Les sites Web frauduleux sont des sites Web illégitimes utilisés pour piéger les utilisateurs et les inciter à commettre des fraudes ou des attaques malveillantes. Les escrocs profitent de l'anonymat d'Internet pour masquer leur véritable identité et leurs intentions sous divers déguisements. Il peut s'agir de fausses alertes de sécurité, de concours et d'autres formats visant à donner une impression de légitimité.
Même si Internet peut s'avérer bien utile, vous ne devez pas toujours vous fier à ce que vous voyez. Parmi les millions de sites Web légitimes qui se disputent l'attention, on trouve des sites créés à des fins malveillantes. Ces sites Web tentent tout, de l'usurpation d'identité à la fraude à la carte de crédit.
Les sites Web frauduleux fonctionnent de bien des façons, de la publication de fausses informations à la promesse de récompenses incroyables lors d'un échange financier. Le but reste presque toujours le même : vous pousser à divulguer vos informations personnelles ou financières.
Un site Web de cette nature peut être un site autonome, des fenêtres contextuelles ou des superpositions non autorisées sur des sites légitimes par le biais du clickjacking. Quel que soit le format, ces sites travaillent méthodiquement pour attirer et piéger les utilisateurs.
Les pirates informatiques derrière ces sites Web frauduleux suivent généralement ces étapes pour tromper les utilisateurs :
Bien que certains systèmes puissent être plus complexes, la plupart d'entre eux peuvent être résumés à ces trois étapes fondamentales.
Un site Web frauduleux peut attirer les internautes par le biais de nombreux canaux de communication, comme les réseaux sociaux, les emails et les SMS. Les résultats de recherche sont parfois manipulés par des méthodes d'optimisation des moteurs de recherche (SEO), ce qui permet à des sites malveillants d'apparaître en première position.
Présentés comme une offre attrayante ou un message d'alerte inquiétant, les utilisateurs sont plus réceptifs à ces stratagèmes. La plupart des sites Web frauduleux se servent de la psychologie pour arriver à leur fin.
Pour se protéger, il est essentiel de comprendre exactement comment ces escroqueries vous piègent. Voyons comment les pirates parviennent à exploiter cette ressource.
Le mécanisme central des sites frauduleux est l'ingénierie sociale, c'est-à-dire qu'ils exploitent le jugement humain plutôt que les systèmes informatiques techniques.
Pour que ces escroqueries fonctionnent, la victime doit voir le site Web malveillant comme légitime et digne de confiance. Certains sont délibérément conçus pour ressembler à des sites Web légitimes et dignes de confiance, comme les sites officiels des organisations gouvernementales.
Les sites Web d'escroquerie ne sont pas toujours bien conçus, et un regard attentif peut le déceler. Pour éviter cette analyse, les sites Web frauduleux utilisent un élément essentiel de l'ingénierie sociale : l'émotion.
La manipulation émotionnelle permet à un agresseur de contourner votre scepticisme naturel. Les escrocs tentent souvent de susciter ces sentiments chez leurs victimes :
En tandem ou seules, ces émotions servent les objectifs des pirates. Cependant, une escroquerie ne permet de profiter de vous que si celle-ci semble fiable ou vous parle. C'est pour cette raison qu'il existe de nombreuses formes de sites d'escroquerie en ligne.
Les sites Web frauduleux, comme beaucoup d'autres types d'escroquerie, fonctionnent sur des principes différents, même s'ils partagent des mécanismes similaires. Cette explication des types de scénarios utilisés par les sites Web frauduleux permettra de mieux vous équiper pour repérer les tentatives futures. Voici quelques formats courants de sites frauduleux :
Les sites Web de phishing sont un outil populaire qui tente de présenter de fausses situations et d'amener les utilisateurs à divulguer leurs informations privées. Ces escroqueries sont souvent maquillées en entreprises ou institutions légitimes, comme des banques ou des fournisseurs de messagerie.
Les pirates attirent généralement les utilisateurs sur le site Web par des emails ou d'autres messages faisant état d'une erreur ou d'un problème nécessitant une action de leur part. Cette escroquerie comprend une situation dans laquelle on vous demande de fournir des identifiants, les informations de votre carte de crédit ou d'autres données confidentielles. Cela aboutit à l'utilisation abusive de toutes les données obtenues auprès des victimes de ces attaques.
L'un des stratagèmes les plus répandus consiste à utiliser un faux magasin en ligne ou un magasin de mauvaise qualité pour collecter les informations relatives à la carte de crédit des victimes.
Ces escroqueries posent problème, car elles peuvent parfois livrer les produits ou les services pour créer une illusion de confiance. Cependant, la qualité est inévitablement médiocre. Pire encore, il s'agit d'une passerelle incontrôlée permettant d'obtenir les données de votre carte de crédit pour un usage excessif et non autorisé.
Les sites de scareware utilisent de fausses fenêtres contextuelles d'alerte de sécurité pour vous inciter à télécharger des programmes malveillants déguisés en antivirus authentiques. Ils prétendent que votre appareil est infecté par un virus ou un programme malveillant. La peur et le sentiment d'urgence peuvent vous pousser à télécharger une solution.
La possession d'une véritable solution de sécurité Internet permettrait d'éviter les téléchargements de programmes malveillants, mais les utilisateurs qui n'en disposent pas risquent d'en être victimes.
Les escroqueries de type loterie ou tirage au sort consistent à offrir des prix importants pour inciter les utilisateurs à s'engager et à fournir des informations financières pour payer de faux frais.
Ces frais peuvent être présentés comme des taxes sur le prix gagné ou des frais d'expédition. Les utilisateurs qui fournissent leurs informations deviennent vulnérables à la fraude et ne reçoivent jamais le prix.
Dans le passé, les escroqueries sur Internet ont souvent eu recours à des sites Web spécialisés. Pour vous aider à repérer les tentatives futures, voici quelques exemples notables :
Entre le milieu et la fin de l'année 2020, des rapports faisant état de faux traitements pour la COVID-19 sont apparus. Ces escroqueries à la COVID-19 consistent à recueillir des informations de paiement ou des détails précieux comme votre numéro de sécurité sociale, en échange d'une participation à l'essai d'un vaccin COVID-19.
Bien que les essais cliniques authentiques puissent offrir des paiements et demander des informations personnelles, aucune information compromettante n'est requise pour y participer. Les paiements pour les essais cliniques sont souvent effectués par carte cadeau, alors que l'escroc peut vous demander les détails de votre carte ou même votre numéro de compte bancaire. Des informations personnelles de base sont également couramment fournies lors d'essais réels, mais elles ne comprennent jamais votre numéro de sécurité sociale ou d'autres détails privés.
Aux États-Unis, en octobre 2020, des escrocs ont profité du passage au numérique pour se faire passer pour le Department of Motor Vehicles (DMV). La création de sites Web imitant les véritables sites du DMV a permis aux escrocs d'encaisser des paiements frauduleux pour l'immatriculation de véhicules et bien d'autres choses encore.
Heureusement, il existe plusieurs moyens très simples pour vous protéger des sites Web frauduleux et vous assurer que votre famille ainsi que votre portefeuille sont protégés lorsque vous naviguez sur Internet.
En suivant les conseils ci-dessous, vous pouvez mieux vous protéger contre ces menaces :
Pour éviter les sites frauduleux, surfez sur Internet avec prudence et précaution. Même s'il est difficile d'éviter complètement ces sites, vous pouvez éviter qu'ils ne vous affectent de manière plus efficace. Voici quelques conseils pour éviter ces escroqueries.
Les sites créés pour imiter un site légitime utilisent souvent des noms de domaine qui ressemblent beaucoup à l'adresse du site d'origine. Par exemple, au lieu de FBI.gov, le site frauduleux peut utiliser FBI.com ou FBI.org. Faites particulièrement attention aux adresses se terminant par .net ou .org, ces types de noms de domaine sont beaucoup moins fréquents pour les sites d'achats en ligne.
Si vous voulez creuser un peu plus, vous pouvez vous renseigner sur la personne qui a enregistré le nom de domaine ou l'URL sur des sites comme WHOIS. Ces recherches sont totalement gratuites.
Une bonne habitude consiste à ne jamais payer par virement bancaire. Si vous transférez des fonds vers un compte bancaire et que la transaction est une escroquerie, vous n'obtiendrez jamais de remboursement. Payer avec une carte de crédit vous offre un certain degré de protection si les choses tournent mal.
Promettre monts et merveilles en échange d'un instant de votre temps ou d'un effort minime est une pratique efficace des fraudeurs. Demandez-vous toujours si quelque chose semble trop beau pour être vrai.
Ce site vend-il des tablettes, des ordinateurs ou des baskets de marque à un prix dérisoire ? Ce site de produits de santé vous promet-il de vous muscler ou de perdre énormément de poids en seulement deux semaines ? Ou vous promet-il un moyen infaillible de faire fortune ? Vous ne pouvez pas vous tromper si vous pensez que ces offres sont des escroqueries.
Si vous n'êtes pas sûr de vous, effectuez une recherche sur Internet pour voir ce que d'autres personnes pensent de ce site. Une réputation, bonne ou mauvaise, se répand en ligne comme une traînée de poudre. Si d'autres personnes ont eu une mauvaise expérience avec un site Web, ils en ont probablement parlé en ligne. Cherchez des avis sur des sites tels que Trustpilot, Feefo ou Sitejabber pour voir si un site a déjà escroqué quelqu'un.
Si vous ne trouvez pas d'avis négatif, restez vigilant, de nouveaux sites frauduleux sont créés chaque jour. Prenez tous les facteurs en considération afin d'être sûr que vous n'êtes pas la première victime.
Lorsque vous visitez un site légitime qui demande des données sécurisées ou financières, le nom de l'entreprise doit être visible à côté de l'URL, dans la barre du navigateur, avec un symbole de cadenas indiquant que votre connexion est sécurisée. Si vous ne voyez pas ce symbole ou que votre navigateur vous avertit que le site n'a pas de certificat de sécurité à jour, c'est un signal d'alerte. Pour augmenter votre niveau de protection personnelle, utilisez toujours un logiciel de sécurité de premier choix pour vous assurer que vous disposez d'un degré de protection supplémentaire.
En outre, ne faites jamais confiance et ne vous contentez pas de cliquer sur des liens pour ouvrir un site Web. Au lieu de cela, tapez l'adresse Web manuellement ou enregistrez-la dans vos favoris. Les malfaiteurs achètent souvent des noms de domaine qui semblent familiers. En les saisissant vous-même ou en enregistrant la véritable adresse, vous vous protégez davantage.
Vous pouvez aussi utiliser une fonction de Kaspersky Premium comme la Protection bancaire pour mieux sécuriser vos achats en ligne.
Si vous êtes victime de l'un de ces sites malveillants, vous devez agir immédiatement. Il est toujours possible de limiter les dégâts. Voici quelques moyens de réduire les dommages causés par une escroquerie réussie :
Pour tenter de mettre un terme aux escroqueries dont vous et d'autres personnes pourriez être victimes, il est essentiel d'informer les autorités compétentes.
Il est tout aussi important de savoir comment signaler un site Web que de le faire, assurez-vous donc d'être au courant.
Avant toute chose, veillez à signaler l'escroquerie à tous les services concernés, comme :
Signalez toute tentative ou réussite d'escroquerie sur un site Web à l'Internet Crime Complaint Center (IC3) aux États-Unis, ou à econsumer.gov pour les escroqueries internationales.
Google s'efforce d'éviter de promouvoir des résultats malveillants, mais n'oubliez pas de signaler le site pour l'aider.
Enfin, n'hésitez pas à contacter la police locale, car elle peut être en mesure d'enquêter sur des escroqueries de cette nature d'origine locale.
Kaspersky Internet Security a reçu deux prix AV-TEST récompensant les meilleures performances et la meilleure protection pour un produit de sécurité Internet en 2021. Dans tous les tests, Kaspersky Internet Security se distingue par des performances et une protection exceptionnelles contre les cybermenaces.
Liens associés :