L'hameçonnage par SMS ou «smishing»

© Adobestock

I - Qu’est-ce que l’hameçonnage par SMS ou «smishing» ?

Les cybercriminels trompent leurs victimes en usurpant par SMS l’identité d’un tiers connu : administration (assurance maladie/Ameli ; DGFiP/impots.gouv.fr ; vignette Crit’Air ; Antai/ amendes.gouv.fr… ), entreprise de livraison de colis (Chronopost, La Poste…), banque, opérateur téléphonique, fournisseur de service en ligne (messagerie, réseaux sociaux, VOD…), site de commerce électronique, etc. Sous cette fausse identité et avec un faux prétexte, l’hameçonnage par SMS consiste à émettre un message court, alarmant ou énigmatique, qui va inciter les victimes à communiquer des informations personnelles et/ou de carte bancaire, voire des identifiants de connexion. 

Les cybercriminels peuvent aussi chercher à infecter le téléphone mobile de la victime en l’incitant à installer une application ou une mise à jour d’une application déjà installée via une application malveillante (virus), pour dérober des données personnelles et bancaires ou pour prendre le contrôle de l’appareil. Un autre type de «smishing » consiste à inciter la victime à rappeler un numéro indiqué dans le message pour l’escroquer.

II - Que faire si vous recevez un message d’hameçonnage par SMS ?

1 Ne communiquez jamais d’informations sensibles à la suite d’un SMS car aucune administration ou société sérieuse ne vous contactera par ce type de message.

2 Au moindre doute, vérifiez l’information du message reçu par vous-même en contactant directement l’organisme concerné ou en vous rendant dans votre espace personnel.

3 Avant de cliquer sur un lien douteux, vérifiez-en la vraisemblance. Au moindre doute ou par précaution, allez directement sur le site de l’organisme en question par vos moyens habituels.

4 Si vous avez cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Ne fournissez alors aucune information et fermez immédiatement la page correspondante.

5 Ne téléchargez jamais d’application en dehors des sites ou magasins officiels. Si, après avoir cliqué sur un lien dans un SMS, une alerte s’affiche et vous invite à télécharger ou mettre à jour une application, ne donnez pas suite et fermez la page.

6 Signalez le message frauduleux sur la plateforme 33700 ou transférez-le par SMS au 33700 (service gratuit qui fera bloquer l’émetteur du message).
 

III - Et si vous en êtes victime ?

1 Faites opposition immédiatement si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte. En cas d’opérations frauduleuses réalisées avec votre carte bancaire, signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur (www.service-public.fr/particuliers/vosdroits/R46526).

2 Déposez plainte en fournissant toutes les preuves en votre possession (le message malveillant, adresse du site, captures d’écran, etc.).

3 Si vous avez cliqué sur un lien qui a pu installer une application malveillante et/ou si vous constatez un fonctionnement anormal de votre téléphone mobile, reportez-vous à l'article dédié.

4 Si vous avez communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous l’utilisiez.

5 Si vous constatez ou soupçonnez un piratage de votre compte, appliquez les conseils de l'article dédié.

6 Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits, de 9h00 à 18h30 du lundi au vendredi). 
 

Pour aller plus loin, lire la fiche cybermalveillance.gouv.fr

Suivez Maires de France sur X: @Maires_deFrance