Elle a répondu à une arnaque souriante. Ensuite, les messages de spam ont empiré. Les experts expliquent pourquoi

Alyssa Beckwith n’a eu besoin que d’un instant de jugement pour tomber dans l’arnaque.Le message texte qu’elle a reçu semblait légitime, voire attendu. Après que certaines de ses informations personnelles aient déjà été volées il y a quelques années, elle s’est inscrite aux alertes SMS de sa banque, Wells Fargo, pour confirmer chaque fois qu’elle effectuait un nouvel achat.

Et cette étape pour se protéger, ironiquement, est ce qui a fait d’elle une cible si facile. Ainsi, lorsqu’un escroc a envoyé un texto à Beckwith en avril, lui disant que sa carte Wells Fargo avait été chargée d’un retrait de 240 $ et «Contactez-nous en cas de suspicion», elle n’a pas réfléchi à deux fois et a appelé. Une voix robotique l’a accueillie à Wells Fargo et lui a demandé de vérifier elle-même, alors elle a entré son numéro de carte de crédit, son numéro de sécurité sociale et son anniversaire.

(Avec l’aimable autorisation d’Alyssa Beckwith) « Cette information est valide. Merci, » dit la voix en raccrochant. Ce n’est qu’alors qu’elle a réalisé son erreur.

« J’étais comme, attendez une minute », a déclaré Beckwith lors d’un entretien téléphonique. « Je suis surpris que cela ne me connecte pas avec quelqu’un à qui parler. Habituellement, c’est ce qui se passe.

C’est à ce moment-là que j’ai pensé: ‘Oh mon Dieu, oh mon Dieu, je pense que c’est une arnaque.' » Dans l’espace d’un quelques minutes, Beckwith est devenue la dernière victime du « Smishing », ou hameçonnage par SMS, où un escroc envoie un message texte pour inciter une personne à divulguer des informations personnelles sensibles, qui peuvent être utilisées pour toutes sortes de fraudes, comme le siphonnage d’argent à partir de leur compte bancaire ou l’ouverture de cartes de crédit à leur nom. Les textes indésirables existent depuis pratiquement aussi longtemps que le SMS lui-même.

Mais avec de plus en plus de personnes utilisant leur smartphone pour effectuer des paiements et de nombreux sites de banques et de services publics vérifiant les comptes des utilisateurs par SMS, les vannes de la fraude se sont ouvertes. La Federal Trade Commission a reçu 334833 plaintes concernant des textes frauduleux en 2020, soit plus du double de l’année précédente. Les gens du monde entier ont été exposés à environ 125% de tentatives de smishing en plus tous les trois mois, selon une nouvelle étude de la société de cybersécurité Lookout.

les escrocs et les pirates informatiques ont remarqué que de plus en plus de spécialistes du marketing et d’entreprises interagissent avec les gens par SMS, et ont simplement suivi cette tendance. « Avant, le texte était un canal peer-to-peer très propre et relativement parlant. Vous ne communiquez pas avec des étrangers via texte.

Ce ne sont que des amis », a déclaré Tobin lors d’un entretien téléphonique. « Mais maintenant, les SMS sont devenus un canal de communication plus général pour les entreprises, comme les confirmations de transactions, les alertes de fraude. » Les messages d’escroquerie et de phishing envoyés par SMS sont particulièrement tenaces car il y a peu de capacité à les bloquer.

Les bons fournisseurs de messagerie bloquent désormais la plupart des courriers indésirables et de phishing, faisant du spam par courrier électronique l’ombre du problème qu’il était autrefois. Bien que les appels téléphoniques indésirables soient ennuyeux, vous pouvez au moins regarder le numéro de l’appelant et décider de ne pas prendre un appel.Mais si les smartphones sont presque omniprésents – 97% des Américains en possèdent un – il y a très peu de gens peuvent faire pour arrêter les SMS indésirables.

Apple et Google, les fabricants respectifs des systèmes d’exploitation des smartphones iOS et Android, conseillent aux utilisateurs de bloquer les numéros indésirables, mais il est si facile pour les escrocs de prétendre envoyer un message à partir d’un numéro différent que de telles stratégies n’ont en fait aucun sens. Au moins, Apple permet aux utilisateurs de filtrer tous les messages des personnes qui ne sont pas déjà dans leurs contacts, mais cela ne signale pas les textes susceptibles d’être une arnaque et les place dans le même dossier que les messages authentiques provenant de numéros non enregistrés. les violations des informations personnelles des utilisateurs – y compris leurs numéros de téléphone – sont fréquentes et les pirates informatiques échangent régulièrement les données des Américains avec des escrocs avides.

Il est si courant qu’en avril, après que les chercheurs se sont rendu compte que les pirates informatiques étaient capables d’extraire plus d’un demi-milliard de noms et de numéros de téléphone d’utilisateurs de Facebook du site, Facebook a accidentellement envoyé à un journaliste néerlandais un mémo interne disant: il est important à la fois de présenter cela comme une question sectorielle générale et de normaliser le fait que cette activité se produit régulièrement. »Il y a aussi peu d’indications que les autorités font beaucoup à ce sujet ou ont des conseils pour le grand public. Une fois que Beckwith a réalisé qu’elle était tombée dans une arnaque, elle a contacté la Federal Trade Commission, qui ne lui a pas répondu, et la Social Security Administration, qui lui a dit de surveiller son crédit.

Mais c’est toute l’aide qu’ils ont apportée, et bien qu’elle n’ait remarqué personne qui avait contracté un prêt à son nom, les messages de spam n’ont fait qu’empirer. « Je reçois des SMS indiquant que » votre colis d’UPS est en attente, veuillez cliquer sur ce lien pour confirmer », dit-elle. « Textes d’Amazon », j’en reçois un presque tous les jours.

« Alors que les opérateurs de téléphonie américains ont mis en place des mesures anti-spam, leur processus de protection contre les fraudeurs est largement opaque et ils offrent peu d’aide spécifique aux clients. Sprint et Verizon n’ont pas répondu à une demande de commentaire. AT&T a refusé de commenter, mais a évoqué les directives officielles de la Cellular Telecommunications and Internet Association, un groupe professionnel de l’industrie, qui propose quelques recommandations aux utilisateurs qui reçoivent des messages de spam, notamment: « Si vous recevez des SMS dont vous ne voulez pas, répondez « STOP ».

« Répondre » STOP « à une société de marketing ou s’inscrire à la liste Do Not Call de la FTC peut réduire le spam provenant d’entreprises qui cherchent à se conformer à la loi américaine. Mais les experts en sécurité préviennent que, puisque de nombreux escrocs n’ont aucun intérêt à suivre la loi, cela risque de faire plus de mal que de bien. » Donna Gregory, chef d’unité du Centre des plaintes contre la criminalité sur Internet du FBI, a mis en garde contre les tentatives de smishing apparentes.

, cela montre qu’il y a quelqu’un à l’autre bout. Ils peuvent juste pêcher des numéros en direct « , a déclaré Gregory lors d’un entretien téléphonique. Tobin, de la société de cybersécurité Proofpoint, a déclaré que répondre aux attaques par smishing vous rend probablement plus une cible «L’intelligence sur vous ne se dissipe pas.

Elle se construit», dit-elle. « Chaque attaque qui se produit, chaque SMS auquel vous répondez ou chaque appel auquel vous répondez. Même si l’attaquant ne reçoit pas cet argent de votre part, il peut gagner de l’argent en vendant vos informations. »

Pour la plupart des gens, tomber sous le charme l’attaque conduit soit à une perte d’argent, soit à un risque plus élevé de vol d’identité. Mais la messagerie texte est également la méthode de livraison préférée pour la forme la plus extrême de piratage téléphonique, lorsque des criminels ou des pays prennent le contrôle complet d’un téléphone, le transformant en microphone secret ou en volant tous ses e-mails et SMS. chercheur au Citizen Lab de l’Université de Toronto, a déclaré qu’il voyait souvent des pirates informatiques travailler pour des pays autoritaires envoyer des textes à des dissidents qui tentaient de les inciter à télécharger un programme qui leur donnera accès à leur téléphone.

Beaucoup prétendent faire partie du processus d’authentification à deux facteurs, où un utilisateur vérifie son identité via une avenue supplémentaire en plus de son nom d’utilisateur et de son mot de passe.Bien que les experts en cybersécurité recommandent d’utiliser une application pour smartphone dédiée et de confiance pour configurer deux facteurs, de nombreuses entreprises continuent de faites-le par SMS. « Les SMS sont toujours une échappatoire », a déclaré Scott-Railton lors d’un appel téléphonique.

« Les cybercriminels le savent et ils les utilisent. Les gouvernements qui veulent faire des manigances les utilisent également parce que les messages texte sont particulièrement bien configurés pour exploiter toute une catégorie d’attaques et de prises de contrôle de réinitialisation de mot de passe de compte. » un deuxième facteur est encore extrêmement courant », a-t-il déclaré.

« Et tant que cela reste extrêmement courant, le phishing par SMS sera également très courant, car les gens sont conditionnés à s’attendre à ce que des choses importantes passent par des SMS. » Sans solution facile à l’horizon, la plupart des gens n’ont guère le choix, mais être simplement extrêmement prudent de ne pas cliquer sur les liens qui leur sont envoyés par SMS par des personnes qu’ils ne connaissent pas. « Les numéros de SMS sont facilement usurpés », a déclaré Tobin.

« Ne cliquez pas sur une URL dans un message texte. Ne faites pas confiance aux URL dans les messages texte, sauf si vous avez plus d’assurance. Si vous recevez un message texte d’une banque ou d’un détaillant, saisissez l’URL séparément dans votre navigateur. »