Semaine 5: premier résultat de recherche trompeur et arnaque dissimulée derrière un numéro gratuit

08.02.2022 - La semaine dernière, le NCSC a reçu un grand nombre d'annonces. Les signalements relatifs à des courriels de menace envoyés au nom d'autorités de poursuite pénale sont toujours les plus fréquents. Deux annonces illustrent l'importance de s'assurer que l'on se trouve sur le bon site web. Un autre cas rapporte que des auteurs d'arnaques au faux support technique ont essayé d'obtenir plus de crédibilité au moyen d'un numéro gratuit.

Le premier résultat Google n'est pas toujours celui attendu

Tout le monde a déjà fait une faute de frappe en saisissant trop rapidement l'adresse d'un site Internet dans son navigateur. Dans de nombreux cas, étonnamment, une page web s'ouvre malgré tout. Certains propriétaires de sites spéculent en effet sur les erreurs de frappe et gagnent de l'argent avec la publicité affichée sur les pages consultées par erreur. Il peut parfois arriver que ces adresses mènent vers des sites malveillants, qui servent par exemple à faire de l'hameçonnage.

Noms de domaine misant sur les fautes de frappe lors de la saisie de l'adresse d'une plateforme de commerce en ligne
Noms de domaine misant sur les fautes de frappe lors de la saisie de l'adresse d'une plateforme de commerce en ligne

De nos jours, les utilisateurs n'accèdent quasiment plus aux sites web en tapant directement dans la barre d'adresse, mais passent plutôt par un moteur de recherche. Ce faisant, les utilisateurs comptent sur le fait que le premier résultat affiché dans la liste soit le bon. Les escrocs l'ont également remarqué et ont donc enregistré de nombreux noms de domaine similaires à des sites web existants. Ils ont ensuite recours à diverses techniques d'optimisation pour les moteurs de recherche (search engine optimization [SEO]) afin de faire apparaître leurs sites web le plus haut possible dans les listes de résultats. Un incident signalé au NCSC montre que cette fraude peut coûter cher à ceux qui ne font pas suffisamment preuve de vigilance. La victime a saisi dans son moteur de recherche le nom de la plateforme en ligne qu'elle utilise habituellement pour négocier des cryptomonnaies. Elle voulait vérifier rapidement quelque chose sur son compte et n'a pas remarqué que le premier résultat de la recherche n'était pas la page web originale, mais un site frauduleux dont l'apparence et le nom de domaine étaient similaires. Il a donc entré son identifiant, son mot de passe et le deuxième facteur. Une fois les données récupérées par les escrocs, ceux-ci se sont connectés sans attendre sur le véritable site web et ont vidé le compte.

  • Vérifiez toujours la barre d'adresse de votre navigateur pour vous assurer que vous vous trouvez sur la bonne page, tout particulièrement si vous devez fournir un identifiant et un mot de passe.
  • Ne saisissez jamais vos données de connexion lorsque vous êtes en situation de stress.
  • Sur les moteurs de recherche, des publicités correspondant à votre recherche précèdent souvent les résultats à proprement parler. Elles sont présentées comme des «annonces» et sont financées pour apparaître en premier dans les résultats de recherche. Comme dans le cas décrit ci-dessus, les annonces Google peuvent également être utilisées à des fins d'hameçonnage.

KeePass ou pas KeePass, telle est la question

Pour mieux sécuriser l'accès à nos différents comptes en ligne, il convient d'utiliser un mot de passe différent pour chaque service. Si le mot de passe d'un service est divulgué pour une raison quelconque, les accès aux autres comptes sont toujours protégés. Les gestionnaires de mots de passe aident à garder une vue d'ensemble sur la multitude de mots de passe nécessaires de nos jours. Le préposé à la protection des données du canton de Zurich a établi un document à ce sujet:
https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_passwortmanager.pdf 
(disponible en allemand)

Comme ces outils servent à stocker l'ensemble de nos mots de passe, il est primordial qu'ils soient fiables et sécurisés. Une annonce reçue la semaine dernière montre à quel point il est important de faire attention lors du téléchargement d'un tel programme et de s'assurer qu'on utilise bien la page officielle. Le nom du site officiel du gestionnaire de mots de passe KeePass est «keepass.info». Le NCSC a été informé que le logiciel KeePass est également proposé sur un site au nom identique, mais accompagné de l'extension «.de», qui correspond à l'Allemagne. L'examen du fichier en question a toutefois montré que la grande majorité des antivirus considéraient que ce programme était malveillant.

Le fichier est classé comme un maliciel par 46 antivirus (source virustotal.com)
Le fichier est classé comme un maliciel par 46 antivirus (source virustotal.com)

Le programme proposé semble être ce qu'on appelle un «adware», c'est-à-dire qu'il analyse le comportement de l'utilisateur et affiche ensuite de la publicité en conséquence. Ce n'est pas exactement ce qu'on attend d'un gestionnaire de mots de passe sécurisé.

  • Renseignez-vous sur la fiabilité du fournisseur avant d'installer un programme. Servez-vous pour cela des avis des clients et de revues spécialisées.
  • Téléchargez des logiciels uniquement sur des sites Internet officiels.

À numéro gratuit, facture salée

Cela fait des années que l'existence des arnaques téléphoniques au faux support technique est connue. Des escrocs se font passer pour le support technique de Microsoft et tentent de faire croire à leur interlocuteur qu'un logiciel malveillant s'est logé dans son ordinateur. La victime est incitée à télécharger un programme d'accès à distance et à donner aux «prestataires» les commandes de son ordinateur. Les escrocs lui présentent finalement une facture et lui demandent ses données de carte de crédit. Dans de nombreux cas, on ne sait pas ce que les pirates font sur l'ordinateur.

Dans une variante de ce type de fraude, les malfaiteurs n'appellent pas eux-mêmes leurs cibles, mais font apparaître soudainement lors de la navigation des messages qui avertissent de la présence d'un maliciel et du blocage de l'ordinateur, et qui poussent ainsi l'utilisateur à appeler un numéro de téléphone. La plupart du temps, c'est un numéro de téléphone suisse qui s'affiche. Dans un cas récent, les pirates ont même utilisé un numéro gratuit de type 0800. Cela n'avait encore jamais été observé. La motivation des pirates est claire: les numéros 0800 paraissent fiables. Une entreprise qui prend en charge les frais de téléphone ne peut raisonnablement pas être frauduleuse. Le numéro a depuis été bloqué.

Faux écran de verrouillage invitant à appeler un numéro 0800
Faux écran de verrouillage invitant à appeler un numéro 0800
  • Interrompez immédiatement ce type d'appel téléphonique. Ni Microsoft ni aucun autre fournisseur de logiciels ne passe d'appels d'assistance non annoncés ou non sollicités pour résoudre des problèmes informatiques.
  • N'accordez à personne un accès à distance à votre ordinateur.
  • Si vous avez accordé un accès à distance, il se peut que votre ordinateur ait été infecté. Désinstallez en premier lieu le programme servant au contrôle à distance.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 08.02.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2022/wochenrueckblick_5.html