Principales conclusions
L'usurpation d'identité par SMS est un type d'escroquerie qui repose sur la manipulation psychologique pour inciter les victimes à envoyer de l'argent ou à partager des informations sensibles.
Les attaquants modifient l'identité de l'expéditeur pour donner l'impression que le SMS provient d'une source fiable.
Avez-vous déjà reçu un faux SMS ? Signalez immédiatement l'incident aux forces de l'ordre.
Découvrez l’usurpation d’identité par SMS et comment protéger vos crypto-monnaies et vos données personnelles contre les attaquants.
Comme dans d’autres secteurs, les tendances en matière de fraude évoluent rapidement. Auparavant, les escroqueries par courrier électronique envoyé par un prince nigérian étaient les plus courantes, mais aujourd'hui, les attaques par usurpation d'identité par SMS prédominent.
Contrairement aux exploits dans lesquels un pirate informatique tente d'utiliser du code pour pénétrer dans la base de données d'un utilisateur, les attaques par usurpation d'identité par SMS utilisent principalement la manipulation psychologique. Cela signifie que l'escroc tentera de se faire passer pour une source fiable pour tenter d'inciter les victimes à envoyer de l'argent ou à partager des informations sensibles, telles que les détails du portefeuille.
Dans cet article, nous expliquerons le fonctionnement des attaques par usurpation d’identité par SMS, les différentes manières dont les attaquants peuvent vous cibler et comment vous, en tant qu’utilisateur, pouvez protéger vos fonds.
Comment fonctionne l'usurpation d'identité par SMS ?
L'attaquant modifie l'identité de l'expéditeur (le nom ou le numéro de téléphone qui apparaît sur le téléphone du destinataire) pour faire apparaître son message texte comme s'il provenait d'une source fiable. Le but ici est d’amener la victime à suivre les instructions du message.
Le faux SMS peut arriver dans la boîte de réception de votre téléphone sous un faux nom, un faux numéro de téléphone, ou les deux. Par exemple, un message texte de Binance peut en réalité provenir d'un escroc essayant de vous inciter à télécharger un logiciel malveillant, à partager les détails de votre compte ou à cliquer sur un lien malveillant.
Malheureusement, les mécanismes permettant l’usurpation d’identité par SMS sont concentrés dans des conditions juridiques ambiguës dans de nombreuses régions du monde. Certains pays ont complètement interdit cette pratique, tandis que d’autres n’ont pas encore résolu l’abus de l’identification de l’expéditeur de SMS.
En fait, il existe des cas d'utilisation légitimes pour modifier le nom de l'expéditeur affiché par le destinataire. Par exemple, une entreprise peut lancer une campagne de marketing par SMS et utiliser une identité de sous-marque au lieu de la marque principale ou du numéro de téléphone.
Comment identifier et éviter les attaques d’usurpation d’identité par SMS ?
Aucune infrastructure de sécurité dans l'industrie, aussi solide soit-elle, ne peut protéger un utilisateur qui envoie volontairement son mot de passe à un pirate informatique, car la première ligne de défense est toujours l'utilisateur. Si vous souhaitez protéger votre argent, vous devez rester vigilant à tout moment et intégrer les pratiques suivantes à vos habitudes.
1. Vérifiez les messages entrants
Vérifiez toujours la source d’un message entrant avant de répondre. Méfiez-vous des spams ou des messages suspects. Vous pouvez vérifier les messages pour Binance à l'aide de l'outil Binance Verify ou en envoyant une capture d'écran du message à notre équipe d'assistance. Pour les autres services, vous devez envoyer un message à la plateforme concernée directement via son site officiel ou d'autres canaux de confiance.
2. Activez l'authentification à deux facteurs
L'authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire pour vous protéger contre les attaquants qui tentent d'accéder à vos comptes de diverses manières, y compris l'usurpation d'identité via SMS. Activez toujours l'authentification à deux facteurs (2FA) pour tout compte prenant en charge cette fonctionnalité.
Lorsqu'ils sont utilisés correctement, les codes d'authentification à deux facteurs (2FA) peuvent aider à protéger votre compte. Saisissez uniquement les codes 2FA sur les sites Web officiels et assurez-vous de revérifier le message 2FA pour voir à quoi il sert.
3. Ne partagez pas d’informations personnelles
Évitez de partager des informations sensibles (telles que des mots de passe, des numéros de carte de crédit, des numéros de sécurité sociale et d'autres identifiants émis par le gouvernement) par SMS, en particulier avec des contacts non vérifiés.
4. Évitez les liens suspects
Ne cliquez sur aucun lien qui vous est envoyé par SMS sans vérifier au préalable que ces liens sont légitimes, car ils peuvent vous diriger vers des sites Web de phishing qui tentent de voler vos identifiants de connexion ou d'installer des logiciels malveillants sur votre appareil.
N'accédez pas aux sites avec des icônes No Lock ou des URL non cryptées (HTTP au lieu de HTTPS) et vérifiez toujours l'URL avant de cliquer. Assurez-vous d’utiliser uniquement les sites Web officiels. Par exemple, si vous n'êtes pas sûr que votre lien Binance, votre e-mail, votre numéro de téléphone, votre identifiant WeChat, votre compte Twitter ou votre identifiant Telegram soient officiels, vous pouvez le vérifier sur Binance Verify.
Pour des informations générales sur la façon de protéger vos fonds en cryptomonnaies, vous pouvez parcourir les sections de sécurité de notre FAQ ou de la Binance Academy.
Vous trouverez ci-dessous une liste de sites Web suspects que nous avons identifiés et qui tentent de paraître affiliés à Binance. Restez loin d'eux tous. Les noms de domaine de ces sites vous donnent une idée de ce à quoi pourrait ressembler un faux site Binance dont les créateurs tentent d’induire les utilisateurs en erreur.
Types d'attaques d'usurpation d'identité par SMS
Les attaques par usurpation d'identité par SMS peuvent varier dans leurs objectifs et leurs mécanismes, mais elles ont toutes en commun le remplacement du numéro ou du nom réel de l'expéditeur, permettant ainsi aux fraudeurs de se faire passer pour quelqu'un d'autre. Les transferts d'argent ou le spam sont des scénarios courants lorsque quelqu'un tente de vous cibler avec un faux message texte.
Dans le premier cas, les fraudeurs se font passer pour un fournisseur de services financiers légitime comme Binance et envoient des SMS aux victimes concernant une fausse transaction de cashback, par exemple. Ces messages demandent généralement aux destinataires de scanner un code QR ou de cliquer sur un lien pour réclamer la remise en argent.
L'usurpation d'identité par SMS est également une méthode utilisée par les harceleurs et les cyberintimidateurs qui souhaitent intimider leurs victimes en envoyant des menaces ou des messages inappropriés provenant de numéros inconnus ou de noms aléatoires.
Exemples concrets d'attaques d'usurpation d'identité par SMS
Exemple 1 : faux message 2FA
L'utilisateur, nous l'appellerons Jack, reçoit un message qui dit : « Les utilisateurs de [Binance] doivent passer au Web 3.0 pour éviter que les comptes Bianenc.net ne soient désactivés ».
Jack voit que l'expéditeur est Binance et que le message est arrivé par le même canal par lequel il reçoit normalement ses codes 2FA. Jack suppose qu'il s'agit d'un message officiel et se connecte au site de phishing, donnant ainsi les détails de son compte à l'escroc.
Exemple 2. « Annuler le retrait »
Un utilisateur, nous l'appellerons Brad, reçoit un SMS d'une personne possédant une adresse d'expéditeur Binance. Le message comprend un rappel à Brad d'« Annuler le retrait en cours ». Brad pense que le message est officiel, alors il se connecte au site de phishing.
Le pirate informatique a pu utiliser le nom d'utilisateur, le mot de passe et le code d'authentification à deux facteurs de Brad qui ont été envoyés pour se connecter au site officiel de Binance et effectuer une transaction de retrait d'argent.
Dans cet exemple, l'utilisateur a fait deux choses :
Vérifiez le lien sur Binance Verify.
Vérifiez à nouveau le vrai message du code 2FA qui indique en fait que le code 2FA a été utilisé pour lancer le retrait, et non pour l'annuler.
Exemple 3. « Vérifier » ou « mettre à niveau » un compte
Beaucoup de nos utilisateurs ont signalé avoir reçu un faux SMS contenant un lien pour vérifier ou mettre à niveau leur compte. Selon le message, le fait de ne pas effectuer l'action requise entraînera le blocage du compte. Mais le lien contenu dans le message texte dirige l'utilisateur vers un site Web de phishing conçu pour voler les détails de son compte. Notez que ces messages texte tentent d’apparaître comme s’ils provenaient de parties légitimes.
Si vous avez été ciblé par des attaques d’usurpation d’identité par SMS
Si vous pensez que quelqu'un vous a envoyé un faux SMS, contactez immédiatement les autorités policières compétentes. Si l'arnaque par SMS est liée à Binance, veuillez également la signaler à l'équipe d'assistance de Binance.
Si votre compte a été piraté, gèlez votre crédit pour empêcher les criminels d'ouvrir de nouveaux comptes à votre nom, et gèlez également vos cartes de crédit et vos comptes bancaires. Afin de protéger vos actifs, vous devez également désactiver votre compte en suivant les étapes de ce guide FAQ : Comment désactiver mon compte Binance.
N'envoyez jamais les détails de votre compte Binance, votre code d'authentification à deux facteurs ou vos informations financières à qui que ce soit par SMS, même si l'entité qui demande ces données semble légitime à première vue. En plus de l'usurpation d'identité par SMS, les fraudeurs peuvent également tenter de vous arnaquer par e-mail ou par d'autres canaux.
Vérifiez à nouveau tout domaine lié à Binance sur Binance Verify. Sachez toutefois que l’outil n’est pas totalement infaillible et que vous devez être prudent si vous sentez que quelque chose est suspect.
Articles Liés
En savoir plus sur les escroqueries
Restez en sécurité : que sont les attaques de piratage de compte ?
Un guide des fausses applications : comment les repérer et les éviter