Avant les terminaux connectés, nos portables étaient déjà des objets précieux de notre quotidien, car la mobilité qu’ils offrent était d’une praticité sans précédent. L’avènement des smartphones, des réseaux sociaux et des applications mobiles nous a rendus encore plus dépendants. Dans ce contexte, le SMS marketing est devenu un levier commercial très prisé par les entreprises, car il permet d’atteindre rapidement leurs clients et prospects. Les cybercriminels et autres arnaqueurs en sont conscients et exploitent désormais l’efficacité de ce canal de communication pour piéger un maximum de personnes. Il y a cependant quelques astuces à retenir pour reconnaitre ces SMS malveillants.
Le stop SMS : une mention obligatoire qui fait défaut dans les SMS marketing frauduleux
Pour éviter de vous faire piéger, renseignez-vous sur le stop SMS pour en connaître ses spécificités. En effet, le stop SMS est une mention obligatoire pour tout SMS à vocation marketing. Il est extrêmement rare que les individus malveillants derrière ces SMS factices prennent la peine de mentionner l’option STOP dans leurs messages. Le stop SMS relève de la loi en vigueur. Il permet aux destinataires des messages commerciaux de se désabonner de la base de données de l’entreprise. De cette manière, il choisit de ne plus recevoir ces SMS publicitaires s’ils les jugent peu intéressants ou intempestifs.
Le stop SMS est une désinscription simple et gratuite, rendue obligatoire pour toute campagne SMS publicitaire suite aux directives de la CNIL. Néanmoins, cela concerne uniquement les SMS publicitaires et non les SMS informatifs. Ainsi, les textos d’alertes et de confirmation (de rendez-vous, de réservation, d’une commande, d’un achat, etc.) ne sont pas tenus d’inclure le stop SMS. Le non-respect de cette directive expose les entreprises à une amende pouvant s’élever jusqu’à 20 000 €, ce qui confirme que les expéditeurs fiables ne manqueront jamais d’inclure le stop SMS dans leurs messages publicitaires.
Dans la pratique, il suffit de se référer à la directive mentionnée en fin de message pour ne plus recevoir les SMS publicitaires d’une entreprise. En général, vous n’avez qu’à répondre en saisissant une réponse du type « STOP SMS ». Si après avoir envoyé la réponse valant désabonnement, vous continuez de recevoir des SMS marketing de la part du même expéditeur, il y a de fortes chances qu’il s’agisse d’une campagne frauduleuse. En effet, ces réponses sont traitées automatiquement par logiciel et il est tout bonnement impensable qu’une « vraie » entreprise commerciale fasse fi de votre réponse sous peine de payer une amende au cas où vous signalez l’incident.
D’autres méthodes pour vérifier la fiabilité d’un SMS marketing
Outre le stop SMS, d’autres méthodes permettent de s’assurer si un message marketing est sans risques.
La vérification de l’identité de l’expéditeur
En général, les faux SMS marketing sont envoyés par des numéros inconnus. En étant un brin attentif, vous devez être en mesure de remarquer si la partie « expéditeur » est constituée d’un numéro « ordinaire », mais pas du nom de l’entreprise censé avoir envoyé le message. En effet, les SMS marketing fiables affichent presque systématiquement le nom de l’entreprise.
Cela étant dit, certains cybercriminels utilisent des outils tellement avancés qu’ils sont en mesure d’afficher un nom propre en lieu et place du numéro. Ils sont encore très peu à y parvenir, mais vous l’aurez compris, tôt ou tard ils finiront tous par maitriser cette technique…
La vérification du fond et de la forme du message
Un « vrai » SMS marketing ne comporte ni fautes d’orthographe, ni langage SMS, ni formulations maladroites dans la mesure où ils ont été rédigés par des professionnels. Nul besoin d’être un prodige de la grammaire ou de la conjugaison pour détecter la plupart de ces erreurs.
La vérification de la page d’atterrissage
Si vous avez cliqué sur le lien embarqué dans un SMS publicitaire potentiellement frauduleux, vous avez encore une chance d’éviter de « mordre à l’hameçon ». Avant de saisir la moindre information vous concernant, nous vous recommandons de vérifier scrupuleusement l’apparence de la page web sur laquelle vous avez atterri, ainsi que le lien affiché en haut de votre navigateur internet.
Dans certains spots publicitaires télévisés, vous aurez probablement remarqué que les entreprises incitent leurs visiteurs à ne jamais oublier de taper l’extension du nom de domaine « .fr » dans leur barre d’adresse. En effet, les cybercriminels ne peuvent utiliser l’adresse officielle de l’entreprise donc ils utilisent des adresses très similaires, soit en changeant l’extension du nom de domaine, soit en rallongeant légèrement le nom de domaine. Il faudra donc connaître l’adresse du site officiel de l’entreprise pour vérifier ces éléments.
Le phishing par SMS ou smishing : la forme la plus courante du SMS marketing frauduleux
Estimé à 95 %, le taux d’ouverture des SMS supplante celui des emails marketing. Une statistique qui pousse les cybercriminels à étendre leurs activités vers ce canal de communication qui parait anodin et trop simple pour représenter une menace. D’ailleurs, les individus malintentionnés derrière les SMS frauduleux sont également conscients de l’image inoffensive des SMS commerciaux dans la conscience collective, ou plutôt de l’inconscience collective… Force est de constater que le phishing est la forme la plus courante du SMS marketing frauduleux.
Se traduisant par « hameçonnage » dans la langue de Molière, le phishing est une technique plus connue dans le monde du mailing. Cela consiste à piéger un individu en lui poussant indirectement à fournir ses comptes d’accès et ses mots de passe relatifs à un service ou une plateforme en se faisant passer pour un tiers de confiance. Le mot « smishing » est apparu plus récemment pour désigner le recours au phishing par SMS.
Les pirates usurpent habituellement l’identité du tiers de confiance pour que la personne piégée ne se doute de rien. Plus concrètement, les SMS marketing sur fond de phishing comportent un message à priori identique à ceux que les entreprises commerciales ont l’habitude d’envoyer et un lien menant sur une page factice avec un formulaire ou des champs à remplir. Cette page utilise tous les éléments visuels du « vrai » site du tiers de confiance. Elle sert uniquement à obtenir des données personnelles, notamment les comptes d’accès et leurs mots de passe. Obtenir les coordonnées bancaires des personnes ciblées constitue la principale motivation des cybercriminels qui ont recours au phishing par SMS.
Les SMS frauduleux peuvent se présenter comme des invitations à découvrir une offre promotionnelle, des jeux-concours organisés par une entreprise ou un magasin connu… Ils peuvent prendre la forme d’invitations à mettre à jour vos coordonnées bancaires ou à reconduire votre abonnement/forfait, des invitations à installer une application, etc.