Comprendre l'usurpation d'identité par SMS : protégez-vous contre la fraude

 

Dans le monde connecté d'aujourd'hui, les SMS (Short Message Service) restent largement utilisés pour les communications personnelles, l'authentification à deux facteurs (2FA), les alertes bancaires et le marketing. Malheureusement, les pirates et les cybercriminels exploitent également les systèmes SMS pour envoyer des messages anonymes ou falsifiés semblant provenir d'une autre personne.

Cela peut conduire à des escroqueries, du phishing (smishing), de l’usurpation d’identité, du harcèlement ou de la fraude.

Dans cet article de blog, nous aborderons :

• Qu'est-ce qu'un SMS anonyme ou falsifié ?
• Techniques utilisées par les pirates pour envoyer de tels messages
• Exemples concrets d'attaques par usurpation d'identité par SMS
• Les risques et les conséquences
• Comment vous pouvez vous protéger et protéger votre organisation

🔍Qu'est-ce qu'un SMS anonyme ou falsifié ?

Un SMS anonyme est un message texte envoyé sans révéler la véritable identité de l'expéditeur. Un SMS falsifié va plus loin : il donne l'impression que le message provient d'un autre numéro ou nom (identifiant alphanumérique de l'expéditeur) .

Par exemple:

• Un escroc envoie un faux SMS semblant provenir de votre banque : « [Alerte bancaire] Votre compte a été compromis. Vérifiez-le maintenant : http://fakebank.com »
• Les pirates informatiques se font passer pour des services de livraison comme DHL ou FedEx avec des liens malveillants.
• Les attaquants utilisent des SMS anonymes pour harceler ou intimider sans révéler leur véritable numéro.

Étant donné que les protocoles SMS (comme SS7 – Signaling System 7 ) ont été conçus il y a plusieurs décennies, ils manquent d’authentification forte , ce qui rend l’usurpation d’identité possible.

🎭Comment les pirates envoient des SMS anonymes ou falsifiés

Les attaquants disposent de plusieurs moyens pour y parvenir. Voici les techniques les plus courantes :

1. Passerelles d'usurpation d'identité SMS

Les pirates informatiques exploitent les passerelles SMS (plateformes permettant aux entreprises d'envoyer des SMS en masse à des fins marketing ou d'alertes). Certains services douteux ou passerelles compromises permettent aux attaquants de :

• Remplacez l'ID de l'expéditeur par n'importe quel numéro ou nom
• Envoyer des SMS qui semblent provenir d'organisations légitimes

Les entreprises légitimes l’utilisent pour leur image de marque (« Uber », « Amazon », « BankXYZ »), mais les criminels l’exploitent pour des attaques de phishing (smishing) .

2. Services VoIP et outils SMS en ligne

Les services VoIP en ligne permettent aux utilisateurs d'envoyer des SMS via Internet. Les pirates informatiques en abusent pour :

• Masquer leur vrai numéro
• Générer des numéros temporaires/jetables
• Envoyer des SMS anonymement au-delà des frontières

Certains sites Web clandestins font ouvertement la publicité du service « Envoyer des SMS anonymes dans le monde entier » .

3. Exploits SS7 (Système de signalisation 7)

SS7 est le protocole de télécommunications qui achemine les SMS et les appels à l'échelle mondiale. Il n'a jamais été conçu avec une sécurité renforcée, ce qui permet aux attaquants ayant accès aux réseaux de télécommunications de :

• Intercepter les messages
• Redirection de SMS
• Informations sur l'expéditeur frauduleux

Il s’agit d’une attaque sophistiquée généralement menée par des acteurs étatiques ou des cybercriminels expérimentés , et non par des pirates informatiques ordinaires.

4. Boîtier SIM et modems GSM

Un boîtier SIM (ou modem GSM) peut contenir plusieurs cartes SIM et envoyer des SMS en masse. Les criminels s'en servent pour :

• Spamez des milliers de numéros avec des SMS de phishing
• Faites pivoter les cartes SIM pour éviter la détection
• Apparaître comme si les messages provenaient de différents opérateurs

5. Téléphones compromis/clonés

Si des attaquants parviennent à accéder au téléphone ou à la carte SIM de quelqu'un (via un échange de carte SIM, un logiciel malveillant ou un clonage), ils peuvent :

• Envoyer des messages qui semblent provenir de la victime
• Se faire passer pour la victime dans les cas de fraude ou de harcèlement

6. Numéros jetables/temporaires

Les pirates utilisent également des téléphones jetables ou des numéros temporaires pour envoyer des SMS anonymes. Ces numéros sont supprimés après utilisation, ce qui rend l'attribution difficile.

⚠️Exemples concrets d'attaques par SMS anonymes

• Phishing bancaire (Smishing) :

les victimes reçoivent des SMS prétendant provenir de leur banque avec un faux lien de connexion.

• Arnaques à la livraison :

faux SMS se faisant passer pour FedEx, UPS ou DHL avec des liens malveillants.

• Désinformation politique :

SMS anonymes de masse diffusant de la propagande pendant les élections.

• Fraude par échange de carte SIM :

les attaquants utilisent des SMS falsifiés pour tromper les fournisseurs de télécommunications et prendre le contrôle des comptes des victimes.

🔒Comment se protéger des SMS anonymes

Même si vous ne pouvez pas empêcher les attaquants d’envoyer des messages falsifiés, vous pouvez vous protéger pour ne pas en être victime.

✅1. Vérifiez l'expéditeur

• Ne faites pas confiance au nom ou au numéro d’affichage : ils peuvent être falsifiés.
• Contactez directement l'organisation via les numéros/sites Web officiels.

✅2. Évitez de cliquer sur les liens dans les SMS

La plupart des SMS falsifiés contiennent des liens malveillants. Toujours :

• Tapez l'URL manuellement dans votre navigateur
• Utilisez des applications officielles au lieu de liens SMS

✅3. Utilisez des applications d'authentification multifacteur au lieu des SMS

L'authentification à deux facteurs par SMS est vulnérable à l'usurpation d'identité et à l'échange de cartes SIM. Utilisez plutôt :

• Google Authenticator
• Authy
• Microsoft Authenticator
• Jetons matériels (YubiKey)

✅4. Signaler les messages suspects

Transférez les SMS suspects au numéro de signalement de spam de votre opérateur (par exemple, 7726 aux États-Unis).

✅5. Pour les organisations : mettre en œuvre des pare-feu SMS

Les opérateurs mobiles peuvent déployer des pare-feu SMS pour détecter les tentatives d'usurpation d'identité, filtrer le trafic malveillant et bloquer les identifiants d'expéditeur non autorisés.

✅6. Utilisez la formation à la sensibilisation à la sécurité

Les organisations doivent former leur personnel à reconnaître les tentatives de smishing , tout comme elles le font avec la formation sur le phishing par courrier électronique.

📝Réflexions finales

Les pirates et les cybercriminels ont trouvé de multiples moyens d'envoyer des SMS anonymes ou falsifiés , allant de l'utilisation abusive des passerelles SMS à l'exploitation des failles de sécurité des télécommunications comme SS7. Ces attaques sont souvent utilisées dans les escroqueries par hameçonnage, les fraudes et le harcèlement.

Le point clé à retenir :

• Ne faites pas aveuglément confiance aux messages SMS, même s’ils semblent provenir d’expéditeurs de confiance.
• Vérifiez toujours, évitez de cliquer sur des liens suspects et utilisez des méthodes d’authentification plus fortes que les SMS.

Les SMS anonymes peuvent sembler être une astuce astucieuse, mais avec de la sensibilisation et une bonne hygiène de sécurité, vous pouvez vous protéger pour ne pas tomber dans le piège.