Qu’est-ce que l’usurpation d’identité par SMS et comment ne pas en être victime ?

L’usurpation d’identité par SMS est une cyberattaque courante. Les fraudeurs utilisent un logiciel spécialisé pour manipuler l’identifiant de l’expéditeur du SMS et donner ainsi l’impression que le message provient d’une source légitime, une banque par exemple. Ils peuvent ainsi dérober des informations sensibles ou installer des logiciels malveillants sur les téléphones des destinataires. 

Types d’usurpation d’identité par SMS

Il peut être difficile de faire la distinction entre les messages légitimes et les messages usurpés. Pour vous protéger, il est essentiel de rester vigilant(e) et prudent(e) lorsque vous répondez à des SMS non sollicités. Voici quelques exemples courants d’usurpation d’identité par SMS :

• Faux identifiant d’expéditeur

Le type d’usurpation le plus courant consiste à remplacer l’ID de l’expéditeur par le numéro ou le nom d’une entreprise renommée. Par exemple, les escrocs usurpent l’identité de Binance ou de TrustWallet pour envoyer des SMS de phishing. Ces SMS peuvent alors être regroupés sous le même fil de discussion que les messages officiels, comme les codes A2F. En effet, les pirates utilisent l’usurpation d’identité par SMS pour manipuler l’ID de l’expéditeur et dissimuler la source réelle du message.

• Faux transfert d’argent

Les escrocs prétendent que le destinataire a gagné un prix. Ils demandent ensuite les coordonnées bancaires du ou de la destinataire afin de pouvoir y déposer les gains ou de cliquer sur un lien pour réclamer le prix.

• Harcèlement

Cette méthode consiste à envoyer des messages menaçants ou inappropriés pour intimider leurs victimes dans le but de leur extorquer de l’argent. Par exemple, menacer de bannir le compte de l’utilisateur ou de l’utilisatrice. Les pirates profitent souvent de votre peur de perdre vos actifs. Dans cette situation, vous devez rester calme et vérifier le message avant d’agir.

Comment éviter d’être victime d’une usurpation d’identité par SMS ?

• Vérifier les messages entrants : vérifiez toujours la source d’un message entrant avant d’y répondre. Méfiez-vous des messages non sollicités ou qui vous semblent suspects. En cas de doute, vous pouvez contacter le service client de Binance pour vérifier l’identité de l’expéditeur.
• Activer l’authentification à deux facteurs (A2F) : l’A2F ajoute un niveau de sécurité supplémentaire à vos comptes, ce qui rend la tâche plus difficile pour les pirates.
• Ne pas envoyer d’informations personnelles : ne partagez jamais d’informations sensibles (par exemple, vos mots de passe, numéros de carte de crédit et numéros de sécurité sociale) par SMS, en particulier avec des contacts non vérifiés.
• Ne pas cliquer sur des liens suspects : ne cliquez sur aucun lien qui vous est envoyé par SMS sans vérifier leur légitimité. Les liens peuvent mener à des sites Web de phishing visant à dérober vos informations personnelles de connexion ou à installer des logiciels malveillants sur votre appareil. Assurez-vous d’utiliser le site Web officiel de l’entreprise. Par exemple, si vous n’êtes pas sûr(e) qu’un lien, un e-mail, un numéro de téléphone, un identifiant WeChat, X (anciennement Twitter) ou Telegram lié à Binance soit officiel, vous pouvez le vérifier sur Binance Verify.

Voici par exemple une liste de sites Web suspects de phishing usurpant l’identité de Binance.

Exemples d’usurpation d’identité par SMS

1. Fausse notification de mise à niveau de compte

Un utilisateur ou une utilisatrice de Binance a reçu un SMS portant le nom d’expéditeur « Binance » et lui demandant de mettre à niveau son compte pour continuer à utiliser les services de Binance. 

Les pirates ont utilisé un logiciel spécialisé pour manipuler l’identifiant de l’expéditeur du SMS, faisant apparaître le faux SMS comme provenant légitimement de Binance. Comme le faux SMS était sous le même fil de discussion que les messages officiels du code A2F, l’utilisateur ou l’utilisatrice a supposé que le message était légitime. Après s’être connecté(e) au site Web de phishing, les informations d’identification de son compte ont été dérobées par des pirates.

2. Fausse demande d’annulation de retrait

Un autre utilisateur ou une autre utilisatrice de Binance a reçu un faux SMS pour confirmer un retrait. L’utilisateur ou l’utilisatrice pensait que le message était légitime et s’est connecté(e) à son compte sur le site Web de phishing pour « annuler la demande de retrait ».

Après avoir obtenu les informations d’identification de l’utilisateur ou de l’utilisatrice, les pirates ont initié une demande de retrait de son compte et l’ont guidé pour entrer le code A2F sur le site Web de phishing. Une fois que l’utilisateur ou l’utilisatrice a entré le code, les pirates ont pu soutirer ses actifs avec succès. 

Quelques enseignements tirés de cet exemple :

• L’utilisateur ou l’utilisatrice n’a pas vérifié l’URL du site Web. Vous devez toujours vérifier sur Binance Verify le lien reçu avant de cliquer.
• L’utilisateur ou l’utilisatrice pensait que le code A2F était utilisé pour annuler les demandes de retrait. Cependant, s’il ou elle avait vérifié attentivement le message, il ou elle aurait remarqué que le code A2F était destiné à confirmer une demande de retrait. Vérifiez donc attentivement lorsque vous recevez un message de code A2F. Vérifiez toujours l’utilisation du code A2F avant de le saisir.

3. Vérification de faux compte

Plusieurs utilisateurs ou utilisatrices de Binance ont reçu un SMS avec un lien pour vérifier ou mettre à niveau leurs comptes, lequel SMS était en fait une tentative de phishing pour dérober leurs identifiants du compte.