Aujourd’hui il est possible de se faire pirater en recevant un e-mail ou un SMS avec un lien ou une pièce jointe frauduleuse, c’est le hameçonnage.

Le hameçonnage est un mot-valise pour « SMS » (services de messages courts, mieux connus sous le nom de textos) et « phishing » (hameçonnage en anglais). Lorsque les cybercriminels « partent à la pêche », ils envoient des e-mails malveillants visant à inciter le destinataire à ouvrir une pièce jointe contenant un programme malveillant ou à cliquer sur un lien malveillant. Dans le cadre du hameçonnage par SMS, les cybercriminels utilisent des SMS au lieu des e-mails.

Voici le type de SMS ou d’e-mails frauduleux que vous pouvez recevoir : “Votre colis a été envoyé, veuillez le vérifier” ; “Votre compte Facebook a été compromis, veuillez renseigner vos identifiants” ; “Le ministère de la Santé vous recommande de télécharger TousAntiCovid”.

Comment repérer ces e-mails et SMS frauduleux ?

Tout d’abord, vérifiez si ces e-mails et ces SMS sont bien orthographiés et que la formulation sonne juste, vous pourrez déjà les éliminer d’office car cela voudrait dire qu’ils ont été envoyés par une personne et non l’organisme en question (La Poste, Facebook, TousAntiCovid, ...). Ces organismes envoient des e-mails ou des SMS automatiques, il ne peut donc pas avoir de fautes d’orthographe dans les messages et/ou les e-mails envoyés par ces organismes.

Ensuite méfiez vous des SMS qui utilisent des termes tels que « urgent » ou « renseignez », ne cliquez pas sur le lien et allez plutôt sur le site en question pour vérifier si l’e-mail ou le SMS envoyé est cohérent (vérifiez directement si un colis va véritablement vous être livré, ou encore si votre compte Facebook a été compromis).

Sachez qu’à aucun moment, un service de livraison ne vous forcera à télécharger une application pour suivre votre colis, et encore moins depuis une application provenant d’une autre source que Google Play Store. De même, jamais Facebook ne vous enverra de SMS avec un lien pour vous demander de vous identifier. C’est la même chose si le message semble provenir d’Ameli, ou encore des impôts : les pouvoirs publics ne vous contacteront jamais par SMS. En outre, méfiez-vous aussi des demandes d'informations personnelles : par e-mail, c’est déjà bizarre, mais par SMS, c’est encore plus douteux.

L’autre moyen de vérifier ces faux e-mails et ces faux SMS est de vérifier le lien. Pour ce faire, il vous suffit de copier-coller l’adresse du lien sur ushorten, urlscan, ou encore VirusTotal.

N’installez pas d’APK !

En règle général, mieux vaut ne pas installer d’APK, surtout quand vous en n’êtes pas du tout à l’initiative. Si l’e-mail ou le SMS en question vous propose d’installer un fichier APK (Android Package est un format de fichiers pour le système d'exploitation Android donc une application), celui-ci est sûrement frauduleux ou malveillant.

Attention, enfin, quand on vous propose une mise à jour : mieux vaut prendre l’habitude de vérifier les mises à jour de votre appareil directement dans les réglages, tout comme celles de vos applications directement dans les paramètres. Utiliser un antivirus peut aussi être utile pour limiter les risques. Mais le plus simple reste d’activer les mises à jour automatiques, et de maintenir vous-même votre appareil et vos applications à jour.

Que faire si vous avez cliqué sur un lien frauduleux ou installé une application ?

Vous avez cliqué, installé un APK ou renseigné des informations personnelles ? Si tel est le cas, prévenez votre banque et le service lié aux identifiants renseignés. Puis désinstallez l’application frauduleuse : cela suffit pour s’en débarrasser. Si le malware (logiciel malveillant donc l’application frauduleuse) a pris l’apparence de Google Chrome, regardez la taille de l’application : un malware ne pèse que quelques Kilooctets, alors que la vraie application fait plusieurs Mégaoctets.

Si vous voulez prendre le moins de risque possible, vous pouvez enfin réinitialiser votre smartphone avec les réglages d'usine et changer les mots de passe de tous vos comptes, y compris ceux de votre banque en ligne. Et n’oubliez pas de prévenir vos contacts qu'ils vont peut-être recevoir un SMS frauduleux…

Comment signaler les tentatives d’hameçonnage et les SMS frauduleux ?

Enfin, face au fléau du « phishing », à vous de jouer !

Des plateformes de signalement ont été mises en place par les pouvoirs publics et les opérateurs télécoms, et ils ne concernent pas que les e-mails. Ainsi, si vous avez reçu un SMS frauduleux, ou s’il vous paraît l’être, ne cliquez pas sur le lien, n’installez rien, mais signalez ce message sur Internet-Signalement.gouv (PHAROS). Ou transférez le SMS en question au numéro 33700. En agissant à votre niveau, vous éviterez peut-être à quelqu’un d’autre de vivre une mauvaise expérience. Et vous recevrez peut-être moins de e-mails ou SMS frauduleux à l’avenir, qui sait :)

Source : https://www.cnetfrance.fr/news/arnaque-par-sms-comment-dejouer-le-phishing-sur-smartphone-39922573.htm