Smishing et vishing : le phishing par SMS et par téléphone
Le phishing n'arrive pas uniquement par e-mail. De plus en plus, les escrocs contactent leurs victimes par SMS et par téléphone — deux canaux auxquels nous faisons spontanément confiance. Comprendre comment fonctionnent ces attaques est la première étape pour s'en protéger.
Qu'est-ce que le smishing ?
Le « smishing » est un phishing qui arrive sous forme de SMS. Comme un message texte paraît personnel et urgent, on a tendance à réagir vite — et c'est exactement ce que recherche l'escroc.
Voici des exemples courants :
- Un avis de « colis non livré » vous demandant de régler de petits frais ou de confirmer votre adresse.
- Une fausse alerte bancaire signalant un « paiement suspect », avec un lien pour « sécuriser votre compte ».
- Un message se faisant passer pour un collègue ou votre patron qui vous demande un service rapide.
Le lien mène généralement à un faux site très convaincant qui récupère vos identifiants, votre numéro de carte ou vos données personnelles.
Qu'est-ce que le vishing ?
Le « vishing » est un phishing par la voix — un appel en direct ou un message vocal. L'appelant se fait souvent passer pour votre banque, un transporteur, un support technique, voire une administration.
L'objectif est toujours le même : créer de la pression pour que vous agissiez avant de réfléchir.
Les techniques habituelles consistent à prétendre que votre compte a été piraté, que vous devez de l'argent, ou que vous devez « vérifier » votre identité en communiquant un code ou un mot de passe. Certains escrocs utilisent désormais des voix générées par intelligence artificielle pour imiter une personne que vous connaissez.
Les signaux d'alerte à repérer
Nul besoin de compétences techniques pour repérer la plupart de ces attaques. Prenez votre temps et cherchez les signaux d'alerte :
- Urgence et menaces — « Agissez maintenant ou votre compte sera fermé. »
- Liens inattendus — surtout les liens raccourcis ou les adresses légèrement mal orthographiées.
- Demandes de codes ou de mots de passe — aucune banque ni entreprise sérieuse ne vous demandera de les communiquer.
- Pression au secret — « N'en parlez à personne, c'est confidentiel. »
- Paiements par des moyens inhabituels — cartes cadeaux, virements ou cryptomonnaie.
Le piège du code à usage unique
Méfiez-vous particulièrement des codes à six chiffres envoyés pour se connecter ou confirmer un paiement. Un escroc qui possède déjà votre mot de passe peut vous appeler pour vous demander de « lui relire le code que nous venons de vous envoyer ». Le lui donner lui ouvre directement l'accès à votre compte.
Que faire à la place
Le réflexe le plus sûr est simple : arrêtez-vous et vérifiez par un canal de confiance.
- Ne cliquez pas sur les liens des SMS inattendus. Tapez vous-même l'adresse du site, ou utilisez l'application officielle.
- Face à un appel inquiétant, raccrochez et rappelez le numéro figurant sur votre carte bancaire ou le site officiel — jamais celui donné par l'appelant.
- Ne communiquez jamais de mot de passe, de code PIN ou de code à usage unique à quelqu'un qui vous contacte.
- En cas de doute, demandez à un collègue ou prenez un instant. Une organisation sérieuse saura patienter.
Si vous pensez vous être fait piéger
Les erreurs arrivent, et réagir vite limite les dégâts :
- Contactez immédiatement votre banque si vous avez communiqué des informations financières.
- Changez tout mot de passe que vous auriez pu révéler et activez la double authentification.
- Signalez le message ou l'appel à votre service informatique ou sécurité, ainsi qu'aux autorités compétentes.
Signaler n'est pas se faire réprimander : cela aide à protéger tous ceux qui pourraient recevoir la même arnaque.
Comment GottaPhish aide
Le smishing et le vishing exploitent la confiance que nous accordons aux SMS et aux appels, atteignant les personnes sur des canaux que les défenses e-mail ne voient jamais — et GottaPhish, avec son équipe d'experts, vous aide à répondre précisément à ce risque. Nos simulations réalistes incluent des scénarios par SMS et par appel, afin que chacun apprenne à repérer les techniques de pression de ces attaques dans un cadre sûr et sans jugement, appuyées par des formations de sensibilisation concrètes et des tableaux de bord clairs qui suivent les progrès dans le temps. Notre équipe support et experts vous accompagne concrètement pour concevoir des scénarios crédibles, paramétrer les campagnes et interpréter les résultats, afin que toute votre équipe reste vigilante sur tous les canaux.
