Le magazine des maires et présidents d'intercommunalité
Maires de France

Pratique
12/04/2024 - AVRIL 2024 n°422
Numérique, réseaux sociaux

L'hameçonnage par SMS ou «smishing»

Cette méthode d'escroquerie cible les utilisateurs de téléphone mobile. Conseils pratiques pour s'en prémunir.

Cybermalveillance.gouv.fr
© Adobestock
Les cybercriminels profitent du développement des services d’information par SMS adoptés par les administrations, banques, sociétés de livraison, services en ligne ou autres organismes et entreprises pour usurper leur identité et abuser leurs usagers et clients.

I - Qu’est-ce que l’hameçonnage par SMS ou «smishing» ?

Les cybercriminels trompent leurs victimes en usurpant par SMS l’identité d’un tiers connu : administration (assurance maladie/Ameli ; DGFiP/impots.gouv.fr ; vignette Crit’Air ; Antai/ amendes.gouv.fr… ), entreprise de livraison de colis (Chronopost, La Poste…), banque, opérateur téléphonique, fournisseur de service en ligne (messagerie, réseaux sociaux, VOD…), site de commerce électronique, etc. Sous cette fausse identité et avec un faux prétexte, l’hameçonnage par SMS consiste à émettre un message court, alarmant ou énigmatique, qui va inciter les victimes à communiquer des informations personnelles et/ou de carte bancaire, voire des identifiants de connexion. 

Les cybercriminels peuvent aussi chercher à infecter le téléphone mobile de la victime en l’incitant à installer une application ou une mise à jour d’une application déjà installée via une application malveillante (virus), pour dérober des données personnelles et bancaires ou pour prendre le contrôle de l’appareil. Un autre type de «smishing » consiste à inciter la victime à rappeler un numéro indiqué dans le message pour l’escroquer.

II - Que faire si vous recevez un message d’hameçonnage par SMS ?


1 Ne communiquez jamais d’informations sensibles à la suite d’un SMS car aucune administration ou société sérieuse ne vous contactera par ce type de message.

2 Au moindre doute, vérifiez l’information du message reçu par vous-même en contactant directement l’organisme concerné ou en vous rendant dans votre espace personnel.

3 Avant de cliquer sur un lien douteux, vérifiez-en la vraisemblance. Au moindre doute ou par précaution, allez directement sur le site de l’organisme en question par vos moyens habituels.

4 Si vous avez cliqué sur le lien, vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Ne fournissez alors aucune information et fermez immédiatement la page correspondante.

5 Ne téléchargez jamais d’application en dehors des sites ou magasins officiels. Si, après avoir cliqué sur un lien dans un SMS, une alerte s’affiche et vous invite à télécharger ou mettre à jour une application, ne donnez pas suite et fermez la page.

6 Signalez le message frauduleux sur la plateforme 33700 ou transférez-le par SMS au 33700 (service gratuit qui fera bloquer l’émetteur du message).
 

III - Et si vous en êtes victime ?


1 Faites opposition immédiatement si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte. En cas d’opérations frauduleuses réalisées avec votre carte bancaire, signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur (www.service-public.fr/particuliers/vosdroits/R46526).

2 Déposez plainte en fournissant toutes les preuves en votre possession (le message malveillant, adresse du site, captures d’écran, etc.).

3 Si vous avez cliqué sur un lien qui a pu installer une application malveillante et/ou si vous constatez un fonctionnement anormal de votre téléphone mobile, reportez-vous à l'article dédié.

4 Si vous avez communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous l’utilisiez.

5 Si vous constatez ou soupçonnez un piratage de votre compte, appliquez les conseils de l'article dédié.

6 Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits, de 9h00 à 18h30 du lundi au vendredi). 
 

Les délits et les sanctions
Escroquerie (article 313-1 du Code pénal) : délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) : cinq ans d’emprisonnement et 300 000 euros d’amende.

Accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal) : trois ans d’emprisonnement et 100 000 euros d’amende. La peine encourue est de cinq ans d’emprisonnement et de 150 000 euros d’amende en cas de suppression ou modification de données, ou d’une altération du fonctionnement du système.

Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du Code monétaire et financier) : sept ans d’emprisonnement et 750 000 euros d’amende.
 


Pour aller plus loin, lire la fiche cybermalveillance.gouv.fr

Suivez Maires de France sur


Raccourci : mairesdefrance.com/2716
Couverture

Cet article a été publié dans l'édition :

n°422 - AVRIL 2024
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions
Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).