ⶠObjectif du module smishing
Le module Smishing couvre le canal SMS du phishing : il vous permet de tester vos collaborateurs face à des attaques simulées par SMS, en complément du phishing par email. L'infrastructure utilisée est pré-validée par notre fournisseur SMS (SMSMode) et les opérateurs télécoms, ce qui évite tout blocage ou rejet en cours de campagne.
Tester ses Ă©quipes uniquement sur l'email laisse une partie de la surface d'attaque non couverte : les arnaques par SMS (faux codes MFA, fausses livraisons, fraude bancaire, mises Ă jour de paie) font partie du quotidien des attaquants. Le smishing comble cet angle mort.
đĄ Bon Ă savoir : Lorsqu'une attaque est envoyĂ©e Ă un collaborateur, Riot priorise son numĂ©ro de tĂ©lĂ©phone professionnel en premier, puis son numĂ©ro personnel si l'option a Ă©tĂ© activĂ©e et qu'il l'a partagĂ©.
ⷠPourquoi inclure le smishing à votre programme de cybersécurité ?
Couverture d'un second canal d'attaque : les SMS frauduleux sont une réalité quotidienne. Un programme de phishing limité à l'email laisse toute la surface SMS non testée.
Infrastructure pré-validée par les opérateurs : chaque campagne est annoncée en amont à notre fournisseur SMS et aux opérateurs concernés. Pas de plainte télécom, pas de numéro blacklisté, pas de rejet surprise.
Ciblage validé par pays : seuls les numéros au format international E.164 dans un pays supporté sont des cibles valides. Les numéros mal formatés ou non supportés sont automatiquement filtrés à la construction de l'audience.
đ Bon Ă savoir : Le smishing affiche en gĂ©nĂ©ral un taux de compromission plus bas que le phishing email. C'est un rĂ©sultat attendu : les utilisateurs sont plus mĂ©fiants vis-Ă -vis des SMS, le lien est visible en entier (pas de "hover" possible pour vĂ©rifier l'URL) et le canal offre moins de leviers crĂ©atifs que l'email. Ce n'est pas un dĂ©faut produit â il est utile de le savoir avant de lancer votre une campagne de smishing.
➠Comment se déroule une attaque de smishing ?
Filtrage de l'audience : seuls les collaborateurs dont le numéro est au format E.164 et dans un pays supporté sont retenus. Les autres sont filtrés automatiquement.
Délai de 48h de pré-notification télécom : Riot pré-notifie manuellement SMSMode (et les opérateurs en aval) pour que la campagne ne soit pas identifiée comme une fraude. Les campagnes sont donc programmées au minimum 48h à l'avance.
Envoi du SMS : le SMS est envoyĂ© via SMSMode avec le Sender ID configurĂ© pour la campagne (numĂ©ro court par dĂ©faut, ou nom personnalisĂ© â voir section âș).
Clic et page de phishing : le collaborateur clique sur le lien dans le SMS et arrive sur la mĂȘme page de phishing que pour une campagne email. Les Ă©vĂšnements habituels sont enregistrĂ©s (ouverture de la page, soumission d'identifiants, collaborateur trompĂ©).
Annulation ("voided") : si l'opĂ©rateur rejette le SMS ou si le message est indĂ©livrable aprĂšs la fenĂȘtre de retry (tĂ©lĂ©phone Ă©teint, opĂ©rateur injoignable, etc.), l'attaque est annulĂ©e et exclue des statistiques.
âč Pays supportĂ©s et format des numĂ©ros
Le smishing est aujourd'hui disponible dans les pays suivants :
đŠđč Autriche â exemple : +43 XXX XXX XXXX
đ§đȘ Belgique â exemple : +32 XXX XX XX XX
â
â ïž Cas particulier â Belgique : L'opĂ©rateur local impose un dĂ©lai d'attente supplĂ©mentaire de 3 jours avant l'envoi. Une campagne ciblant la Belgique reste donc en attente 3 jours en plus du dĂ©lai standard de 48h.
âđ©đ° Danemark â exemple : +45 XX XX XX XX
đ«đź Finlande â exemple : +358 XX XXX XXXX
đ«đ· France â exemple : +33 X XX XX XX XX
đ©đȘ Allemagne â exemple : +49 XXX XXXX XXXX
đźđž Islande â exemple : +354 XXX XXXX
đźđč Italie â exemple : +39 XXX XXX XXXX
â
â ïž Cas particulier â Italie : Les anciens numĂ©ros mobiles italiens Ă 9 chiffres (sans extension, antĂ©rieurs au standard E.164) ne sont pas supportĂ©s. Exemple :+39 337 123456est rejetĂ©.
âđ±đș Luxembourg â exemple : +352 XXX XXX XXX
đłđ± Pays-Bas â exemple : +31 X XXXXXXXX
đłđŽ NorvĂšge â exemple : +47 XXX XX XXX
đ”đ± Pologne â exemple : +48 XXX XXX XXX
đ”đč Portugal â exemple : +351 XXX XXX XXX
đ·đŽ Roumanie â exemple : +40 XXX XXX XXX
đȘđž Espagne â exemple : +34 XXX XXX XXX
đžđȘ SuĂšde â exemple : +46 XX XXX XX XX
đšđ Suisse â exemple : +41 XX XXX XX XX
Les DOM/TOM français sont également supportés (traités comme une extension de la France) : Réunion, Guadeloupe, Martinique, Guyane, Nouvelle-Calédonie, Polynésie française.
CĂŽtĂ© format, seul le format international E.164 (+XX...) est acceptĂ©. Tous les sĂ©parateurs ci-dessous sont valides (exemple France, mĂȘme logique pour les autres pays) :
+33687097493+33-7-12-34-56-78+33.6.12.34.56.78+33(0)612345678(+33)612345678
đĄ Un collaborateur n'apparaĂźt pas dans l'audience smishing alors qu'il a un numĂ©ro de mobile ? VĂ©rifiez les 3 points suivants :
Son numĂ©ro n'est pas dans un format E.164 valide â corrigez le format, le collaborateur rĂ©apparaĂźt dans l'audience.
Le domaine email du collaborateur n'est pas vérifié dans le workspace.
Son pays n'est pas dans la liste des pays supportés.
âș Sender ID : qui apparaĂźt comme expĂ©diteur ?
Vous avez deux options pour le Sender ID (l'identité affichée comme expéditeur du SMS) :
1. NumĂ©ro court (par dĂ©faut, principalement đ«đ·)
Par dĂ©faut, le Sender ID est un numĂ©ro court. Vous ne pouvez pas en choisir ni en rĂ©server un en particulier : le fournisseur en sĂ©lectionne un alĂ©atoirement au moment de l'envoi (ex. 36084, 38184, 38601, 38079âŠ). Les numĂ©ros courts sont principalement disponibles en France ; en dehors, l'alphanumĂ©rique est le choix par dĂ©faut.
2. Alphanumérique (nom personnalisé)
Vous pouvez choisir un nom comme expĂ©diteur du SMS â utile pour usurper l'identitĂ© d'un service (ex. TicketM). RĂšgles Ă respecter :
3 Ă 11 caractĂšres, lettres et chiffres uniquement
Pas de caractÚres spéciaux
Pas uniquement des chiffres
Pas de termes génériques (ex.
Alert,Appointment)Pas de noms de marques ou termes non autorisés
â» DĂ©lais et limites Ă connaĂźtre
Délai de 48h avant lancement : chaque campagne nécessite une notification manuelle à SMSMode 48h à l'avance pour la pré-validation auprÚs des opérateurs. Une campagne programmée à moins de 48h sera bloquée.
Livraison jusqu'à 48h aprÚs envoi : la plupart des SMS arrivent en moins de 20 secondes, mais si le téléphone est éteint ou si l'opérateur subit une latence, le réseau retente l'envoi pendant un maximum de 48h avant d'annuler l'attaque. L'attaque reste en statut pending dans le Hub jusqu'à livraison ou annulation.
Score plus bas qu'en phishing email (attendu) : voir explication en section â·. Ce n'est pas un problĂšme produit, c'est la rĂ©alitĂ© du canal SMS.
Ă retenir
Le module Smishing teste vos équipes sur le canal SMS, complément indispensable du phishing email.
L'infrastructure est pré-validée par les opérateurs : aucun risque de blacklist ou de rejet surprise cÎté client.
Comptez au moins 48h entre la création d'une campagne et son envoi effectif (+ 3 jours pour la Belgique).
Seuls les numĂ©ros au format E.164 et dans un pays supportĂ© sont Ă©ligibles â le filtrage est automatique.
Un score plus bas qu'en phishing email est normal : à cadrer dÚs le début du programme.