L’hameçonnage est comme la pêche en ce sens qu’il utilise un appât ou un leurre pour faire une capture. L’hameçonnage, cependant, consiste à appâter une personne – souvent, mais pas toujours, par le biais d’un e-mail – pour révéler des informations personnelles importantes qui pourraient aider l’escroc par hameçonnage à accéder à des comptes ou à de l’argent ou à voler l’identité de la cible. SMiShing, ou smishing, est l’abréviation de SMS phishing, c’est-à-dire phishing utilisant des messages SMS. Le terme a été inventé le 25 août 2006 par David Rayhawk et utilisé pour la première fois sur le blog McAfee® Avert® Labs.
Alors que l’objectif du phishing est souvent de faire en sorte que la cible divulgue des informations personnelles précieuses – telles que des numéros de carte de crédit, des numéros de compte bancaire ou des noms d’utilisateur et des mots de passe – après avoir cliqué sur un lien, SMiShing peut soit demander une réponse, soit adopter une approche différente qui implique un téléchargement. Dans ce cas, la cible est amenée à télécharger un virus ou un logiciel malveillant, tel qu’un cheval de Troie, sur son téléphone portable.
Les menaces SMiShing ont fonctionné de diverses manières. L’un des premiers est venu comme un message SMS de confirmation pour un service de rencontres, indiquant à la cible qu’elle serait facturée à moins qu’un lien ne soit cliqué pour annuler. L’URL contenait une invite pour télécharger un programme contenant un cheval de Troie, qui transformerait le téléphone portable en zombie, permettant à l’escroc d’en prendre le contrôle et éventuellement de l’utiliser pour des attaques par déni de service distribué (DDoS). Alternativement, l’escroquerie SMiShing pourrait permettre le téléchargement de logiciels espions qui permettraient à l’escroc d’écouter les conversations tenues au téléphone.
Les logiciels antivirus et anti-malware sont utiles pour aider à prévenir les attaques SMiShing. Éviter de cliquer sur des messages texte suspects est une autre stratégie utile. En cas de doute, les e-mails qui menacent de fermer un compte ou d’en refuser l’accès, ou des frais à moins que des mesures ne soient prises, doivent être confirmés par un appel téléphonique plutôt qu’en répondant au message lui-même. Il est particulièrement important de ne pas utiliser un numéro donné dans le message lui-même, mais de trouver le numéro de manière indépendante, par exemple sur une carte bancaire ou une carte de crédit, dans l’annuaire téléphonique ou de toute autre manière inviolable.
Certaines institutions financières mettent un point d’honneur à alerter les clients sur les types d’attaques qui ont été signalés, afin que les clients puissent vérifier si ce service est disponible. En outre, les clients peuvent signaler les messages suspects à la source apparente – mais dans un nouvel e-mail, pas en cliquant sur « Répondre » – et à leur fournisseur d’accès Internet (FAI), pour aider à empêcher la propagation de SMiShing.