Les pirates ne cessent de faire preuve d’ingéniosité dans l’art d’escroquer leur prochain. Les hackers semblent avoir un coup de cœur en ce moment pour les arnaques par SMS. Jusqu’alors, le Sim Swap était la méthode star. Le principe ? Demander une copie de la carte SIM à un opérateur téléphonique en se faisant passer pour le propriétaire grâce à deux-trois infos personnelles récupérées sur les réseaux sociaux par exemple (date et lieu de naissance, emploi, adresse, etc.).
Mais un nouveau type d’attaque vient de ringardiser le Sim Swap. Son nom : le Smishing.
Le top du social engineering
Contrairement à certaines méthodes de hacking qui demandent un haut niveau technique, la pratique du smishing est simplissime. La seule difficulté est de choisir une cible et de se procurer ses coordonnées téléphoniques. Le précieux numéro en poche, le pirate part ensuite à la pêche aux infos sur sa future victime. Et quoi de mieux que les réseaux sociaux pour tout savoir sur son prochain ? Le délinquant repère les amis proches et la famille.
Ceci fait, le hacker envoie ensuite un SMS au pauvre bougre en se faisant passer pour papa, maman ou Dylan, le meilleur ami au chômage toujours en rade. Bien évidemment, le numéro est inconnu. Un détail extrêmement facile à justifier : « Salut c’est Kevin, j’ai changé de numéro » ou encore « J’ai plus de batterie, je t’envoie un texto avec le portable d’un pote ». Les présentations passées et la cible rassurée, le pirate va prétexter une situation délicate (accident de la route, découvert bancaire, dépenses imprévues) pour demander une somme d’argent au contact.
En général, le montant n’est jamais astronomique (entre 100 et 200 €), histoire de ne pas éveiller les soupçons. Et si admettons la cible sent l’entourloupe et demande une preuve d’identité, le pirate n’a qu’à se rendre sur les réseaux sociaux pour récupérer une photo de soirée ou de vacances, et la confiance est restaurée !
Malheureusement pas de recette miracle pour se protéger de ce genre d’attaque. Soyez attentif à l’orthographe de votre interlocuteur, à sa manière de parler, si son histoire vous semble plausible, en bref si vous avez le moindre doute, écoutez votre instinct et ne donnez pas votre numéro de carte bleue.
