Qu’est-ce que l’usurpation de SMS, et comment l’éviter ?

L’usurpation de SMS est une cyberattaque courante qui consiste à manipuler l’identité de l’expéditeur d’un SMS avec des logiciels spécialisés dans le but de faire croire au destinataire que le message provient d’une source légitime, par exemple, une banque. Le malfaiteur est ainsi en mesure de dérober des informations sensibles ou d’installer un logiciel malveillant sur le téléphone du destinataire.

Types d’usurpation de SMS

Il n’est pas toujours simple de distinguer les messages légitimes des faux. Pour vous protéger, vous ne devez jamais relâcher votre vigilance et rester prudent dès que vous répondez à des SMS non sollicités. Voici quelques exemples courants de tels messages :

• Falsification de l’identifiant de l’expéditeur

Le type d’usurpation le plus courant consiste à remplacer l’identifiant de l’expéditeur par le numéro ou le nom d’une entreprise réputée. Par exemple, des escrocs se feraient passer pour Binance ou TrustWallet afin d’envoyer des SMS de phishing. Ces SMS apparaissent dans le fil de discussion des messages officiels, comme les codes A2F, puisque les hackers ont utilisé l’usurpation de SMS pour manipuler l’identifiant de l’expéditeur et masquer la véritable source du message.

• Faux transfert d’argent

Un escroc prétend que le destinataire a gagné un prix, et lui demande ensuite ses coordonnées bancaires pour le lui transmettre, ou l’invite à cliquer sur un lien pour retirer son dû.

• Harcèlement

Cette technique consiste à envoyer des messages menaçants ou inappropriés pour intimider la victime, dans l’espoir de lui extorquer de l’argent. Le malfaiteur peut par exemple menacer de bannir le compte de l’utilisateur. Les pirates profitent souvent de votre crainte de perdre vos actifs ; dans cette situation, vous devez rester calme et vérifier l’authenticité du message avant d’agir.

Comment éviter l’usurpation de SMS ?

• Activez votre code anti-phishing : pour renforcer la sécurité et lutter contre ce type d’escroqueries, nous avons étendu l’utilisation du code anti-phishing aux communications par SMS. Une fois configuré, tout SMS réellement envoyé par Binance inclura votre code personnalisé (que vous seul connaissez), qui confirmera la légitimité du message. Il peut être facilement configuré via l’application ou le site Web :
• Sur l’application : [Profil] - [Infos. du compte] - [Sécurité] - [Code anti-phishing].
• Sur le site Web : [Profil] - [Compte] - [Sécurité] - [Sécurité avancée].

• Vérification autonome : les escrocs envoient souvent de faux SMS avertissant d’une connexion, d’un retrait ou d’une association à l’API sur votre compte. Lorsque vous recevez un SMS inattendu, vous devez systématiquement prendre les mesures suivantes :
  • Consultez votre journal de sécurité
    • Dans l’application : [Profil] - [Infos. du compte] - [Sécurité] - [Activités du compte].
    • Sur le site Web : [Profil] - [Compte] - [Sécurité] - [Appareils et activités].
  • Remarque : la réception d’un faux SMS/appel ne signifie pas forcément que votre compte Binance a été piraté.
• Vérification automatisée : chargez le SMS dans le chatbot pour savoir rapidement s’il est authentique ou non.

• Vérifiez l’origine du message : vérifiez toujours la source de vos messages entrants avant d’y répondre, et méfiez-vous de tout message non sollicité ou semblant suspect. En cas de doute, vous pouvez contacter le service client de Binance pour vérifier l’identité de l’expéditeur.
• Activez l’authentification à deux facteurs (A2F) et les clés d’accès : l’A2F rajoute une couche de sécurité à vos comptes et complique l’accès des pirates qui ont recours à l’usurpation de SMS. Les clés d’accès (biométriques) empêchent quant à elles les attaquants de contourner cette étape. Consultez Comment créer une clé d’accès pour mon compte Binance ? pour en savoir plus.
• Ne divulguez pas de renseignements personnels : ne divulguez jamais d’information sensible (par exemple, des mots de passe, des numéros de carte bancaire et de sécurité sociale) par SMS, en particulier à des contacts non vérifiés.
• Ne cliquez sur aucun lien suspect : ne cliquez pas sur les liens contenus dans des SMS sans d’abord en vérifier la légitimité. Ces liens peuvent mener à des sites de phishing qui tenteront de dérober vos identifiants de connexion ou d’installer des logiciels malveillants sur votre appareil. Assurez-vous d’utiliser le site Web officiel de l’entreprise, et si vous doutez du caractère officiel d’un lien, d’une adresse e-mail, d’un numéro de téléphone, d’un identifiant WeChat, d’un compte X ou d’un identifiant Telegram, vérifiez-le sur Binance Verify.

Voici une liste de sites Web de phishing suspects qui empruntent l’identité de Binance.

Exemples d’usurpation d’identité par SMS

1. Fausse notification de mise à niveau du compte

Un utilisateur de Binance a reçu un SMS soi-disant expédié par « Binance » qui l’invite à mettre son compte à niveau pour continuer à utiliser le service de l’entreprise.

Le pirate a utilisé un logiciel spécialisé pour manipuler l’identifiant de l’expéditeur du SMS et faire croire au destinataire qu’il provient réellement de Binance. Comme le faux SMS se trouvait dans le même fil de discussion que les messages officiels contenant les codes d’A2F, l’utilisateur a supposé qu’il était authentique et s’est connecté au site Web de phishing, où le pirate a volé les identifiants de son compte.

2. Fausse demande d’annulation de retrait

Un autre utilisateur de Binance a reçu un faux SMS confirmant un retrait. Croyant que ce message était légitime, le destinataire s’est connecté à son compte en passant par le site Web de phishing pour annuler la prétendue demande de retrait.

Une fois les identifiants de l’utilisateur obtenus, le pirate a initié une vraie demande de retrait depuis son compte et a incité sa victime à saisir le code A2F reçu sur le site Web de phishing. Après que l’utilisateur a saisi ce code, le pirate a effectivement retiré ses actifs.

Leçons à tirer de cet exemple :

• L’utilisateur n’a pas vérifié l’URL du site Web : faites-le systématiquement avec Binance Verify avant de vous y rendre.
• L’utilisateur pensait que le code A2F servait à annuler les demandes de retrait ; cependant, s’il avait lu attentivement le message, il aurait remarqué que le code A2F était destiné à confirmer une demande de retrait. Consultez attentivement tout message contenant un code A2F que vous recevez, et assurez-vous que son usage prévu correspond avant de le saisir.

3. Fausse vérification de compte

Plusieurs utilisateurs de Binance ont reçu un SMS contenant un lien de vérification ou de mise à niveau de leur compte, qui était en réalité une tentative de phishing visant à dérober leurs identifiants.

4. Demande d’appel ou de déclaration personnelle

Le malfaiteur peut prétendre qu’une nouvelle connexion à votre compte a été détectée et vous demander de rappeler un numéro de téléphone suspect, ou de divulguer des données personnelles en accédant à une URL suspecte.

N’appelez pas et ne cliquez sur aucune des sources transmises, et utilisez Binance Verify pour vérifier la légitimité de toutes les communications de Binance. Consultez l’article Qu’est-ce que Binance Verify ? pour en savoir plus sur ce service.

Si vous remarquez un cas de phishing dont l’auteur usurpe l’identité de Binance, signalez immédiatement la situation à notre équipe.