Qu’est-ce que le smishing et comment l’éviter

Qu’est-ce que le smishing ?

Le smishing correspond au phishing par SMS : il s’agit d’une arnaque d’ingénierie sociale dans laquelle un message vous est envoyé par quelqu’un se faisant passer pour une personne ou un organisme de confiance, comme votre banque ou un proche, afin de vous amener à divulguer des informations personnelles, à envoyer de l’argent à des arnaqueurs ou à cliquer sur des liens dangereux.

Les arnaques de smishing sont nombreuses et peuvent coûter cher. En 2024, les Américains ont perdu près de 500 millions de dollars à cause d’arnaques de smishing. Et au premier semestre 2025, le nombre de signalements de smishing a plus que doublé par rapport à la même période en 2024. Se former sur le sujet est donc essentiel pour protéger sa santé financière.

Fonctionnement du smishing

Le smishing consiste à piéger des cibles pour qu’elles cliquent sur des liens dangereux intégrés dans des SMS. L’objectif final est de vous amener à divulguer des informations personnelles, comme vos identifiants de connexion, ou à envoyer de l’argent directement à un arnaqueur.

Pour vous envoyer des messages de smishing, un arnaqueur n’a besoin que de votre numéro de téléphone. Il lui est souvent assez facile de se le procurer : votre numéro peut figurer sur vos pages de réseaux sociaux, sur des sites de courtiers en données, ou avoir été exposé lors d’une violation de données.

Une fois qu’un arnaqueur dispose de votre numéro, il rédige un message conçu pour vous faire réagir sans réfléchir. Il peut utiliser des tactiques émotionnelles comme la peur et l’urgence pour y parvenir. Par exemple, il pourrait vous indiquer que votre compte Instagram sera définitivement bloqué si vous n’agissez pas immédiatement. Il pourrait également vous annoncer qu’une somme importante a été débitée de votre compte bancaire.

Cliquer sur un lien dans un message de smishing peut vous rediriger vers une fausse page de connexion ou un portail de paiement factice qui capture vos identifiants ou vos informations de carte de crédit. Cela peut également déclencher le téléchargement d’un malware qui installe un spyware sur votre appareil, volant ainsi vos informations personnelles pour les transmettre à l’attaquant. Un arnaqueur peut aussi usurper l’identité d’un proche et vous demander d’envoyer de l’argent via Cash App ou Venmo.

Les arnaqueurs peuvent falsifier leur identifiant d’expéditeur pour faire croire que le message provient d’une source de confiance. C’est ce qu’on appelle l’usurpation téléphonique. Cette technique peut faire croire qu’un SMS provient de votre mère ou de votre service de streaming préféré.

Types d’arnaques de smishing

Les arnaques de smishing les plus courantes comprennent les faux messages bancaires, les fausses vérifications de compte, les notifications de gain, les arnaques à la livraison, les faux péages et les arnaques aux impôts.

Usurpation d’identité d’institutions financières

Les arnaqueurs se font passer pour des banques, des sociétés de carte de crédit, des agents de recouvrement et d’autres organismes pour vous pousser à agir dans la précipitation. Ils peuvent signaler une transaction suspecte sur votre carte ou menacer de clôturer votre compte si vous n’agissez pas immédiatement.

Dans un cas récent en Australie, des arnaqueurs ont usurpé l’identité de la Commonwealth Bank, une grande institution financière comptant des millions de clients. Les cibles ont reçu des SMS les informant que leurs points de fidélité étaient sur le point d’expirer. Pour les utiliser, les victimes étaient invitées à cliquer sur un lien malveillant.

Menaces de vérification de compte et d’annulation de service

La plupart des individus sont habitués aux messages de vérification de compte. Il ne semble donc pas anormal d’en recevoir un d’un réseau social, d’un service de streaming ou d’une autre entité de confiance. Les arnaqueurs profitent de votre tendance à cliquer automatiquement sur les liens dans ce type de messages.

Ils peuvent également envoyer des messages concernant l’annulation de services ou d’abonnements, qui peuvent concerner des outils indispensables pour votre travail ou la gestion de vos finances. Il peut encore s’agir d’avertissements semblant provenir d’applications de divertissement.

En 2025, Netflix a mis en garde ses 90 millions d’abonnés aux États-Unis et au Canada contre des SMS de smishing menaçant d’annuler leur service. Ces messages d’arnaque menaçaient les utilisateurs de fermer leur compte s’ils ne mettaient pas à jour leurs informations de paiement.

Arnaques aux prix, loteries et récompenses

Au lieu d’utiliser la peur, ces arnaques de smishing misent sur l’espoir pour convaincre les victimes de cliquer en échange d’une récompense. Les arnaqueurs promettent tout et n’importe quoi, des cartes-cadeaux Starbucks aux gains de loterie qui changeraient une vie. Le message demande aux victimes des informations personnelles ou de payer des frais de traitement ou d’expédition pour réclamer leur lot. Si le destinataire s’exécute, les arnaqueurs prennent l’argent et disparaissent.

SMS de notification de livraison et d’expédition

Environ 75 % des Américains reçoivent au moins un colis par semaine. La plupart des gens sont donc habitués à recevoir des notifications d’expédition et de livraison par SMS.

Pour les arnaqueurs, il est facile de glisser des messages frauduleux parmi les messages légitimes. Ils usurpent l’identité de l’USPS, ainsi que de transporteurs privés comme FedEx et UPS. Les messages vous informent souvent d’une tentative de livraison échouée et vous demandent de cliquer sur un lien pour mettre à jour vos coordonnées ou choisir une nouvelle date de livraison. Ils peuvent également prétendre que vous devez payer des frais impayés pour recevoir le colis.

Faux frais de péages routiers

Si vous recevez un SMS concernant des frais de péage impayés ou une infraction, il s’agit très probablement d’une arnaque. La plupart des sociétés de péage ne vous contactent pas par SMS pour des questions de paiement. Ces messages frauduleux incluent généralement un lien vers une fausse page de paiement. Si vous en recevez un et pensez qu’il pourrait être légitime, connectez-vous à votre compte depuis le site officiel ou appelez le service client pour vérifier, et ne cliquez jamais sur le lien dans le SMS.

Arnaques aux organismes gouvernementaux et fiscaux

Recevoir un message du gouvernement peut être stressant. Les arnaqueurs savent que vous êtes susceptible de cliquer dessus et de le lire attentivement.

Certains messages peuvent menacer d’amendes ou d’audits, vous demandant d’effectuer un paiement pour éviter d’autres mesures. D’autres peuvent vous informer d’avantages fiscaux non réclamés que vous pouvez obtenir en cliquant sur un lien et en communiquant votre numéro de sécurité sociale (SSN) ou vos coordonnées bancaires.

Les arnaques fiscales au nom de l’IRS connaissent généralement un pic en début d’année, lorsque les Américains commencent à préparer leurs déclarations. En 2025, ces messages d’arnaque ont augmenté de 77 % en janvier.

Arnaques au support technique et à la récupération de compte

Les messages de smishing liés au support technique imitent des entreprises technologiques connues comme Apple, Microsoft et PayPal.

Ils peuvent prétendre que votre appareil est infecté par un virus ou que votre compte est bloqué pour des raisons de sécurité. Les arnaques au support technique vous conseillent souvent de « contacter le support immédiatement » ou de « cliquer maintenant pour récupérer votre compte ».

Fraude par usurpation d’identité d’entreprise ou de collègue

Des fraudeurs imitent parfois un employé ou un responsable de votre entreprise pour vous demander des informations ou un paiement.

Ces attaques de smishing peuvent être très préjudiciables si elles permettent à des pirates d’accéder aux appareils de l’entreprise. Les criminels pourraient ainsi accéder à de grandes quantités de données de l’entreprise et de ses clients.

Dans un cas, un arnaqueur s’est fait passer pour le PDG d’une société. Il a envoyé des SMS à un employé lui demandant de poursuivre la conversation sur une plateforme chiffrée. La victime a ensuite été invitée à effectuer d’importants virements bancaires vers le compte du « PDG ».

Arnaques au mauvais numéro ou à la fausse amitié

Certains arnaqueurs tentent de gagner votre confiance en construisant progressivement une amitié avec vous. Ces arnaques ciblent les personnes confiantes ou isolées.

Elles commencent souvent par un SMS d’un numéro inconnu. Si vous répondez, l’arnaqueur s’excuse et reconnaît avoir envoyé le message au mauvais destinataire. Cependant, il continue à discuter avec vous et tente de nouer une amitié.

Cette amitié virtuelle (ou fausse romance) peut durer plusieurs mois, pendant lesquels l’arnaqueur collecte progressivement vos données et soutire vos informations sensibles ou votre argent.

Arnaques de smishing « Hey maman »

Dans les arnaques « Hey Maman », des criminels envoient des SMS en se faisant passer pour un enfant avec un téléphone nouveau ou cassé. Ils passent rapidement à des demandes d’aide financière urgente, prétendant souvent ne pas pouvoir parler au téléphone.

Ces arnaques exploitent l’instinct d’un parent à réagir rapidement. La pression émotionnelle rend la demande crédible et pousse les victimes à envoyer de l’argent avant de vérifier l’authenticité du message.

Téléchargements gratuits d’applications malveillantes

Tout le monde aime obtenir quelque chose gratuitement. Les arnaqueurs proposent fréquemment des téléchargements d’applications gratuits par SMS, sans rien demander en retour. Dans certains cas, l’application est réelle. Mais les victimes ne savent pas qu’elles téléchargent également un malware.

Dans d’autres cas, l’application elle-même est malveillante. Par exemple, une fausse application de confidentialité peut vous demander de saisir des informations personnelles pour « scanner Internet » à la recherche de vos données. En réalité, les arnaqueurs utilisent vos informations pour usurper votre identité. Pour éviter ces arnaques, téléchargez vos applications uniquement depuis des sources officielles comme l’App Store et le Google Play Store.

Arnaques de smishing automatisées, basées sur l’IA

L’IA permet aux arnaqueurs de commettre des fraudes à grande échelle. L’IA peut rédiger et envoyer des milliers de messages de smishing en un instant. Elle peut même gérer des campagnes entières avec une intervention humaine minimale.

Certains chatbots IA peuvent mener des conversations longues et réalistes par SMS avec des humains. Ils utilisent une grammaire et une orthographe parfaites, et peuvent adapter leur ton pour imiter des marques, des organismes gouvernementaux et des banques.

Les arnaques de smishing par IA sont ainsi très difficiles à détecter. Il n’est cependant pas impossible de se protéger. Des règles simples, comme ne jamais communiquer d’informations personnelles par SMS ou ne jamais cliquer sur des liens suspects, peuvent vous aider à rester en sécurité. Les détecteurs d’arnaques par IA peuvent également aider à repérer le smishing par IA, vous évitant ainsi tout contact avec ces messages.

Autres arnaques de smishing émergentes

Les arnaques de smishing évoluent constamment. Les arnaqueurs cherchent toujours de nouvelles façons de pousser les gens à répondre à leurs SMS et à cliquer sur des liens. Parmi les nouveaux types d’arnaques figurent les conseils d’investissement en cryptomonnaies ou les fausses demandes de dons.

Les arnaques de smishing opportunistes peuvent faire référence à l’actualité, comme des fermetures gouvernementales, des licenciements massifs ou des modifications de prestations sociales.

Face à la recrudescence des arnaques de smishing, restez vigilant face à tout SMS demandant des données personnelles ou vous invitant à cliquer sur un lien. Par précaution, il est toujours préférable de ne pas interagir avec ces messages. En cas de doute, contactez l’expéditeur par un autre canal.

Différences entre smishing, phishing et phishing vocal

Le smishing, le phishing et le phishing vocal sont toutes des formes d’attaques d’ingénierie sociale impliquant un arnaqueur qui usurpe une identité pour manipuler ses victimes. La différence réside dans le mode de communication utilisé par l’arnaqueur. Voici comment ces trois attaques se distinguent :

• Phishing : le phishing désignait à l’origine les arnaques par e-mail. Aujourd’hui, le terme est également utilisé comme catégorie générale regroupant de nombreuses arnaques par usurpation d’identité, notamment le smishing, le phishing vocal, le pharming, le whaling et le spear phishing.

• Smishing : le smishing (SMS + phishing) est un type d’attaque dans lequel un arnaqueur envoie de faux SMS en imitant une personne de confiance, comme un organisme gouvernemental ou un membre de la famille.

• Phishing vocal : le phishing vocal, ou vishing (voice + phishing), est un type de fraude par appels téléphoniques ou messages vocaux. Les arnaqueurs imitent la voix d’une personne de confiance ou se font passer pour quelqu’un d’autre, comme un représentant du service client ou un collègue d’un autre bureau.

Comment identifier et prévenir les attaques de smishing

Plusieurs méthodes permettent de se protéger contre les attaques de smishing. Certains outils vous avertissent de ces attaques ou les bloquent avant qu’elles n’atteignent votre téléphone. Pour celles qui passent à travers les mailles du filet, savoir les identifier peut vous aider à les éviter.

Utilisez les conseils suivants pour identifier les attaques de smishing et vous en protéger.

Repérez les messages suspects

Savoir identifier les messages suspects vous aidera à éviter les arnaques qui échappent aux filtres de sécurité. Voici quelques signes courants des messages de smishing :

• Messages provenant d’expéditeurs inconnus.

• Messages contenant des liens.

• Messages utilisant un langage urgent ou menaçant.

• Toute demande d’informations personnelles.

• Toute demande de paiement.

• Toute demande de téléchargement.

• Offres trop belles pour être vraies.

• Prix, récompenses ou remboursements inattendus.

• Fautes d’orthographe et de grammaire ou formulations peu naturelles (bien que les arnaqueurs puissent également utiliser l’IA pour améliorer leurs messages).

Si vous recevez un message suspect d’un expéditeur connu, il peut s’agir d’un SMS falsifié. Les attaquants peuvent falsifier l’identifiant de l’expéditeur pour que le message semble provenir d’un numéro ou d’une entreprise que vous reconnaissez.

Vérifiez s’il s’agit d’un faux SMS en contactant l’expéditeur via un autre canal comme les réseaux sociaux ou les e-mails, ou recherchez le numéro de téléphone sur le site officiel et appelez-le.

Utilisez les fonctions de sécurité intégrées à votre téléphone

Votre téléphone dispose de fonctions de sécurité intégrées pour vous protéger des SMS indésirables. Vous devrez peut-être les activer.

Sur iPhone, vous pouvez configurer votre appareil pour filtrer les messages provenant d’expéditeurs inconnus. Ces messages sont placés dans une boîte de réception séparée, où vous pouvez les consulter plus attentivement.

Pour ce faire, ouvrez Réglages dans l’application Messages et activez Filtrer les expéditeurs inconnus.

Les appareils Android ne disposent pas de cette fonction, mais vous pouvez activer la Protection anti-arnaques dans les paramètres de votre application de messagerie pour protéger votre boîte SMS. Vous pouvez également utiliser une application dédiée qui filtre les numéros inconnus et les spams, comme SpamHound.

Si vous recevez un faux SMS, vous devez le signaler. Sur la plupart des téléphones, vous pouvez appuyer longuement sur le message ou l’expéditeur pour afficher un menu contextuel et signaler le message comme spam. Cela empêchera le même numéro de vous contacter à nouveau.

Pour bénéficier des fonctions de sécurité de votre appareil, il est important de mettre à jour votre téléphone régulièrement. Activez les mises à jour automatiques pour ne pas l’oublier. Les mises à jour incluent des correctifs de sécurité qui peuvent aider à prévenir les dernières arnaques et à corriger les failles de sécurité.

Renforcez votre sécurité avec l’authentification multifacteur

L’authentification multifacteur (AMF) ou l’authentification à deux facteurs (2FA) peut contribuer à protéger vos comptes si vous êtes victime d’une attaque de smishing.

L’AMF est une mesure de sécurité qui vous oblige à fournir deux formes d’authentification pour vous connecter à un compte (par exemple, votre mot de passe et un code envoyé sur votre téléphone).

Si vous communiquez accidentellement des informations sensibles à un arnaqueur, comme vos identifiants de connexion, les pirates ne pourront toujours pas accéder à vos comptes car ils ne disposent que d’une seule forme d’authentification. Selon Microsoft, l’ajout de l’AMF peut prévenir 99,9 % des attaques sur les comptes.

Utilisez des applications anti-phishing et de sécurité

Le téléchargement d’applications de sécurité telles que des logiciels anti-phishing et antivirus peut offrir à votre téléphone une couche de sécurité supplémentaire au-delà de ses fonctions intégrées.

Certaines applications peuvent analyser, filtrer et bloquer les messages malveillants avant qu’ils n’arrivent dans votre boîte de réception. D’autres peuvent ajouter des alertes d’arnaque aux messages suspects, vous incitant à réfléchir avant de les ouvrir.

Les outils de sécurité peuvent également vous protéger si vous interagissez involontairement avec des arnaques de smishing. L’accès aux sites malveillants peut être bloqué, et les téléchargements contenant des malwares peuvent être analysés et mis en quarantaine avant de causer des dégâts.

Protégez-vous contre le smishing avec Avast

Les attaques de smishing sont courantes, et les nouvelles technologies rendent les SMS d’arnaque de plus en plus difficiles à détecter. Le smishing peut compromettre vos données personnelles, vos appareils et vos finances. Avast Antivirus Gratuit intègre une protection antimalware et l’Assistant Avast basé sur l’IA. Il suffit de charger un message suspect pour qu’il analyse s’il s’agit d’une arnaque ou non.

Questions fréquentes

Comment reconnaître un SMS de smishing ?

Les SMS de smishing cherchent presque toujours à vous pousser à cliquer sur un lien ou à répondre avec des informations personnelles. Ils emploient souvent un langage urgent, menaçant et chargé d’émotion. Les messages de smishing présentent également d’autres signes révélateurs : offres trop belles pour être vraies, fautes d’orthographe et de grammaire, notifications inattendues et cadeaux.

Que faire si je suis victime d’une attaque de smishing ?

Si vous êtes victime de smishing, la première chose à faire est de cesser tout contact avec l’expéditeur et de le bloquer. Si vous avez téléchargé quelque chose ou cliqué sur un lien, déconnectez-vous immédiatement d’Internet et lancez une analyse antivirus. Changez ensuite vos mots de passe pour tout compte susceptible d’avoir été compromis. Si vos comptes financiers sont en danger, appelez votre banque pour les sécuriser.

Existe-t-il des outils pour prévenir le smishing ?

Oui, votre téléphone dispose d’outils intégrés et il existe des applications tierces pour prévenir le smishing. Vous pouvez activer le filtrage des messages ou la protection anti-arnaques depuis le menu des paramètres des applications de messagerie. L’Assistant Avast, basé sur l’IA, peut également vous aider à identifier les messages d’arnaque en cas de doute.