Cinq cyberarnaques à surveiller de près à l'approche des fêtes de Noël

Noël arrive à grand pas et la frénésie des achats de cadeaux a déjà commencé. Mais quelles sont les cyberarnaques dont il faut se méfier le plus à cette période et comment les éviter ?

Alors que les boîtes mail sont inondées de promotions, les cybercriminels opportunistes profitent de cette période pour intensifier leurs cyberattaques et tenter d’escroquer les consommateurs et les entreprises. 

Noël, une période propice aux cyberattaques visant les consommateurs

Lorsque le COVID-19 a fait son apparition début 2020, les achats en ligne se sont multipliés. L'enquête 2022 de Deloitte sur le retail pendant la période de fin d’année a révélé que le recours au e-commerce perdure. 66 % des retailers s’attendent même à ce que les achats en ligne augmentent encore cette année. Une tendance qui n’a pas échappé aux cybercriminels, qui espèrent que la course aux meilleures affaires, incitera les consommateurs peu méfiants à se laisser berner. Voici les cinq arnaques les plus courantes :

1. Fausses publicités et liens malveillants

Avant Noël, les escrocs diffusent de fausses annonces affichant des articles haut de gamme, habituellement inabordables, à des prix très attractifs. Pour inciter les consommateurs à cliquer, les hackers utilisent souvent une formulation à caractère urgent, promettant des remises alléchantes jusqu'à épuisement des stocks ou pour une durée limitée. Afin d’augmenter encore leurs chances, ils utilisent les mêmes stratégies marketing que les publicités légitimes pour tromper les consommateurs, qui dans la précipitation, ont tendance à baisser leur garde. Dès qu’une victime peu méfiante clique sur le lien, elle est dirigée vers un site de vente frauduleux dont le code contient des dispositifs d'identification des cartes de crédit.

Pour éviter de se faire duper, il faut :

- Effectuer une vérification rapide du produit mis en avant. Si une offre parait trop belle pour être vraie, mieux vaut consulter le site officiel de la marque, en saisissant manuellement son adresse dans le navigateur, et vérifier que les mêmes promotions y figurent.

- Ne pas se fier à la qualité des photos affichées dans l'annonce. Certes les images pixélisées peuvent être un signal d'alarme, mais les escrocs volent également les photos authentiques des sites officiels des marques.

- Vérifier les incohérences d’orthographe et de grammaire si un site e-commerce semble douteux. Des erreurs de formulation, des mauvaises traductions ou une syntaxe inhabituelle doivent alerter. Il faut également s’assurer que le site en question propose un service client et des politiques de livraison, de retour et de confidentialité classiques.

- Vérifier la fiabilité d’un site en s’assurant qu’il utilise le protocole de connexion sécurisé HTTPS au début de son URL, identifié par un petit cadenas fermé (ou une clé ininterrompue). Cet icone indique que les données transmises sur le site sont bien cryptées.

2. Fausses promotions et applications de codes de réduction

Pour obtenir des informations sensibles, les cybercriminels vont jusqu’à créer des applications frauduleuses qui prétendent regrouper les codes de réduction de marques populaires. Ces fausses applications sont généralement distribuées via des dépôts d'applications non officiels afin que les utilisateurs téléchargent des malwares sur leurs appareils. Les hackers peuvent ensuite voler des informations de paiement, des identifiants de réseaux sociaux ou de comptes bancaires en ligne.

Pour vérifier la réputation d'une application ou d'un fichier, il faut :

- Vérifier les avis de la communauté et son ancienneté. Les applications frauduleuses ont généralement moins de quelques mois.

- Se renseigner sur le développeur de l'application. S'il est compliqué de l’identifier et de savoir où il travaille, mieux vaut passer son chemin.

- Utiliser des sites publics de vérification de malwares comme VirustTotal ou une solution de sécurité.

3. Escroqueries par e-mail et campagnes de phishing

La période des fêtes de fin d'année est riche en escroqueries par hameçonnage et il suffit d’un objet d’email percutant pour faire mouche. Certains hackers imitent des emails légitimes de marques connues et attirent leur cible avec des prix attractifs. En cliquant sur les liens, les consommateurs sont dirigés vers des sites Web malveillants prêts à diffuser des malwares ou à hameçonner des identifiants de connexion. Outre les offres spéciales, les offres groupées et les codes promo, les clients peuvent également recevoir des factures frauduleuses pour des articles qu'ils n'ont pas achetés. Ces emails contiennent des liens trompeurs permettant de "signaler un problème" ou de joindre le service client. Les hackers espèrent que les clients se laisseront piéger et cliqueront pour contester la facture.

Pour se protéger contre les attaques par phishing, il faut :

- Utiliser un logiciel de sécurité fiable afin de bloquer les malwares.

- S’assurer que le système d'exploitation de son appareil est à jour et que les comptes sont protégés par une authentification multifactorielle.

- Inspecter les adresses internet des emails douteux avant de cliquer dessus. Les escrocs utilisent souvent des URL qui ressemblent à des vraies, remplaçant les lettres et les espaces par des chiffres et des signes de ponctuation ou utilisant de noms de domaines suspects.

- Vérifier que les paramètres du navigateur sont configurés pour afficher les adresses complètes des sites web par défaut et que les paramètres de confidentialité et de sécurité sont tous activés.

4. Escroqueries caritatives

A cette époque de l’année, les élans de solidarités se multiplient. Les cybercriminels profitent de cette générosité pour usurper les numéros de téléphone d'associations caritatives ou humanitaires légitimes et se faire passer pour des bénévoles ou représentants à la recherche de dons. Certains cyber-escrocs peuvent envoyer des SMS, cibler des personnes par le biais des réseaux sociaux ou mettre en place un système de numérotation automatique informatisé pour diffuser des messages préenregistrés.

Pour donner à une association en toute sécurité, il faut :

- Se méfier de toute sollicitation, qu’elle soit en ligne, par téléphone ou même en personne. De manière générale, le moyen le plus sûr de faire un don est de contacter l’association de manière proactive ou de le faire via son site Web officiel.

- Vérifier que le site Web de l’association dispose de systèmes de paiements ultra-sécurisés et privilégier toujours le paiement par carte de crédit plutôt que de fournir des informations directes sur son compte.

5. Escroqueries à l’emploi saisonnier

Lors de cette période intense, les entreprises ont souvent besoin d’intérimaires pour maintenir leur activité. Mais certaines offres d’emplois n’amènent pas à de vrais recrutements et les candidats qui pensaient postuler à un travail saisonnier découvrent finalement qu'ils ont donné des informations personnelles à un fraudeur. Les escrocs, qui se font passer pour des responsables des ressources humaines, des recruteurs et même des cadres supérieurs d'entreprises existantes, publient des offres d'emploi par email ou sur les réseaux sociaux. En général, ce type d’offre d'emploi s’accompagne d’un formulaire demandant au candidat des données confidentielles telles que l'adresse, le numéro de sécurité sociale, de compte ou de carte bancaire et autres informations personnelles identifiables (PII). Les postulants peuvent également être dirigés vers des sites frauduleux qui recherchent des adresses électroniques et des mots de passe, voire leur demandent de payer d'avance les fournitures et les frais de formation.

Pour ne pas tomber dans le piège, il faut :

- Se renseigner sur l'entreprise, examiner la page « Carrières » de son site Web et les réseaux associés, pour trouver l'offre d'emploi officielle et s’assurer que les détails du poste sont identiques.

- Se méfier des offres trop attractives, aux exigences vagues et qui offrent une rémunération anormalement élevée. Recevoir une offre d'emploi immédiatement après avoir postulé et sans entretien est un autre signal d'alarme courant.

- Ne jamais transmettre d’informations personnelles à un recruteur ou un représentant des RH avant de l’avoir rencontré en personne ou par vidéo.

Cybersécurité : Les entreprises sont aussi concernées

A l’approche de Noël, les consommateurs ne sont pas les seuls à être confrontés aux attaques. Les entreprises doivent aussi se protéger, ainsi que leurs clients, contre un nombre croissant de malwares, d’extorsions de données ou d’attaques par déni de service distribué (DDoS). Face à l’explosion du nombre de transactions numériques, la mise en place de meilleures procédures de cybersécurité peut contribuer à les protéger contre les escroqueries. Pour cela les entreprises doivent :

- Etablir une visibilité complète et mettre en place une sécurité optimale : Les consommateurs pouvant faire leurs achats en ligne 24h/24 et 7j/7, une activité malveillante peut se produire à n'importe quelle heure de la journée. Pour cette raison, les entreprises doivent disposer d'une protection H24 pour identifier les comportements malveillants en temps réel, avant qu'ils ne se propagent latéralement.

- Effectuer des audits pré-saisonniers. Réaliser des vérifications de sécurité approfondies, avant la ruée pour les achats de Noël, pour valider tout changement de codage récent, les mises à jour SaaS et le code tiers, notamment sur les pages de paiement. Il est important qu’elles s’assurent également que les zones sensibles de leur réseau sont correctement protégées et qu’elles minimisent l'exposition des données et des actifs critiques.

- Assurer et maintenir des contrôles de conformité – Celles qui perçoivent des paiements par carte de crédit doivent être en conformité avec les exigences du Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI CSS).

Les fêtes de fin d’année font parfois ressortir le pire chez les individus, et les cybercriminels opportunistes en font partis. En exploitant les habitudes d'une nouvelle vague de consommateurs en ligne, ils ont fait de la hausse annuelle des ventes et des dons numériques une priorité saisonnière. Consommateurs et entreprises doivent donc être encore plus vigilants pendant cette période.