont connectés en permanence à leur téléphone et ont l'habitude de lire les SMS et d'y répondre instantanément. Cette mentalité signifie que les messages ont plus de chances d'inciter la cible à agir sans réfléchir.
What is Phishing?
Comme le smishing, l’hameçonnage est une cyberattaque basée sur l’ingénierie sociale. Cependant, elle ne se limite pas aux SMS, car elle utilise différentes plateformes de messagerie pour envoyer des messages malveillants à l'utilisateur.
En général, l’hameçonnage utilise l’une des deux techniques principales pour tromper l’utilisateur. Comme le smishing, il peut utiliser des liens malveillants qui dirigent la cible vers des sites Web d’hameçonnage qui pourraient être conçus pour voler les informations d’identification de l’utilisateur ou d’autres données sensibles ou installer un logiciel malveillant sur l’appareil de l’utilisateur. Les messages d’hameçonnage peuvent également inclure des pièces jointes malveillantes conçues pour infecter l’ordinateur avec un logiciel malveillant.
Bien que l’hameçonnage soit le plus souvent associé aux e-mails, il s’agit d’un terme général désignant toute attaque de ce type. Voici quelques formes d’attaques par hameçonnage :
- Pêche au saumon: hameçonnage par SMS.
- Vishing: Ingénierie sociale réalisée par téléphone (« hameçonnage vocal »).
- Hameçonnage de la lance: les attaques d’hameçonnage visent précisément un individu ou un petit groupe.
- Chasse à la baleine: Attaques par hameçonnage ciblant les cadres supérieurs d’une organisation.
- Business Email Compromise (BEC) : Attaques d’hameçonnage où l’attaquant se fait passer pour un PDG ou un autre dirigeant pour inciter les employés à envoyer de l’argent ou des données à l’attaquant.
La différence entre le smishing et les attaques d’hameçonnage
Le smishing est un type particulier d’attaque par hameçonnage qui utilise des SMS pour diffuser du contenu malveillant. Bien que l’hameçonnage soit souvent associé à des e-mails malveillants, cette attaque peut être effectuée à l’aide de n’importe quelle plateforme de messagerie, y compris les e-mails, les médias sociaux et les applications de communication d’entreprise comme Slack et les SMS.
Prévention de l’hameçonnage et de l’hameçonnage par SMS avec Point de contrôle
L’hameçonnage et l’hameçonnage par SMS sont deux des cybermenaces les plus courantes auxquelles les entreprises sont confrontées. Étant donné que ces attaques reposent sur l’ingénierie sociale (tromperie, corruption ou contrainte de la cible à faire quelque chose) plutôt que sur l’exploitation de la vulnérabilité, elles sont souvent plus faciles à réaliser pour les attaquants. Par conséquent, les cybercriminels ont souvent recours à ces attaques pour voler des informations sensibles ou comme première étape d'une cyberattaque en plusieurs phases.
L’éducation des employés est importante pour prévenir l’hameçonnage et l’hameçonnage par SMS, mais elle ne suffit pas à elle seule. Les attaques d’hameçonnage sont de plus en plus sophistiquées, en particulier avec l’essor de l’IA générative, et même l’employé le plus prudent peut ne pas être en mesure de les identifier et d’y répondre correctement.
Point de contrôle propose des solutions de sécurité conçues pour offrir une protection complète contre toutes les menaces d’hameçonnage, quel que soit le support utilisé pour envoyer le contenu malveillant. Point de contrôle Harmony Email and Office offre une protection solide contre les attaques par hameçonnage par e-mail et a été nommé leader dans le rapport Forrester Wave 2023 sur la sécurité des e-mails d’entreprise. Pour gérer la menace du smishing, Point de contrôle fournit Harmony Mobile, qui peut faire face à ce risque d’ingénierie sociale ainsi qu’à d’autres vecteurs d’attaque axés sur le mobile. Pour en savoir plus sur la façon dont Point de contrôle peut vous protéger contre l’hameçonnage et l’hameçonnage par SMS, inscrivez-vous dès aujourd’hui à une démo gratuite de Point de contrôle Harmony Email and Office et Harmony Mobile .
Commentaires