1Smishing, vishing — le phishing passe au téléphone
Le smishing est du phishing par SMS. Le vishing est du phishing par appel vocal. Les deux contournent les filtres anti-spam et les passerelles email corporate sur lesquelles vous comptez, et atterrissent directement sur l'appareil le plus personnel que vous possédez. Le format change, l'objectif est identique : vous faire cliquer un lien, lire un code ou prononcer un mot de passe.
+300%
Croissance des smishing signalés entre 2020 et 2024
98%
Taux d'ouverture des SMS vs ~20% pour l'email
30s
Temps médian avant qu'on clique sur un lien smishing
2Scénarios smishing classiques
Colis non livré
« Votre colis n'a pas pu être livré. Payer 1,99 € de frais ici : hxxps://deliv-fr[.]top/1234 ». Les 1,99 € sont l'appât pour collecter votre carte.
Fausse alerte bancaire
« Transaction inhabituelle de 899 € — si ce n'est pas vous, appelez le 01 23 45 67 89 ». Le numéro mène à l'attaquant qui vous demande alors votre 3-D Secure.
Remboursement d'impôt
« Vous êtes éligible à 238 € de remboursement, réclamez-le ici avant expiration ». Les impôts n'envoient jamais de SMS avec un lien de remboursement.
3Scénarios vishing classiques
« Support technique Microsoft »
Une voix vous dit que votre PC a un virus et vous guide pour installer un logiciel d'accès à distance.
Faux service fraude de banque
Caller ID usurpé affichant le vrai numéro de votre banque. L'« agent » vous demande de transférer vos fonds vers un « compte sécurisé » qu'il contrôle.
Voix de PDG clonée par IA
Une voix identique à votre patron vous demande d'autoriser un virement confidentiel. Le clone se fait depuis 30 secondes de son.
Vérifier une URL douteuse sur mlab.sh
Reçu un lien louche par SMS ? Avant de cliquer, extrayez-le et passez-le au scanner de domaines et extracteur d'IOC mlab.sh.
Ouvrir l'extracteur d'IOC4Red flags & contre-mesures
Urgence inattendue
Une vraie entreprise n'exige jamais paiement ou code en moins d'une minute par SMS ou téléphone.
URLs raccourcies et TLDs bizarres
Liens bit.ly et domaines en .top / .xyz / .click dans un SMS = signal fort.
Raccrochez et rappelez
La meilleure contre-mesure au vishing : raccrochez et composez le numéro imprimé sur votre carte — pas celui qui a appelé.
Ne jamais lire un code à voix haute
Un code 2FA est destiné à un écran, pas à une ligne téléphonique. Si on vous le demande verbalement, c'est toujours une arnaque.
FAQ Smishing & vishing
Peut-on faire confiance au numéro affiché ?
Non. Usurper le numéro affiché est simple et pas cher. Traitez le caller ID comme décoration, pas comme preuve.
Que faire d'un SMS de smishing ?
Transférez-le au 33700 (France) puis supprimez-le. Ne répondez jamais.
iPhone vs Android : l'un est-il plus sûr ?
L'attaque marche sur les deux. Seules vos habitudes font la différence.
Modules connexes
C'est quoi l'ingénierie sociale ?
L'ingénierie sociale : comment les attaquants piratent des humains plutôt que des systèmes, et les signaux d'alerte.
Reconnaître un lien de phishing
Les techniques pour détecter les URLs frauduleuses qui imitent des sites légitimes.
Les techniques de spoofing
Usurpation d'identité numérique : email spoofing, caller ID spoofing et domain spoofing.
Source : mlab Academy — Plateforme de sensibilisation à la cybersécurité
URL : https://academy.mlab.sh/fr-FR/page/smishing-vishing
Module : Smishing et vishing expliqués — Phishing & Ingénierie sociale
Avertissement : Ce contenu est à des fins de sensibilisation uniquement.