LEGALAUDIT
Cyber Coach

Phishing

Smishing : faux SMS de poste, impots ou banque

Messages courts qui poussent à cliquer un lien 'sécurité compte'. Lisez l'expéditeur, vrai domaine et canal officiel.

7 min de lectureDebutant

Drapeaux rouges à reconnaître

  • Expéditeur alphanumerique identique au réel mais contenu inhabituel
  • Lien raccourci ou domaine très long avec sous-domaines suspects
  • Demande de mettre à jour les données, debloquer le compte ou retirer un colis
  • Petit montant (1-3 EUR) pour 'douane' ou 'livraison'
  • Delai 24h ou 'dernier avertissement'
  • Numéro d'envoi international ou variable pour SMS prétendant venir de la banque
  • Erreurs subtiles : doubles espaces, accents manquants, traduction automatique

Quoi faire maintenant

  • Ne cliquez pas : ouvrez l'app officielle ou tapez le domaine manuellement
  • Transferez le SMS au numéro court anti-spam national et supprimez-le
  • Vérifiez l'envoi directement sur le site officiel du transporteur
  • Si vous avez clique : fermez le navigateur, contrôlez le compte, changez le mot de passe banque
  • Conservez une capture avec date et heure pour signalement

Cas réel

Campagne 'colis en attente', octobre 2025

En trois semaines, les CERT nationaux ont trace plus de 280 000 SMS 'Poste : votre colis est en attente, payez 1,99 EUR pour relivraison' avec liens vers post-redelivery.shop. L'expéditeur alphanumerique était identique au legitime.

La landing demandait nom, adresse, puis données complètes de carte avec CVV et OTP. Un jeune de 23 ans a perdu 3 400 EUR en neuf minutes ; les criminels ont ajoute la carte à un wallet mobile et vide le compte par micro-paiements sans contact.

Mythos a analysé le lien : domaine enregistré 48h plus tôt chez un registrar russe, certificat Let's Encrypt émis le même jour, JavaScript identique à 14 clonés signalés. Le dossier a permis le takedown et l'identification du cluster.

Ce que Mythos peut faire sur ce cas

  • Analyse du lien avec expansion des redirections et empreinte de la landing
  • WHOIS, age du domaine et reputation contre CERT/PhishTank
  • Classification de la marquéé et similarite visuelle avec le site original
  • Extraction des champs demandes (carte, OTP, données personnelles)
  • Suivi de cluster de domaines liés (mêmes JS/hosting/pattern)

Prochaines étapes

Analyser le SMS avec MythosDemander l'aide de Mythos pour la plainte