Proofpoint vient de mettre en ligne un nouveau rapport consacré aux menaces qui pèsent sur les internautes. Au terme de leurs investigations, les chercheurs en sécurité pointent notamment du doigt une augmentation considérable des arnaques reposant sur l’envoi de SMS.
À lire aussi : Arnaque par SMS – les pirates préparent la prochaine vague d’attaques
Une hausse de plus de 2 000 % en 2025
Au cours du premier semestre de l’année 2025, Proofpoint a constaté une hausse de 2 534 % des attaques phishing par SMS, c’est-à-dire de « smishing ». Les messages malveillants « imitent souvent des communications gouvernementales ou des services de livraison et sont très efficaces en raison de l’immédiateté et de la confiance que les utilisateurs accordent aux messages mobiles ».
En France, les campagnes de smishing identifiées cette année reposent par exemple sur l’usurpation de l’identité de Doctolib, une entreprise de livraison de colis, ou encore celle d’un proche. Cette année, 01net a aussi enquêté sur une arnaque sophistiquée et bien ficelée dans laquelle l’escroc se fait passer pour le parent d’un enfant invité à une fête d’anniversaire.
Pour expliquer l’explosion du nombre d’arnaques par SMS, on peut mettre en exergue l’émergence de plateformes criminelles capables d’automatiser la diffusion d’escroqueries, telles que Lucid. Développée par des hackers chinois, cette plateforme permet aux escrocs d’accéder à une série d’outils facilitant l’envoi massif de SMS piégés.
Lucid leur permet d’envoyer 100 000 messages de phishing par jour, que ce soit à destination des smartphones Android ou des iPhone, en se faisant passer pour des entreprises connues, comme USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, ou encore HSBC. Pour pouvoir utiliser ces outils, les pirates doivent payer un abonnement aux développeurs. Les plateformes de cet acabit, de plus en plus présentes dans l’industrie criminelle, facilitent les activités des hackers et aident les pirates en herbe à mettre le pied à l’étrier.
À lire aussi : « Oups, mauvais numéro ! » – une nouvelle arnaque par SMS piège les utilisateurs de smartphones
L’omniprésence des URL piégés
Dans la plupart des arnaques étudiées par Proofpoint, les cybercriminels se sont servis d’URL malveillantes pour piéger leurs cibles. Partagées par SMS, ces adresses redirigent l’utilisateur vers des plateformes de phishing taillées pour aspirer leurs données personnelles ou leurs coordonnées bancaires. Comme l’explique Matt Cooke, stratège en cybersécurité chez Proofpoint, « les menaces de phishing basées sur les URL ne sont plus confinées à la seule boîte de réception », comme c’était le cas il y a encore quelques années.
Les chercheurs indiquent que « les URL malveillantes sont désormais le vecteur d’attaque privilégié des cybercriminels ». Elles sont quatre fois plus exploitées que la traditionnelle pièce jointe piégée et envoyée par mail. L’URL offre plusieurs avantages pour les cybercriminels. Un lien malveillant est bien plus facile à camoufler et plus difficile à repérer par les systèmes de détection, souligne le rapport. Dans la plupart des cas, les URL piégées visent à dérober des identifiants de connexion.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
