Hier, la semaine dernière et la semaine d’avant, j’ai reçu des SMS de l’USPS m’informant que j’avais un colis qui ne pouvait pas être livré en raison d’une adresse incomplète. Pour résoudre ce problème, il me suffisait de cliquer sur un lien et de saisir mes informations personnelles… Non, je ne tombe pas dans le piège de ce texte frauduleux !
Et je ne suis pas seul. Plus de 400 millions de SMS frauduleux arrivent chaque jour sur les téléphones à travers le pays, avec une légère augmentation lors d’événements commerciaux comme Prime Day et Cyber Monday.
« Depuis la pandémie, les achats en ligne ont explosé et les escrocs ont tendance à suivre où va la foule », explique Vinicius Perallis, PDG de Hacker Rangers. « Plus les gens achètent en ligne, plus ces criminels profitent de ce comportement en envoyant des SMS frauduleux, se faisant passer pour des entreprises comme USPS. »
Si vous avez reçu un SMS d’USPS, d’UPS ou d’une autre compagnie maritime, voici comment reconnaître s’il s’agit d’une arnaque et que faire ensuite.
Qu’est-ce que le smishing ?
Le smishing, ou phishing par SMS, est un type de fraude qui tente d’utiliser des messages texte pour inciter les gens à divulguer des informations sensibles, à cliquer sur un lien qui charge un logiciel malveillant sur leur appareil ou à les diriger vers un site Web trompeur. Et c’est étonnamment efficace : selon une étude de Bitdefender, environ 15 % des personnes qui reçoivent ces SMS finissent par cliquer sur un lien.
« Même si le phishing est une technique connue depuis longtemps, elle reste extrêmement efficace car les consommateurs et les entreprises ont encore du mal à se défendre efficacement contre eux », explique Ben Eichorst, directeur de la sécurité des infrastructures chez Yubico.
Que faire si vous recevez des SMS frauduleux USPS ou UPS
Premièrement, si vous recevez un message que vous pensez être une arnaque, ne cliquez pas sur le lien et évitez également de répondre.
«Ces textes sont ennuyeux et il est tentant de répondre avec quelques mots choisis», déclare Seth Geftic, vice-président du marketing produit chez Huntress. « Mais vous faites savoir aux fraudeurs que votre numéro de téléphone est actif, ce qui signifie que vous pourriez recevoir davantage de SMS frauduleux à l’avenir. »
Au lieu de cela, bloquez le numéro sur votre appareil et signalez le texte à la FTC en le transférant au (7726) SPAM. Pour USPS, envoyez-le également à (email protégé). « Cela contribue non seulement à protéger les autres, mais donne également à l’USPS des informations importantes pour lutter contre ces escroqueries », explique Perallis.
Ensuite, supprimez le texte afin de ne pas cliquer accidentellement sur le lien plus tard, qui pourrait être chargé de logiciels malveillants. Par mesure de précaution supplémentaire, surveillez vos comptes bancaires pour détecter toute activité inhabituelle.
Si vous ne savez pas si un SMS est une arnaque, demandez à l’organisation en utilisant les contacts sur son site officiel. Vérifiez les numéros de suivi directement sur le site Web USPS ou UPS. S’ils ne sont pas valides, il s’agit probablement d’une arnaque, explique Perallis. Trouvez également des mises à jour sur les escroqueries en cours et des suggestions sur les mesures à prendre directement auprès de USPS et UPS.
Que faire si vous avez reçu un SMS frauduleux USPS ou UPS ?
Si vous avez cliqué sur un lien provenant d’un texte frauduleux et saisi des informations de connexion, comme pour votre compte USPS, modifiez immédiatement votre mot de passe sur ce site et sur tout autre site sur lequel vous utilisez ce mot de passe, explique Perallis. Alors:
- Si vous avez divulgué des informations financières, comme un numéro de carte de crédit, appelez votre banque pour le signaler et surveillez les relevés pour déceler les frais suspects.
- Si vous avez fourni des informations personnelles, comme votre numéro de sécurité sociale ou votre adresse, surveillez vos comptes pour détecter tout signe d’usurpation d’identité.
- Si vous avez cliqué sur un lien et pensez maintenant qu’il s’agit peut-être d’une arnaque, lancez une analyse antivirus sur votre appareil pour détecter les logiciels malveillants.
À quoi ressemblent les textes frauduleux USPS et autres ?
Les textes frauduleux sont en constante évolution et peuvent prendre plusieurs formes, mais en général, recherchez :
- Erreurs grammaticales, ponctuation étrange et fautes d’orthographe. « Il existe une théorie selon laquelle les fraudeurs agissent ainsi délibérément, car les personnes qui répondent à ces messages pourraient être plus vulnérables aux escroqueries que la personne moyenne », explique Geftic.
- Un sentiment d’urgence, avec un langage alarmant ou menaçant visant à vous inciter à agir sans réfléchir.
- Une demande d’informations personnelles ou financières, notamment des mots de passe, des numéros de carte de crédit ou votre date de naissance. « Une entreprise légitime de centre commercial de messagerie n’enverra pas et n’enverra pas, à l’improviste, un message texte demandant plus de détails ou de l’argent », déclare Chris Dukich, PDG de Display Now.
- Un lien vers un site Web contenant des fautes d’orthographe, des chiffres étranges ou des abréviations.
De plus, si vous n’attendez pas de colis, c’est un signal d’alarme, car USPS n’envoie pas de SMS à moins que vous n’ayez demandé des mises à jour de suivi, explique Yashin Manraj, PDG de Pvotal Technologies. « Nous vous recommandons de considérer tous les SMS provenant d’inconnus comme des escroqueries ou du spam et de constituer progressivement une liste de contacts de fournisseurs de confiance », dit-il. « Par exemple, UPS utilisera 4601, 5289, 48515 ou 69877, tandis que USPS utilise 28777. »
Qu’est-ce que cela signifie si vous recevez des SMS ?
Il existe de nombreuses raisons pour lesquelles vous pourriez recevoir des SMS frauduleux, depuis votre numéro impliqué dans une violation de données jusqu’à la saisie de vos informations sur un site Web non protégé en passant par votre numéro qui apparaît sur un logiciel automatisé de génération de nombres aléatoires.
Cela ne signifie pas que les escrocs vous ciblent spécifiquement, explique Dukich. « Les fraudeurs envoient généralement d’énormes quantités de messages et espèrent que tout ira pour le mieux », dit-il.
Comment vous protéger contre les textes frauduleux
En plus de ne pas ouvrir de liens et de ne pas répondre, en général, ne partagez jamais d’informations personnelles, comme votre mot de passe bancaire ou les informations de votre carte de crédit. Il est peu probable qu’une organisation légitime le demande par SMS. Aussi:
- Utilisez les bloqueurs de spam fournis par votre fournisseur de réseau.
- Ne donnez pas librement votre numéro de mobile en ligne. Manraj suggère d’utiliser un numéro virtuel dans toutes les boutiques en ligne, que vous pouvez obtenir dans la plupart des magasins d’applications modernes.
- Mettez régulièrement à jour le logiciel de votre téléphone/appareil, ce qui aidera à prévenir les logiciels malveillants.
- Permettez aux comptes d’utiliser l’authentification multifacteur (MFA), ce qui rendra plus difficile la réussite des fraudeurs, même s’ils obtiennent des informations de votre part.
- Pour encore plus de protection, Yubico suggère de rechercher des options MFA modernes résistantes au phishing avec des clés de sécurité matérielles, comme leurs YubiKeys.
Et enfin, faites-vous confiance. « Si votre instinct vous dit que le message est suspect parce qu’il contient une mauvaise grammaire, un ton alarmiste ou que vous ne vous attendiez pas à recevoir le message, il y a de fortes chances qu’il soit faux », explique Geftic.
À propos des experts
- Vinicius Perallis est un expert en cybersécurité et PDG de Hacker Rangers, une entreprise qui favorise les pratiques de cybersécurité au sein des entreprises en utilisant des techniques de jeu
- Seth Geftic est vice-président du marketing produit chez Huntress Security Platform et possède près de deux décennies d’expérience en cybersécurité dans les domaines des points finaux, du MDR, du phishing et de l’identité.
- Yashin Manraj est PDG de Pvotal Technologies, qui aide à construire des systèmes plus sécurisés dans les meilleures sociétés d’ingénierie du monde
- Chris Dukich est fondateur et PDG de Display Now, une plateforme SaaS axée sur la technologie et l’engagement des utilisateurs
- Ben Eichorst est directeur de la sécurité de l’infrastructure chez Yubico, un leader du secteur de l’authentification multifacteur et des clés de sécurité matérielles, qui aident à protéger les consommateurs contre les attaques de phishing.