Principaux points à retenir

  • L'usurpation d'identité par SMS est un type d'escroquerie qui repose sur la manipulation psychologique pour inciter les victimes à envoyer de l'argent ou à partager des informations sensibles. 

  • Les attaquants modifient leur identité d’expéditeur pour faire apparaître leur message SMS comme s’il provenait d’une source fiable. 

  • Vous avez reçu un SMS falsifié ? Signalez immédiatement l'incident aux forces de l'ordre. 

Découvrez l’usurpation d’identité par SMS et comment protéger votre cryptographie et vos données personnelles contre les attaquants. 

Les tendances dans le secteur de la fraude évoluent aussi rapidement que partout ailleurs. Avant, les escroqueries par courrier électronique auprès des princes nigérians faisaient fureur ; aujourd’hui, ce sont les attaques par SMS spoofing.

Contrairement aux exploits dans lesquels un pirate informatique tente d'utiliser du code pour pénétrer dans une base de données d'utilisateurs, les attaques d'usurpation d'identité par SMS utilisent principalement la manipulation psychologique. Cela signifie que l'escroc tentera de se faire passer pour une source fiable dans le but de tromper les victimes sans méfiance en les incitant à envoyer de l'argent ou à partager des informations sensibles, telles que les détails de leur portefeuille. 

Dans cet article, nous verrons comment fonctionnent les attaques d’usurpation d’identité par SMS, les différentes manières dont les attaquants peuvent vous cibler et comment vous, en tant qu’utilisateur, pouvez protéger vos fonds. 

Comment fonctionne l'usurpation d'identité par SMS ?

L’attaquant modifie son identité d’expéditeur (le nom ou le numéro de téléphone qui apparaît sur le téléphone du destinataire) pour faire apparaître son message texte comme s’il provenait d’une source fiable. Le but est d'amener la victime à suivre les instructions du message. 

Un SMS usurpé peut arriver dans votre boîte de réception téléphonique sous un nom, un numéro de téléphone ou les deux falsifiés. Par exemple, un texte apparaissant depuis « Binance » pourrait être celui d'un escroc essayant de vous inciter à télécharger un logiciel malveillant, à partager les détails de votre compte ou à cliquer sur un lien malveillant. 

Malheureusement, les mécanismes permettant l’usurpation d’identité par SMS se trouvent dans une zone grise juridique dans de nombreuses régions du monde. Certains pays ont carrément interdit cette pratique, tandis que d’autres n’ont pas encore résolu les abus liés au changement d’identité de l’expéditeur de SMS. 

Il existe en fait des cas d’utilisation légitimes pour modifier le nom de l’expéditeur tel qu’il apparaît du côté du destinataire. Par exemple, une entreprise peut lancer une campagne de marketing par SMS et utiliser une identité de sous-marque au lieu de la marque principale ou du numéro de téléphone. 

Comment identifier et éviter l’usurpation d’identité par SMS ?

Même une infrastructure de sécurité de pointe ne peut pas faire grand-chose pour protéger un utilisateur qui envoie volontairement son mot de passe à un pirate informatique. La première ligne de défense est toujours l’utilisateur. Si vous souhaitez protéger vos fonds, vous devez rester vigilant à tout moment et prendre l’habitude des pratiques suivantes. 

1. Vérifiez les messages entrants

Vérifiez toujours la source d’un message entrant avant de répondre. Méfiez-vous des messages non sollicités ou de ceux qui semblent suspects. Vous pouvez vérifier les messages spécifiques à Binance en utilisant l'outil Binance Verify ou en envoyant une capture d'écran du message à notre équipe d'assistance. Pour les autres services, vous devez envoyer un message à la plateforme concernée directement via son site officiel ou d'autres canaux de confiance.

2. Activez l'authentification à deux facteurs 

L'authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire contre les attaquants tentant d'accéder à vos comptes, notamment via l'usurpation d'identité par SMS. Activez toujours 2FA pour tout compte qui le prend en charge. 

Les codes 2FA, lorsqu'ils sont utilisés correctement, peuvent aider à protéger votre compte. Saisissez vos codes 2FA uniquement sur les sites Web officiels et assurez-vous de revérifier le message 2FA pour voir à quoi il est utilisé. 

3. Ne partagez pas d’informations personnelles 

Évitez de partager des informations sensibles (par exemple, mots de passe, numéros de carte de crédit, numéros de sécurité sociale et autres identifiants émis par le gouvernement) par SMS, en particulier avec des contacts non vérifiés.

4. Évitez les liens suspects

Ne cliquez sur aucun lien qui vous est envoyé par SMS sans avoir au préalable vérifié leur légitimité. Les liens peuvent conduire à des sites Web de phishing qui tentent de voler vos identifiants de connexion ou d'installer des logiciels malveillants sur votre appareil. 

N'accédez pas aux sites comportant des symboles « No Lock » ou des URL non cryptées (HTTP au lieu de HTTPS) ; vérifiez toujours l’URL avant de cliquer. Assurez-vous d’utiliser uniquement les sites Web officiels. Par exemple, si vous ne savez pas si un lien, un e-mail, un numéro de téléphone, un identifiant WeChat, un identifiant Twitter ou un identifiant Telegram liés à Binance sont officiels, vous pouvez le vérifier sur Binance Verify. 

Pour des informations générales sur la façon de protéger vos fonds cryptographiques, vous pouvez explorer les sections de sécurité dans notre FAQ ou sur Binance Academy. 

Voici une liste de sites Web suspects que nous avons identifiés et qui tentent de donner l’impression qu’ils sont affiliés à Binance. Évitez-les tous. Leurs noms de domaine vous donnent également une idée de ce à quoi peut ressembler un « faux site Binance » dont les créateurs tentent d’induire les utilisateurs en erreur.

Types d’usurpation de SMS

Les attaques par usurpation de SMS peuvent varier dans leurs cibles et leurs mécanismes. Ce qu’ils ont tous en commun, c’est que le numéro ou le nom du véritable expéditeur est remplacé, ce qui permet aux fraudeurs de se faire passer pour quelqu’un d’autre. Les scénarios courants sur la façon dont quelqu'un peut vous cibler avec un SMS usurpé incluent les transferts d'argent et les usurpations de harcèlement.

Dans le premier cas, les fraudeurs se feront passer pour un fournisseur de services financiers légitime comme Binance et enverront des SMS aux victimes concernant, par exemple, une fausse transaction de cashback. Ces messages demandent généralement aux destinataires de scanner un code QR ou d'accéder à un lien pour réclamer leur cashback.

L'usurpation d'identité par SMS est également utilisée par les harceleurs et les cyberintimidateurs qui souhaitent intimider leurs victimes en envoyant des messages menaçants ou inappropriés à partir de numéros inconnus ou sous des noms aléatoires.

Exemples concrets d'attaques d'usurpation de SMS

Exemple 1 : faux message 2FA

Un utilisateur, que nous appellerons Jack, reçoit un message indiquant : « [Binance] Les utilisateurs doivent mettre à niveau le Web 3.0 pour éviter de désactiver les comptes. Bianenc.net”

Jack voit que l'expéditeur est « Binance » et que le message est passé par le même canal à partir duquel il reçoit généralement ses codes 2FA. Jack suppose qu'il s'agit d'un message officiel et se connecte au site Web de phishing, donnant ainsi les détails de son compte à l'escroc.

Exemple 2. « Annulation de retrait »

Un utilisateur, que nous appellerons Brad, reçoit un message SMS d'une personne possédant une adresse d'expéditeur « Binance ». Le message rappelle à Brad « d’annuler son retrait actuel ». Brad, croyant que le message est officiel, se connecte au site de phishing. 

Le pirate informatique parvient à utiliser le nom d'utilisateur, le mot de passe et le 2FA de Brad pour se connecter au site officiel de Binance et lancer un retrait d'argent. 

Dans cet exemple, l'utilisateur n'a pas réussi à effectuer deux opérations :

  • Vérifiez le lien sur Binance Verify.

  • Vérifiez à nouveau le vrai message 2FA, qui indiquait en fait que le code 2FA était utilisé pour initier un retrait, et non pour l'annuler. 

Exemple 3. Compte « Vérifier » ou « Mettre à niveau »

Beaucoup de nos utilisateurs ont signalé avoir reçu un faux SMS contenant un lien pour vérifier ou mettre à niveau leur compte. Comme l'explique le message, le fait de ne pas effectuer l'action requise entraînerait le blocage du compte. En réalité, le lien contenu dans le message texte mène à un site Web de phishing conçu pour voler les détails du compte. Notez que les domaines dans ces messages texte tentent d'apparaître comme des entreprises légitimes.

Si vous avez été ciblé par un SMS usurpé

  • Si vous pensez que quelqu'un vous a envoyé un SMS frauduleux, contactez immédiatement les autorités policières compétentes. Si le SMS usurpé est lié à Binance, veuillez également déposer un rapport à l'équipe d'assistance Binance.

  • Si votre compte a été compromis, gèlez votre crédit pour empêcher les criminels d'ouvrir de nouveaux comptes à votre nom, en plus de geler vos cartes de crédit et vos comptes bancaires. Pour protéger vos actifs, vous devez également désactiver votre compte en suivant les étapes de ce guide FAQ : Comment désactiver mon compte Binance.

  • N’envoyez jamais par SMS les détails de votre compte Binance, votre code 2FA ou vos informations financières à qui que ce soit, même si ceux qui le demandent semblent légitimes à première vue. Outre l'usurpation d'identité par SMS, les fraudeurs peuvent également tenter de vous frauder par e-mail ou par d'autres canaux. 

  • Vérifiez à nouveau tout domaine lié à Binance sur Binance Verify. Notez cependant que l’outil n’est pas infaillible. Vous devez toujours faire preuve de prudence si vous sentez que quelque chose ne va pas. 

Lectures complémentaires

  • Connaissez votre arnaque

  • Restez en sécurité : que sont les attaques de piratage de compte ? 

  • Un guide des fausses applications : comment les repérer et les éviter