Smishing et vishing : principales tendances et stratégies de protection !

Les attaques reposent souvent sur l'ingénierie sociale, des liens malveillants et d'autres tactiques. Plus précisément, elles s'appuient sur des messages SMS (dans le cas du smishing) et des appels téléphoniques ou des messages vocaux (pour le vishing) pour atteindre leurs cibles.

Historiquement, le smishing et le vishing n'étaient pas des menaces majeures comparés aux attaques de phishing par courrier électronique, mais les données indiquent que cela est en train de changer. Bien que le phishing traditionnel reste une menace omniprésente, comme le montre le graphique issu du rapport APWG (Anti Phishing Working Group)Phishing 2024 :

Le vishing et le smishing connaissent actuellement une forte croissance. La fréquence des attaques de vishing a augmenté de 442 % au deuxième trimestre 2024. Le taux d'incidents de smishing a également augmenté régulièrement depuis le début de cette décennie.

Face à ces tendances, les entreprises doivent maintenant se poser quelques questions clés : pourquoi les acteurs malveillants utilisent-ils désormais autant le smishing et le vishing ? Et que peuvent faire les organisations pour se protéger dans un monde où les arnaques par email ne sont plus le seul type de menace de phishing à craindre ?

Le smishing et (surtout) le vishing offrent aux acteurs malveillants des opportunités puissantes pour usurper l'identité de personnes en qui leurs cibles ont tendance à avoir confiance. Par exemple, certaines attaques de vishing consistent à appeler les employés en se faisant passer pour des membres du support informatique afin de les inciter à fournir leurs identifiants. Dans d'autres cas, les attaques usurpent l'identité de responsables ou de dirigeants d'entreprise.

Ces méthodes rendent le smishing et le vishing plus difficiles à identifier pour certains employés (en particulier ceux qui sont moins familiers avec la technologie). Les conseils traditionnels de prévention du phishing, comme ne pas faire confiance à des courriels remplis de fautes d'orthographe, sont moins efficaces contre le smishing et le vishing.

Fonctionnement du smishing et du vishing

Le smishing et le vishing sont deux types d'attaques de phishing où les acteurs malveillants usurpent l'identité d'entités légitimes pour tromper les victimes et leur faire révéler des informations sensibles ou réaliser d'autres actions malveillantes. Cela peut inclure des actions telles que le téléchargement de logiciels malveillants, la modification de détails de facturation pour détourner des paiements, et de nombreux autres stratagèmes nuisibles.

Historiquement, la plupart des attaques de phishing se déroulaient par courrier électronique. Le smishing et le vishing exploitent des canaux d'attaque alternatifs. Plus précisément, le smishing utilise des messages SMS, tandis que le vishing utilise les communications vocales (c.-à-d. appels téléphoniques, messages vocaux ou appels vidéo).

Le déroulement des attaques (illustré dans les images suivantes) est très similaire au phishing par email dans la plupart des cas. Les acteurs malveillants commencent par identifier leurs cibles et conçoivent des contenus destinés à les inciter à révéler des données sensibles. La livraison du contenu varie, bien entendu, car le smishing utilise des messages texte et le vishing des communications vocales.

Pourtant, bien que les schémas d'attaque du smishing et du vishing ne diffèrent pas radicalement des stratégies de phishing traditionnelles, ce qui rend ces méthodes plus inquiétantes, c'est leur capacité à convaincre les cibles de la légitimité des acteurs malveillants. Les employés et les consommateurs peuvent hésiter à faire confiance à un email provenant d'une source inconnue. Mais ils ne seront peut-être pas aussi méfiants face à un message texte ou un appel vocal reçu sur leur téléphone - et contrairement au phishing par email, il n'est pas possible de vérifier simplement une adresse email pour en vérifier la légitimité. Vérifier des numéros de téléphone est bien plus complexe.

En outre, ces vecteurs d'attaque présentent des difficultés significatives qui n'étaient pas aussi prévalentes avec le phishing par email. La plupart des appareils mobiles sont personnels, ce qui signifie qu'ils ne sont pas surveillés par les équipes des centres d'opérations de sécurité (SOC). De plus, il n'existe pas d'outils de sécurité spécifiques pour bloquer automatiquement les messages SMS ou appels malveillants, contrairement aux courriels de phishing qui peuvent être filtrés avant d'atteindre une boîte de réception. Enfin, si un employé est victime de smishing ou de vishing, il y a peu de chances que l'équipe SOC le sache, à moins que l'employé réalise ce qui s'est passé et le signale, ce qui complique la détection et la réaction.

Principaux secteurs visés : la vente au détail et la finance

Les secteurs les plus fréquemment ciblés par les attaques de smishing et de vishing semblent être l'email, les réseaux sociaux, la finance et la vente au détail. (Source : Rapport APWG Phishing 2024).

Que les acteurs malveillants ciblent les entreprises du secteur financier n'a rien de surprenant. Tromper des employés ou des clients pour qu'ils divulguent des données permettant d'accéder à des comptes bancaires est une activité lucrative.

Le secteur de la vente au détail, en revanche, peut sembler une cible moins évidente pour le smishing et le vishing. Mais cela s'explique par le volume massif des ventes au détail effectuées en ligne, combiné aux données sensibles que les clients partagent souvent avec les détaillants. En se faisant passer pour des représentants de détaillants légitimes, les attaquants tentent de soutirer des informations sensibles aux acheteurs.

Les comptes de réseaux sociaux et les comptes SaaS/email usurpés par les attaquants peuvent renforcer la crédibilité de leurs campagnes si ceux-ci partagent du contenu qui donne l'apparence de la légitimité.

Principaux pays ciblés

La grande majorité des attaques de phishing visent les États-Unis, d'autres pays riches étant également des cibles majeures. (La même tendance se vérifie pour les pays les plus souvent ciblés par les attaques de ransomware également.)

Cette tendance n'est pas particulièrement surprenante, mais elle reste notable car elle suggère que bien que les acteurs malveillants adoptent maintenant des types de phishing plus sophistiqués en se tournant vers le smishing et le vishing, les zones géographiques ciblées n'ont pas changé.

Attaques préoccupantes récentes

Ce qui est encore plus inquiétant, c'est le succès démontré de ces tactiques dans des incidents très médiatisés. Récemment, plusieurs grands détaillants au Royaume-Uni ont été victimes d'attaques apparemment orchestrées par le groupe notoire connu sous le nom de Scattered Spider. Ces attaques, ainsi que les importantes violations de grandes marques américaines l'année dernière, ont notamment utilisé le vishing comme vecteur d'attaque initial.

En tant que locuteurs natifs de l'anglais, les membres de Scattered Spider appelaient les services d'assistance informatique, se faisant habilement passer pour des employés légitimes, puis utilisaient l'ingénierie sociale pour inciter le personnel à réinitialiser des mots de passe. Cela leur permettait d'obtenir un accès initial aux réseaux d'entreprise et aux comptes des employés. Comme l'a expliqué Lisa Forte, « appeler les services d'assistance informatique est une tactique que Scattered Spider semble privilégier, et ils utilisent des techniques d'ingénierie sociale pour manipuler quelqu'un afin qu'il clique sur un lien ou réinitialise un compte à un mot de passe qu'ils peuvent utiliser ».

Le groupe a même utilisé des capacités de clonage de carte SIM, comme observé lors d'une attaque contre un autre grand détaillant britannique, pour renforcer leur usurpation d'identité, collaborant potentiellement avec des individus chez des FAI ou des fournisseurs pour obtenir les informations nécessaires.

Pourquoi les attaques de smishing et de vishing explosent

Quant à savoir pourquoi les entreprises et les consommateurs subissent une augmentation spectaculaire des attaques de smishing et de vishing ces dernières années, deux facteurs clés semblent entrer en jeu.

Le rôle de l'IA

L'un de ces facteurs est (vous l'avez deviné) l'IA, qui aide les acteurs malveillants à créer le contenu des attaques ainsi qu'à les orchestrer.

Par exemple, une nouvelle plateforme d'IA black-hat, appelée Xanthorox AI, a fait son apparition début 2025. Contrairement aux anciens outils de piratage utilisant l'IA, Xanthorox ne contourne pas les protections des grands modèles de langage commerciaux pour détourner leur fonctionnalité. Il s'agit d'un système entièrement construit de zéro, qui comprend des capacités de planification et de mise en oeuvre d'attaques d'ingénierie sociale.

Avec des outils IA comme Xanthorox, les acteurs malveillants peuvent exécuter des attaques de smishing et de vishing plus facilement et plus rapidement que jamais.

Services de messagerie en masse à l'échelle mondiale

Le deuxième facteur (particulièrement dans le cas des attaques de smishing) est la facilité avec laquelle les entreprises peuvent désormais diffuser des messages SMS et passer des appels vocaux à grande échelle.

Il existe une variété de solutions légitimes de services de messagerie en masse, telles que Textedly, SendPulse et ClickSend. Elles servent à des fins commerciales légitimes en aidant les entreprises à communiquer avec leurs employés, clients et prospects. Mais elles peuvent également être détournées par des acteurs malveillants pour diffuser des messages SMS malveillants ou passer des appels téléphoniques automatisés. Voici quelques-uns des services les plus utilisés qui montrent à quel point il est bon marché de lancer une attaque.

• Textedly : reconnu pour son interface conviviale, Textedly est un choix légitime pour les entreprises, offrant des outils de rédaction alimentés par l'IA et des mots-clés personnalisés. Avec des tarifs à partir de 24 $ par mois pour 1 200 messages, c'est une solution économique pour les PME.
• SlickText : connu pour renforcer la fidélité client, propose des services légitimes comme des concours par SMS et des coupons mobiles.
• EZ Texting : avec ses fonctionnalités avancées, dont l'intégration de Shutterstock, offre des services SMS de haute qualité.
• SendPulse : plateforme polyvalente proposant SMS et newsletters email, avec une tarification par SMS.
• Messente : populaire aux États-Unis pour ses faibles coûts et sa scalabilité.
• ClickSend : prestataire reconnu avec une fiabilité de 100 %, des capacités robustes de SMS à l'échelle mondiale.
• Attentive et SMSBump : options légitimes pour le marketing SMS, Attentive se concentrant sur la personnalisation, SMSBump sur le e-commerce.

Et si les services légitimes bloquent parfois les communications d'acteurs malveillants (ce qui est rarement le cas), ces derniers peuvent se tourner vers des services vendus sur le Web profond ayant les mêmes finalités.

La mise en place d'un système SMS en masse efficace implique plusieurs considérations techniques et stratégiques. À la base, il faut une intégration avec une passerelle SMS qui sert d'interface entre Internet et les opérateurs mobiles, permettant l'envoi de messages vers différents numéros. Cela nécessite une infrastructure fiable et scalable, une gestion de base de données pour les listes de contacts, des fonctions de personnalisation, de planification et d'automatisation.

Ces services facilitent l'envoi de messages malveillants à de grands groupes de cibles. Les messages contiennent des incitations - comme signaler une activité suspecte sur un compte bancaire - qui peuvent amener les victimes à révéler leurs identifiants ou autres informations sensibles.

Exemple de smishing

Pour tester la facilité d'exécution d'attaques de smishing, Cyberint, une société de Check Point, a mené une opération sous couverture pour une grande banque du Moyen-Orient.

Cyberint a pris contact avec un acteur malveillant et a demandé des capacités opérationnelles pour envoyer des SMS conçus pour usurper la banque. L'acteur a répondu avec un faux message convaincant contenant un lien de phishing, démontrant sa capacité à envoyer en masse des SMS contenant des liens malveillants semblant provenir de la banque.

Cette confirmation souligne la pleine fonctionnalité des services de SMS en masse et leur potentiel pour orchestrer des campagnes de smishing à grande échelle.

Comment se protéger contre le smishing et le vishing

Maintenant que nous avons décrit la menace, voyons ce que les organisations peuvent faire pour protéger leur marque, leurs employés et leurs clients.

Empêcher les acteurs malveillants de tenter leurs attaques est rarement faisable. L'IA, combinée aux services de messagerie en masse, facilite trop le lancement d'attaques.

Les stratégies de protection doivent donc se concentrer sur la détection et le blocage rapide des attaques via les pratiques suivantes :

• Surveillance du Web profond et obscur pour détecter des kits de phishing visant votre marque.
• Surveillance de Telegram et WhatsApp pour repérer des arnaques impliquant votre entreprise.
• Détection de domaines similaires (lookalikes) liés dans les messages de smishing et leur suppression.
• Simulations de menaces IA pour tester les capacités de réponse des équipes SOC.
• Renforcement de la protection des endpoints, notamment par la détection automatique d'exécutions de code non autorisées.
• Formation des employés pour qu'ils soient méfiants envers les SMS ou appels provenant de sources non vérifiables.
• Réduction de l'exposition des données sensibles par le renforcement des contrôles d'accès et l'audit des dépôts de documentation interne.
• Mise à jour des systèmes de déception de menace (threat deception) avec des signatures et modèles comportementaux adaptés aux attaques assistées par IA.

Karim Hamia, expert cybersécurité chez Check Point France