smsmode© lutte contre le smishing

Qu’est-ce que le smishing ?

Le smshing, smishing ou SMS phishing est une technique d’hameçonnage par SMS. C’est une arnaque qui fonctionne comme un phishing par email, mais depuis un numéro de téléphone. Un cybercriminel tente de soutirer des informations personnelles, bancaires ou directement de l’argent au destinataire d’un SMS, en empruntant l’identité d’une marque ou d’un service de l’État (banque, livraison de colis, CPAM, Ameli ou toute autre marque à forte notoriété).

Dans 95% des cas, ce SMS frauduleux contient une URL qui permet de rediriger les victimes vers un site web ressemblant le plus possible à celui de l’organisme qui est censé être l’expéditeur, dans le but d’inspirer confiance. Il est ensuite demandé d’entrer ses informations bancaires afin de prélever une somme d’argent, parfois récurrente.

Dans d’autres tentatives de phishing par SMS, la fraude consiste à proposer de télécharger une « mise à jour » d’application, qui est en fait la copie d’une application de confiance, agissant comme un malware-espion sur le téléphone.

Dans certains cas plus rares, mais de plus en plus fréquents, les fraudeurs vous invitent à appeler un numéro pour qu’un complice à l’autre bout du fil obtienne vos informations.

Les arnaqueurs redoublent d’efforts pour inciter la victime à l’action, le supposé expéditeur de la fraude est toujours une entreprise très sérieuse ou d’un service d’importance critique, et en créant un sentiment d’urgence chez la victime.

Exemples de smishing :

Un phishing par SMS qui prend de l’ampleur :

Depuis le début de l’année, les abonnés mobiles français subissent de très nombreuses attaques de smishing. Les opérateurs et l’AF2M (Association française pour le développement des usages Multimédia Multi-opérateurs) remarquent une explosion des fraudes.  En tête :  les arnaques au CPF, la fraude sociale, sous le nom de Ameli ou de la CPAM, les banques, la livraison Amazon ou Chronospost qui aurait besoin d’un affranchissement…

La tendance s’est véritablement accrue ces derniers mois, au point que les opérateurs et les agrégateurs français, en concertation avec l’AF2M, ont décidé de mettre en place de nouvelles règles concernant l’envoi de SMS Push (A2P).

Les nouvelles règles mises en place par les opérateurs :

Toutes les parties prenantes (Opérateurs français, AF2M, A2C*, agrégateurs…) se sont mises d’accord pour changer les règles d’envoi des SMS, afin de protéger l’identité des marques « sensibles » susceptibles d’être utilisées et garantir aux mobinautes plus de sécurité.

La mesure phare de cette commission est la limitation de l’usage des OADC (Sender ID), autrement appelés émetteurs personnalisés. Tous les émetteurs des marques dites sensibles, ou ressemblants à une marque sensible, sont interdits, à priori.

De la même manière, les Sender IDs trop génériques comme « SMS Info » sont interdits.

Pour assurer la mise en place de ces mesures, les agrégateurs SMS, smsmode^© en tête, ont implémenté une série de filtres ainsi qu’un système d’intelligence artificielle pour whitelister ou blacklister les OADC.

* Association des Acteurs indépendants du CPaaS et du CCaaS

Qu’en est-il des Sender Ids pour les vraies marques « sensibles » ?

Il est évident que les marques « sensibles » conservent le droit d’utiliser leur nom et ses déclinaisons en émetteur personnalisé. Pour assurer cela en toute sécurité, il est demandé à chaque agrégateur de fournir aux opérateurs la liste des émetteurs permis, puisqu’appartenant aux marques qu’ils représentent. Cette autorisation prend la forme d’une lettre/formulaire, adressée aux opérateurs et signée des deux parties, donnant au sous-traitant l’autorisation d’utiliser le ou les Sender IDs de la marque concernée.

Une fois le déblocage effectif, la plateforme sous-traitante de la marque peut router les messages sans que les SMS soient stoppés par les filtres antismishing.

Ce qui change pour vous, nos clients :

Les changements liés au Sender ID :

Rassurez-vous, l’émetteur personnalisé fait toujours partie des fonctionnalités offertes par smsmode^©.

Pour pouvoir continuer à utiliser votre Sender ID, la première étape est de faire valider votre compte/organisation par nos services. Vous pouvez ensuite nous fournir la liste des Sender IDs que vous souhaitez utiliser pour vos campagnes SMS.

Si vous possédez une organisation (un compte parent doté de plusieurs sous-comptes) et que vous réussissez le processus de validation, tous vos sous-comptes seront automatiquement validés.

Une fois votre compte validé, vous pourrez utiliser les Sender IDs de votre liste. Si toutefois vous envoyez un message avec un émetteur inconnu, non compris dans votre liste d’émetteurs prédéfinis, le message ne sera pas envoyé et sera en erreur (visible sur votre espace).

Si votre compte n’est pas validé, vous ne pourrez plus personnaliser votre Sender ID. Si vous tentez de le faire, votre émetteur sera écrasé et remplacé par l’OADC par défaut (un shortcode dans la plupart des cas).

Ce nouveau mécanisme a été ajouté à tous nos services.

POUR UN ACCOMPAGNEMENT COMPLET…
Nos formules d’abonnements
À TÉLÉCHARGER

Les changements liés aux URLs :

Pour pouvoir continuer à intégrer des URLS dans vos campagnes, nous vous invitons à nous faire part des URL légitimes que vous souhaitez envoyer en France en envoyant votre liste à support@smsmode.com.

Tous les messages contenant des URL non vérifiées seront bloqués par notre plateforme.

Ces nouvelles règles suffiront-elles à mettre fin au smishing ?

Ces mesures de protection sont utiles pour protéger le marché de A2P, car elles sont en mesure de garantir qu’aucune fraude ou arnaque ne passe par un agrégateur sérieux comme smsmode^©.

En revanche, la plupart du trafic smsishing passe par des routes grises ou low-cost (via des cartes SIM classiques) où le SMS est envoyé par un numéro en 06 ou 07, sans Sender ID. Ce type de filtrage n’est donc pas possible.

Selon l’AF2M 98% des tentatives de smishing signalées au 33 700 viennent de routes illégales (route grise ou SIM farm).

Sur ce sujet, la balle est dans le camp des opérateurs, qui doivent lutter contre ces routes illégales qui desservent le marché. Bien entendu, smsmode^© n’utilise aucune route grise.

Cependant, une solution à ce problème a déjà été trouvée par les opérateurs. Le dialogue entre les marques et les clients se fera à l’avenir uniquement sur des numéros commençants par 09. Une solution radicale qui devrait permettre de tirer un trait définitif sur le smishing.

Conclusion :

Ces mesures peuvent paraitre contraignantes, mais elles sont véritablement nécessaires pour (ré)instaurer un climat de confiance au sein du SMS A2P. Choisir un partenaire engagé contre la fraude, en connexion directe opérateurs et n’utilisant aucune route grise, devient de plus en plus important.  Le marché du SMS Push va aussi vers de plus en plus de contrôles sur les URL utilisées pour limiter la performance de ces campagnes marketing frauduleuse, il parait donc impératif de se tourner vers un partenaire qui vous permet de contrôler les émetteurs et d’être en règle.