Le smishing touche chaque année des centaines de milliers de Français. En 2023, 411 700 victimes ont été recensées en France selon le service statistique ministériel de la sécurité intérieure. Deux mots en particulier trahissent ces SMS frauduleux : « com » et « track ». Les repérer suffit souvent à éviter le pire.
Les arnaques par SMS ne sont plus l'apanage de quelques pirates isolés. Elles constituent aujourd'hui une industrie organisée, capable d'usurper l'identité de grandes entreprises, d'opérateurs téléphoniques, de services de livraison ou d'établissements bancaires. Le smishing (contraction de SMS et phishing) exploite la confiance que les utilisateurs accordent à leur téléphone portable, un canal perçu comme plus personnel et donc moins suspect que l'e-mail.
Et pourtant, les signaux d'alerte existent. Deux mots, en apparence anodins, reviennent systématiquement dans les messages frauduleux analysés par des organismes comme Spamhaus ou dénoncés par UFC-Que Choisir. Les connaître, c'est déjà se protéger.
Les deux mots qui signalent un SMS frauduleux
« Com » : le lien trompeur au cœur du piège
Le premier mot à identifier est « com ». Sa présence dans un SMS ne signifie pas automatiquement fraude, mais dans un contexte ambigu, elle doit déclencher une vigilance immédiate. Les cybercriminels construisent des liens en .com qui imitent visuellement les adresses officielles de grandes enseignes ou d'administrations. Un lien du type livraison-colis-suivi.com ou banque-securite-client.com peut paraître crédible au premier coup d'œil, surtout sur un petit écran de smartphone où l'URL complète reste souvent tronquée.
Ces adresses redirigent vers des pages de phishing, des interfaces conçues pour reproduire fidèlement le design d'un site légitime. Une fois sur ces fausses pages, l'utilisateur est invité à saisir ses identifiants bancaires, ses codes d'accès ou d'autres données personnelles. Les informations collectées alimentent ensuite des bases de données revendues sur le marché noir ou utilisées directement pour des fraudes financières.
« Track » : l'exploitation du suivi de colis
Le second mot est « track ». Il exploite une habitude très répandue : le suivi de livraison. Avec l'essor du commerce en ligne, recevoir un SMS indiquant un problème de livraison ou demandant de confirmer une adresse est devenu banal. Les fraudeurs l'ont bien compris. Un message contenant un lien avec le mot « track » joue sur cette familiarité pour pousser la victime à cliquer sans réfléchir.
Le scénario est souvent identique : le SMS annonce un colis bloqué, des frais de douane à régler, ou une adresse à confirmer en urgence. Le lien proposé mène vers une fausse interface de transporteur (La Poste, Colissimo, DHL, etc.) qui réclame des données de carte bancaire pour débloquer la situation. Résultat : les coordonnées financières de la victime sont captées en quelques secondes, sans qu'elle ait conscience d'avoir été piégée.
victimes de smishing recensées en France en 2023
Les autres signaux d'alerte à repérer dans un SMS suspect
Identifier « com » et « track » est un premier réflexe utile, mais le smishing s'appuie sur un arsenal plus large de techniques de manipulation. Plusieurs signaux doivent alerter dès la lecture d'un message.
Les numéros expéditeurs débutant par 06 ou 07 sont fréquemment utilisés par les cybercriminels pour se faire passer pour des entreprises. Les sociétés légitimes communiquent généralement via des shortcodes (numéros courts à 5 chiffres) ou des numéros d'entreprise identifiables. Un SMS d'une banque ou d'un service de livraison arrivant depuis un numéro de téléphone mobile classique constitue un signal fort d'usurpation.
Les formulations alarmistes constituent un autre marqueur typique. Les messages frauduleux jouent sur l'urgence : menace de blocage de compte, offre valable seulement quelques heures, gain exceptionnel à réclamer immédiatement. Cette pression temporelle vise à court-circuiter le raisonnement de la victime. À cela s'ajoutent souvent des erreurs de syntaxe, des caractères inhabituels ou des tournures maladroites qui trahissent une rédaction automatisée ou traduite.
Un SMS vous demandant de réinitialiser un mot de passe, de payer des frais imprévus ou de communiquer des codes d’accès est presque toujours frauduleux. Aucun organisme sérieux ne sollicite ces informations par SMS.
Les thématiques les plus exploitées restent le suivi de colis et les incidents bancaires, deux contextes dans lesquels les victimes sont naturellement portées à agir vite. Tout automobiliste habitué à gérer ses documents en ligne, comme les infractions routières ou le suivi de dossiers administratifs, est susceptible de recevoir ce type de message ciblé.
Ce que risquent concrètement les victimes
Les conséquences d'un clic malheureux sur un lien de smishing vont bien au-delà d'un simple désagrément. En accédant à une fausse page, la victime expose l'ensemble de ses données personnelles : identifiants bancaires, codes d'accès, numéros de carte, parfois même des documents d'identité si la fausse interface les réclame sous prétexte de vérification.
Ces données ne servent pas uniquement à une fraude immédiate. Elles sont souvent revendues sur le marché noir numérique à d'autres groupes criminels, qui les utilisent pour de nouvelles escroqueries, parfois des mois plus tard. La victime peut ainsi se retrouver ciblée par des arnaques successives, sans comprendre d'où provient la fuite initiale. Certaines données alimentent également des tentatives d'usurpation d'identité complète, avec des conséquences administratives et financières durables.
Les personnes âgées ou moins familières avec les outils numériques sont particulièrement exposées. Mais les actifs connectés, habitués à gérer rapidement leurs notifications depuis leur smartphone, ne sont pas en reste. La rapidité d'exécution est précisément ce que les fraudeurs cherchent à provoquer. À titre de comparaison, d'autres formes d'arnaques financières ciblent des publics vulnérables via des canaux tout aussi variés, comme le montrent certaines situations d'abus liés au patrimoine familial.
Les bons réflexes pour ne pas tomber dans le piège du smishing
Supprimer, ne pas cliquer, signaler
La première action à adopter reste la plus simple : supprimer le SMS immédiatement dès que l'un des deux mots suspects apparaît dans le message ou dans le lien proposé. Ne pas cliquer, ne pas répondre, ne pas transférer. Toute interaction avec le message, même pour signaler un numéro comme indésirable via l'interface de l'opérateur, doit se faire sans jamais ouvrir le lien.
La gendarmerie nationale et les autorités de sécurité recommandent de signaler les SMS frauduleux via le numéro national dédié à cet effet. Ce signalement contribue à alimenter les bases de données permettant de bloquer les numéros et domaines malveillants.
Vérifier et mettre à jour ses outils
Avant toute action suite à la réception d'un SMS évoquant un colis, un incident bancaire ou un service en ligne, la bonne pratique consiste à se rendre directement sur le site officiel de l'organisme concerné, en tapant l'adresse manuellement dans le navigateur plutôt qu'en cliquant sur le lien fourni. Si un problème réel existe, il sera visible depuis l'espace client habituel.
Mettre à jour régulièrement l'application de messagerie du téléphone permet également de bénéficier des filtres anti-spam les plus récents. Certains opérateurs proposent des outils de détection intégrés qui signalent automatiquement les messages suspects. Tout comme certaines applications GPS pour automobilistes se distinguent par leurs mises à jour fréquentes pour rester efficaces, les outils de sécurité mobile doivent être maintenus à jour pour conserver leur pertinence.
Si un SMS contient les mots « com » ou « track » dans un contexte ambigu, supprimez-le sans cliquer. Vérifiez toujours l’information directement sur le site officiel de l’organisme supposément expéditeur. Ne transmettez jamais de données sensibles en réponse à un SMS.
Le hameçonnage mobile progresse chaque année en France. Avec 411 700 victimes enregistrées en 2023, le smishing n'est plus une menace marginale. Deux mots dans un SMS peuvent sembler insignifiants. Mais derrière « com » et « track » se cachent des mécanismes rodés, conçus pour extraire en quelques secondes des informations que les victimes mettront parfois des années à protéger à nouveau. La suppression immédiate du message reste, à ce jour, la réponse la plus efficace.
