Joyeux Noël pour les cybercriminels ?

Noël est l’une des périodes de l’année les plus réjouissantes pour les cybercriminels. Passage en revue des méthodes les plus sophistiquées employées et des manières de s'en protéger.

Il existe de nombreuses solutions employées par les cybercriminels lors de cette période. Certains tentent de récupérer de l'argent à l'insu des clients en ligne ou encore essayent d'obtenir sournoisement des informations utiles aux paiements.

Les premiers s'attachent à voler les coordonnées bancaires lors du processus d'achat en ligne ainsi que toutes les procédures de connexion par mot de passe. Cette opération est principalement réalisée par un spyware (un logiciel espion) installé sur les ordinateurs infectés ou par de faux sites Web, ayant l'allure de sites parfaitement légitimes, qui vont récupérer habilement tous les codes de connexion lors de la phase d'identification.

Les seconds s'emploient à mettre en place un site de e-commerce spécialement dédié aux achats de Noël qui simplement ne livrent pas les marchandises ou qui fournissent quelque chose n'ayant pas de valeur réelle.

D'autres encore utilisent une méthode d'arnaque appelée BHSEO (Black Hat Search Engine Optimisation) qui vise à réorienter l'internaute vers des sites de e-commerce frauduleux lorsqu'une requête est lancée via un moteur de recherche dont les mots clés se rapportent à des achats connexes. Ils essayent ainsi d'infecter l'ordinateur d'un virus qui servira, par exemple, de tremplin pour diffuser des spams. Nous avons récemment observé des systèmes malveillants d'optimisation pour moteurs de recherche (SEO) qui exploitaient des mots clés se rapportant à la famille royale d'Angleterre ou au conflit entre les deux Corées pour rediriger l'internaute vers des sites d'achats de Noël frauduleux.

Une enquête réalisée récemment en Irlande montre que 76% des e-consommateurs irlandais ont été menacés d'escroqueries et on s'attend à ce que la fréquence de ce genre d'actions s'intensifie à l'approche des fêtes de fin d'année. En outre, ces cybercriminels n'ont aucun scrupule à tenter d'exploiter la faiblesse des gens pour leur extorquer des fonds sous le couvert d'oeuvres de charité, le don en ligne étant souvent employé en cette période. Certains pourraient penser que nous sommes naturellement enclins à forcer le trait. Or, c'est exactement ce qui s'est produit avec les mineurs chiliens et lors de la dernière catastrophe en Haïti.  La crise économique mondiale est, hélas, susceptible d'engendrer d'autres arnaques faisant appel à la générosité en faveur de peuples démunis. 

Nous sommes conscients néanmoins des risques que nous prenons en mettant en lumière ce type d'arnaques qui peut amener à décourager des personnes de bonne foi de vouloir faire oeuvre de charité. Le sens de notre démarche est tout autre. Il s'agit avant tout d'alerter les internautes des dangers de la cybercriminalité qui ne cesse de s'amplifier et de façon sophistiquée et de leur recommander quelques précautions indispensables.

La première, toute simple, est de choisir des organismes reconnus. Il n'existe pas encore en France de sites officiels chargés de lister et de contrôler les organismes recevant des dons, tels que le fait aux États-Unis, la commission fédérale de protection des consommateurs. Quelques associations comme l'AFM (Téléthon) bénéficient d'une certification du bureau Veritas, mais celle-ci a seulement comme objet d'auditer les comptes et le bon usage des dons.  Malgré tout les organismes et sites de e-commerce répertoriés en France et dont la procédure de paiement en ligne passe par une banque française, sont facilement identifiables et offrent donc des garanties suffisantes.

Comment limiter les risques et se prémunir :

- Lors d'une recherche de cadeaux en ligne, il faut vérifier vers quel site vous  êtes dirigés. Il est toujours plus sûr de saisir l'adresse du site d'achats auquel vous souhaitez accéder, au lieu de cliquer sur n'importe quelle offre promotionnelle qui mène sur un site indésirable

- Les mots clés, tels que des noms de  marque connus, jeux d'ordinateur, ventes promotionnelles, peuvent mener vers de faux sites web suite à des systèmes de référencement forcés dans les moteurs de recherche ;

- Privilégiez les sites qui affichent lors de la procédure de paiement l'URL Https, qui garantit le cryptage de la transaction.

- Contrôlez votre paiement PayPal en vérifiant régulièrement le débit de votre compte bancaire correspondant.

- Faites attention aux e-mails que vous recevez qui prétendent vous donner des informations sur des livraisons ou de factures de produits qui ne correspondent pas à ce que vous avez acheté en ligne. Ces mails contiennent généralement des virus. 
 

- Utilisez différents mots de passe sur tous les sites de e-commerce que vous fréquentez de manière à éviter, le cas échéant, que les codes d'identification qui auraient pu être volés ne puissent s'appliquer à d autres sites.

- Lorsque vous visitez pour la première fois un site qui vous paraît suspect, vérifiez, via un moteur de recherche, comment la marque est référencée dans les forums.