Un spam SMS est une forme de fraude sur Internet. C’est du phishing utilisant les données personnelles d’un individu en vue de lui soutirer de l’argent. Pour atteindre cet objectif, l’arnaqueur inondera sa victime de spams pouvant se présenter sous différents aspects. Il peut s’agir de SMS l’alertant sur une infraction, sa carte Vitale ou une livraison d’article.
Les spams font aujourd’hui partie du quotidien de tout détenteur de téléphone portable.
Souvent, il s’agit d’escroqueries en ligne. L’objectif des fraudeurs est d’intercepter des informations privées comme celles relatives au compte bancaire de leurs cibles. Comment réussir à déceler une arnaque par SMS ? Vers qui se tourner pour signaler un spam ? Un expert cybersécurité est à même de reconnaître un message malveillant. Il se charge ensuite de trouver une solution sur-mesure.
Les signaux permettant d’identifier un spam ?
Recevoir des spams ou être la cible d’une technique d’ hameçonnage est fréquent . Cela peut prendre la forme d’une incitation à transférer une application anti-Covid truquée ou d’une indemnisation inattendue de la Sécurité sociale.
Autrefois, les fautes d’orthographe suffisaient à déceler les messages douteux. Néanmoins, les spammeurs maîtrisent de plus en plus l’arnaque par SMS.
Faire preuve de discernement constitue donc la meilleure solution pour identifier les messages suspects .
Les SMS frauduleux invitent leurs cibles à cliquer sur une pièce jointe qui cache en réalité un logiciel malveillant . Les arnaqueurs piègent également les gens en les incitant à télécharger une application ou à activer un lien .
Le ton insistant du spam doit aussi mettre la puce à l’oreille . Dans ce cas précis, l’arnaqueur s’approprie l’identité d’un service ou d’un site ouvert au public . Ensuite, il insiste sur le côté urgent de la situation. Il peut s’agir par exemple de l’expiration de la carte Vitale.
Les messages frauduleux sont généralement convaincants, mais souvent mal orthographiés . Ces escrocs maîtrisent néanmoins des outils d’hameçonnage sophistiqués. C’est le cas des groupes Telegram . Les spammeurs ont recours à leurs services pour rédiger à leur place des SMS plausibles et sans fautes d’orthographe.
Les cybercriminels inventent des URL assez similaires aux originales . Ils insèrent des homophonies ou ajoutent des « s » aux URL. Par ailleurs, les adresses web se terminent parfois par « .org » ou « .net » à la place de « .fr » ou « .com ». C’est un indice flagrant qui devrait inciter à la prudence.
Les plus futés utilisent actuellement la technique du « typosquatting » qui a pour but de leurrer leurs victimes potentielles. Ils demandent à leurs cibles d’ouvrir un lien ayant un nom correct de prime abord , tel que « apple.com ». En réalité, les lettres composant le terme « apple » cachent des caractères issus, par exemple, de l' alphabet cyrillique .
Autre signe marquant, les fraudeurs incitent les utilisateurs à agir sans attendre . Pour ce faire, ils leur font parvenir en urgence une offre qu’il ne faut pas manquer. Il faut aussi faire attention à la provenance du SMS. La plupart des cybercriminels envoient leurs spams à partir de numéros de téléphone débutant par 06 ou 07 . Le but est de brouiller leur origine et de tromper leur victime.
En outre, pour pousser les individus à dépenser leur argent, les arnaqueurs les convainquent de remplir des formulaires factices . Ensuite, ils leur demandent de certifier le code de leur compte bancaire par SMS ou d’actualiser leurs coordonnées bancaires .
Les escrocs pensent parfois aussi à inviter les victimes à appeler un numéro payant . Celui-ci est souvent très aisé à repérer. En effet, il contient 10 chiffres et possède un indicatif commençant par 08 . Le SMS frauduleux peut aussi inciter sa cible à envoyer un message en direction d’un numéro de téléphone surtaxé . Ce dernier commence souvent par 6, 7 ou 8.
Il arrive aussi que les pirates convainquent les personnes de cliquer sur un lien pointant vers un service payant.
En cas de doute sur la légalité d’un lien, il est recommandé de ne pas cliquer dessus et de le transcrire sur des sites comme urlscan.io ou Virustotal .
Que faire quand on reçoit des messages frauduleux ?
Avant tout, il est important de rappeler qu’il est inutile de répondre à des messages frauduleux étant donné que les pirates en envoient des milliers via des systèmes automatisés . Les réponses qu’on leur envoie ne seront probablement jamais lues.
Pour signaler les messages douteux, la personne peut les envoyer au 33700 (sans les ouvrir) . Elle doit en outre transférer le numéro ayant envoyé les spams .
Pierre Trocmé, le directeur des programmes de l'AF2M, s’exprimait sur Franceinfo :
En 2022, l'AF2M, groupement d'intérêt public qui gère la plateforme, a reçu plus de deux millions de signalements.
Pierre Trocmé
Grâce aux signalements , les opérateurs prennent les mesures adéquates pour atténuer au maximum le phénomène. Ainsi, un opérateur peut mettre sur liste noire un numéro soupçonné de faire du phishing . De ce fait, plus aucun de ses messages ne parvient aux utilisateurs du réseau.
Pierre Trocmé affirmait également :
Mais c'est complexe, les opérateurs n'ont pas le droit à l'erreur.
Pierre Trocmé
Il est aussi possible d’effectuer un signalement sur le site malveillant via la plateforme gouvernementale Pharos . Celle-ci signale les contenus illégaux , comme un site s’appropriant l’identité une entreprise par exemple.
Les personnes ayant transféré leurs coordonnées bancaires doivent faire opposition immédiatement auprès de leur banque .
Et ce avant que les usurpateurs ne se servent de la carte bleue.
Les victimes de fraudes bancaires ne désirant pas porter plainte peuvent signaler le spam sur le site Perceval . Néanmoins, elles doivent avoir la carte bancaire sur elles et faire une opposition .
Le directeur de l'expertise cybersécurité du site gouvernemental Cybermalveillance, Jean-Jacques Latour, affirme :
Il faut être très attentif dans les jours et semaines qui suivent, au cas où l'on reçoit un appel d'un faux conseiller bancaire.
Jean-Jacques Latour
Durant les appels téléphoniques, la victime sera mise en confiance par son interlocuteur. En même temps, ce dernier va se montrer pressant. Il demandera le code personnel de leur cible pour annuler le processus. En réalité, avoir ce code lui permettra de prendre le contrôle du compte bancaire de la victime.
La victime peut aussi contacter l’organisme qui l’aurait prétendument appelée, via ses coordonnées officielles. Cela lui permet de valider la demande ayant été effectuée. De plus, elle doit garder minutieusement toutes les preuves pour pouvoir porter plainte le cas échéant.