En 2023, les attaques d’hameçonhttps://www.globalsecuritymag.fr/Proofpoint-revealed-the-colossal-scale-of-smishing-in-2023.htmlnage par texto ont augmenté de 318 % à l’échelle mondiale, selon Proofpoint, et les clients d’institutions financières et d’entreprises de télécommunications en furent les cibles principales. Ces arnaques, qui utilisent des messages texte frauduleux pour inciter les individus à dévoiler des informations personnelles ou financières, ne sont plus de simples stratagèmes d’amateurs : ces fraudes sont orchestrées par des réseaux sophistiqués de cybercriminels qui utilisent l’automatisation, le piratage psychologique et des infrastructures téléphoniques piratées.
L’hameçonnage par texto n’est pas seulement un problème pour les consommateurs. Ce type de fraude érode la confiance envers les banques et les opérateurs de télécommunications, ce qui entraîne des dommages à la réputation, une augmentation des pertes dues à la fraude et un contrôle réglementaire. À mesure que les attaques deviennent plus avancées, les efforts fragmentés pour les combattre s’avèrent insuffisants. Une stratégie coordonnée entre les banques et les fournisseurs de télécommunications n’est plus facultative; elle est essentielle.
Comment fonctionne l’hameçonnage par texto et pourquoi cette fraude évolue rapidement
L’hameçonnage par texto est une forme de piratage psychologique par lequel les attaquants envoient des messages texte trompeurs en se faisant passer pour des entités légitimes (souvent des banques) afin d’inciter les destinataires à cliquer sur des liens malveillants ou à appeler de faux numéros de soutien. Les messages font généralement état d’une activité suspecte dans un compte, d’un problème de paiement ou d’un problème de sécurité urgent.
Ce qui rend l’hameçonnage par texto particulièrement insidieux est son apparence de légitimité. Les escrocs exploitent des techniques comme la mystification de numéro pour faire apparaître le texto comme s’il provenait du code court officiel d’une banque ou d’un expéditeur de confiance déjà présent dans le fil de discussion de l’utilisateur. Ces attaques gagnent en ampleur et en précision grâce entre autres à :
- L’usurpation de numéro de téléphone et le détournement de textos
- Des messages générés par l’IA adaptés à des individus ciblés
- Des kits d’hameçonnage par texto vendus sur le web profond, facilitant le déploiement des attaques
À mesure que de plus en plus de consommateurs utilisent les services bancaires mobiles et se fient à l’authentification multifacteur par textos, les risques d’exploitation augmentent. Les arnaques par textos ne sont donc pas seulement une nuisance; c’est un risque systémique pour les deux secteurs.
Le coût pour les banques, les opérateurs de télécommunications et la confiance
Pour les banques, l’hameçonnage par texto peut entraîner des pertes financières directes par le biais de virements frauduleux, de prises de contrôle de comptes et de rétrofacturations. Cela entraîne également des coûts indirects : surcharge de l’équipe de lutte contre la fraude, risques de non-conformité, et sentiment croissant de méfiance parmi les clients.
Les opérateurs de télécommunications, bien qu’ils ne soient pas la cible directe de la fraude, jouent un rôle essentiel dans la diffusion des messages. Leurs infrastructures sont souvent exploitées par des assaillants qui utilisent des routes grises ou des fermes de SIM pour diffuser des messages en masse. Les organismes de réglementation examinent désormais de plus près les fournisseurs de télécommunications, se demandant comment le trafic malveillant parvient à passer.
Au-delà des implications financières et réglementaires, la véritable victime est la confiance des clients. Lorsque les consommateurs reçoivent de faux messages convaincants prétendant provenir de leur banque ou d’un fournisseur de services, ils perdent confiance dans les communications légitimes. Cela porte atteinte aux relations clients essentielles sur lesquelles reposent les deux secteurs.
Pourquoi les mesures existantes sont insuffisantes
Malgré une prise de conscience croissante, la plupart des efforts de lutte contre l’hameçonnage par texto restent cloisonnés. Les banques se concentrent souvent sur l’éducation des clients et la détection des fraudes après l’événement, tandis que les opérateurs de télécommunications investissent dans le filtrage des communications frauduleuses ou le blocage au niveau du réseau. Bien qu’elles soient nécessaires, ces mesures ne suffisent pas à stopper les attaques en temps réel ou à grande échelle.
Même avec des investissements dans des pare-feu pour textos et des systèmes de blocage de numéros, de nombreuses attaques d’hameçonnage par texto passent encore sous le radar en raison de l’évolution rapide des tactiques d’escroquerie. Les filtres statiques sont souvent à la traîne par rapport aux nouvelles campagnes d’hameçonnage, laissant les clients vulnérables. La détection des arnaques en temps réel comble cette lacune en identifiant les schémas malveillants et les anomalies comportementales dès leur apparition, avant que les messages frauduleux n’atteignent leurs destinataires.
Les principales limitations comprennent :
- Une détection réactive : La plupart des banques n’identifient l’hameçonnage par texto qu’après qu’un client a signalé un incident ou en a été victime.
- Un manque de partage des renseignements en temps réel : Les banques et les opérateurs de télécommunications disposent rarement de cadres ou de protocoles partagés pour signaler rapidement les menaces entre les canaux.
- Une authentification de l’expéditeur incohérente : Sans l’adoption généralisée de cadres de travail visant la vérification des expéditeurs (comme les registres d’identifiants d’expéditeurs de textos), il reste facile pour les attaquants d’usurper des numéros de confiance.
Cette approche fragmentée laisse des lacunes critiques que les attaquants sont impatients d’exploiter. Il est temps d’adopter un modèle plus intégré, fondé sur la collaboration.
Une voie collaborative vers l’avenir : des solutions communes face à une menace partagée
Les banques et les opérateurs de télécommunications sont particulièrement bien placés pour neutraliser l’hameçonnage par texto s’ils brisent les cloisonnements et traitent la prévention de la fraude comme une mission commune. Plusieurs stratégies clés peuvent rendre cette collaboration plus efficace :
1. Un partage intersectoriel des renseignements
Il faut développer des canaux sécurisés et structurés pour partager les indicateurs de compromission en temps réel, y compris les URL d’hameçonnage, les numéros falsifiés et le contenu des messages frauduleux. Un centre de renseignements partagé permettrait aux opérateurs de télécommunications de bloquer de manière proactive les expéditeurs malveillants et aux banques d’avertir les clients plus tôt dans le cycle d’attaque.
2. Une reconnaissance des schémas alimentée par l’IA
Les outils d’IA et d’apprentissage automatique peuvent analyser des milliards de messages sur différents réseaux pour détecter des anomalies, telles que des volumes inhabituels de messages provenant de codes courts non enregistrés ou des liens suspects réutilisés. Lorsqu’elles sont déployées sur les réseaux bancaires et les réseaux de télécommunications, les analyses basées sur l’IA peuvent signaler les attaques coordonnées avant qu’elles ne se propagent.
3. Une authentification de l’expéditeur et des cadres de confiance
L’adoption de cadres tels que les registres d’identifiants d’expéditeurs de textos et les services de communication enrichis avec des profils d’entreprise vérifiés peut faciliter la distinction entre les vrais et faux messages. Les opérateurs de télécommunications et les banques doivent s’entendre sur l’application et la formation pour favoriser une adoption à grande échelle.
4. Une éducation coordonnée des consommateurs
Au lieu de campagnes distinctes, les banques et les opérateurs de télécommunications peuvent s’entendre sur des messages publics visant à éduquer les consommateurs, en créant des directives uniformisées sur la manière de vérifier les messages et de signaler les activités suspectes. La cohérence renforce la confiance et réduit la confusion en cas d’attaque.
5. Un engagement réglementaire sous forme de coalition
Les coalitions industrielles conjointes peuvent collaborer avec les organismes de réglementation pour élaborer des politiques relatives à l’identité de l’expéditeur, à la surveillance du trafic et à l’application transfrontalière des lois. Une voix unie peut faire pression pour des normes plus efficaces et une plus grande responsabilisation sans faire peser la charge uniquement sur les consommateurs.
Travailler ensemble pour rétablir la confiance
L’hameçonnage par texto profite des fissures entre les institutions. Les assaillants exploitent des systèmes disjoints, des politiques incohérentes et des lacunes en termes de visibilité sur les canaux de communication. Mais tout comme la surface d’attaque s’étend à la fois aux infrastructures de télécommunications et aux infrastructures financières, la défense doit suivre la même voie.
La prochaine phase de prévention de la fraude nécessite plus qu’une amélioration des technologies. Cela exige un nouveau modèle de collaboration qui considère le parcours client comme une responsabilité partagée et reconnaît que la protection de la confiance est un travail d’équipe.
Si les banques et les opérateurs de télécommunications parviennent à s’entendre sur le partage de renseignements, la détection coordonnée et les stratégies de communication unifiées, l’hameçonnage par texto ne sera pas forcément la menace ingérable qu’elle semble être. L’opportunité réside dans la transformation d’un défi fragmenté en un avantage collectif.
