SMS frauduleux : les bons réflexes à adopter pour ne pas se faire avoir

Quand on parle de piratage de données, on pense souvent aux hackers surdoués que l’on voit dans les films en train de taper frénétiquement des lignes de codes complexes sur leur clavier. Or, dans la vraie vie, les personnes mal intentionnées se contentent habituellement de techniques très simplistes, mais très efficaces. Et les tentatives de phishing — hameçonnage en bon français — peuvent prendre la forme d’un SMS frauduleux.

Nous avons toutes et tous déjà reçus un SMS dont l’auteur se fait passer pour une institution légitime comme Ameli ou La Poste (via Colissimo). Habituellement, on y retrouve un lien menant vers un site malveillant qui tente alors de récupérer vos précieuses données personnelles — en particulier vos informations bancaires.

Voici donc quelques bons réflexes à adopter pour ne pas se faire avoir par ces messages malhonnêtes. Certes, si vous lisez ce papier, il y a des chances que vous soyez déjà sensibilisés à ces questions de sécurité. Toutefois, vous pourrez toujours partager cet article avec vos proches plus susceptibles de tomber dans le piège des malfrats.

Ameli, La Poste, votre banque, compte CPF… Portrait d’un faux SMS

« Votre livraison est retenue dans notre centre de distribution. Veuillez suivre les instructions. »

C’est généralement par ce genre de petites phrases anodines qu’un escroc va tenter de vous hameçonner.

Ce SMS frauduleux vous emmenant immédiatement vers un lien pose question. La présence d’un 06 ou d’un 07 doit toujours éveiller votre attention.

En rouvrant l’URL, on tombe sur un message différent. Prenez garde.

Ici, quelques erreurs de syntaxe comme « l achèvement » peuvent vous mettre la puce à l’oreille.

Pour ne pas tomber dans le piège des SMS frauduleux, encore faut-il savoir à quoi ressemblent leurs contenus. Dans la très grande majorité des cas, ils livrent une information en apparence très importante — voire urgente — accompagnée d’un lien. Voici quelques exemples de ce que peut prétendre un message malveillant (liste non exhaustive) :

• le cheminement d’un colis à votre attention est interrompu ;
• l’Assurance maladie (via votre compte Ameli) vous rembourse une grosse somme d’argent ;
• un virement a été effectué ou bloqué depuis votre compte bancaire ;
• votre solde CPF arrive à échéance ;
• les impôts vous prélèvent plus d’argent que prévu.

Autant d’alertes qui peuvent interpeller une personne. Le but est de faire en sorte que cette dernière se précipite et clique sur le lien présent dans le SMS qui permet prétendument de faire une réclamation, de confirmer ou d’annuler telle ou telle opération financière.

Cultivez donc toujours la culture du doute dès que le message que vous recevez vous étonne. Partez en effet du principe que si vous n’aviez pas prévu de recevoir un colis ni d’opérer de gros mouvements financiers sur votre compte bancaire, le message qui vous annonce le contraire est probablement une escroquerie.

Vous vous trompez peut-être, mais il vous suffira des quelques bons réflexes que nous allons détailler ci-après pour le vérifier. Dans le pire des cas, en ne vous précipitant pas sur le lien présent dans le SMS, vous perdrez cinq petites minutes ; dans le meilleur des cas, vous vous protégerez d’une tentative de piratage.

Vérifier le numéro de l’expéditeur

C’est la toute première chose à faire lorsque vous recevez un message suspect : vérifiez le numéro de l’expéditeur. S’il s’agit d’un numéro de portable, cela doit tout de suite vous alerter. En effet, votre banque, votre mutuelle, Ameli ou La Poste ne vous enverra jamais de message officiel en affichant simplement une suite de chiffre débutant par 06 ou 07.

L’expéditeur d’un message légitime vous permettant de suivre un colis, de valider ou d’annuler un virement bancaire affiche son nom en toutes lettres ou un numéro assez court de cinq chiffres généralement. Pour aller plus loin, quand le doute vous habite, n’hésitez pas à faire une petite recherche sur Google en recopiant le numéro de téléphone qui vous a envoyé le message en le mettant entre guillemets.

De cette manière, le moteur de recherche scrutera le web pour retrouver exactement cette suite de numéros et dans bien des cas, vous tomberez sur des forums où des internautes partagent ou notent leurs expériences négatives. Vous saurez alors que vous ne devez pas accorder de crédit au message que vous avez reçu.

Tester le lien sans se mettre en danger

Nous l’avons dit, les SMS frauduleux contiennent traditionnellement un lien. Dans l’immense majorité des cas, si vous cliquez sur celui-ci, vous vous retrouverez sur une interface vous demandant d’indiquer vos coordonnées bancaires. Le lien est malveillant et, pour se garder de tout risque, il vaut mieux ne pas l’ouvrir.

Cependant, si vous doutez, vous pouvez tester la légitimité de n’importe quel lien sans avoir à cliquer dessus. Plusieurs services vous proposent en effet de savoir si un site est louche sans que n’ayez à vous rendre dessus. Il suffit de copier-coller l’adresse du lien (sans l’ouvrir encore une fois) ou de copier l’URL à la main sur une des plateformes suivantes :

• Ushorten (pour voir ce qui se cache derrière un lien Bitly)
• urlscan.io (pour un traçage complet)
• VirusTotal

Si le nom de domaine scruté par ces services paraît suspicieux, passez votre chemin en ignorant le message.

Recopier le message sur Google

Google est votre ami. S’il ne faut surtout pas prendre cette expression au pied de la lettre, rappelez-vous que nombre de personnes ont déjà dû recevoir un message identique ou similaire au vôtre et s’en sont probablement plaintes sur le web.

En recopiant simplement le texte contenu dans le SMS suspect sur un moteur de recherche — Google ou autre –, il y a de bonnes chances pour que vous trouviez des résultats prouvant le caractère frauduleux du message.

Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !