4 min de lecture
Phishing personnalisé, typosquatting, QR codes... Les dernières arnaques à éviter pendant le Black Friday
Le Black friday est chaque année l'une des périodes commerciales les plus exploitées par les cybercriminels. Nos conseils pour faire vos achats sans vous faire piéger.
Le Black Friday est le temps fort promotionnel qui lance chaque année les achats de Noël
Crédit : AFP
Je m'abonne à la newsletter « Infos »
Le Black Friday débute officiellement ce vendredi 28 novembre, mais il est déjà une réalité depuis plusieurs jours pour de nombreuses enseignes sur Internet. Cette année encore, il va falloir être très vigilant pour ne pas se faire piéger, car les consommateurs ne sont pas les seuls à attendre ces promotions avec impatience. Les cybercriminels sont aussi dans les starting-blocks.
Le Black Friday concentre tous les ans un volume d'achats hors norme sur une période très courte, ce qui constitue un terrain propice à la mise en place d'escroqueries, ciblant des internautes moins vigilants qu'à l'accoutumée dans un environnement promotionnel saturé incitant à l'urgence et amenés à manipuler des informations sensibles d'un site marchant à l'autre, depuis leur smartphone ou leur ordinateur.
Les campagnes frauduleuses observées autour du Black Friday s’appuient sur des méthodes parfaitement rodées. Chaque année, les cybercriminels multiplient les copies de sites marchands pour siphonner identifiants et données bancaires. Le phénomène atteint un nouveau pic cette saison.
Selon NordVPN, la création de faux sites d’e-commerce a bondi de 250 % au mois d'octobre. Les experts de Check Point Software observent depuis cet automne une prolifération de plateformes frauduleuses imitant Amazon, AliExpress, Alibaba ou eBay, un phénomène appelé à s’amplifier d’ici la fin du mois. D'après BitDefender, plus de la moitié des e-mails reçus dans les spams liés au Black Friday sont tout simplement frauduleux, avec l'usurpation de grandes marques comme Amazon, TEMU, IKEA ou Louis Vuitton.
De faux sites quasiment indétectables
Le problème, c’est que la plupart des internautes ne savent toujours pas distinguer ces plateformes qui reproduisent à l’identique l’identité des grands sites marchands. "Les pirates se sont professionnalisés. Il y a dix ans, un faux e-mail se repérait facilement grâce aux fautes, aux logos approximatifs ou aux tournures maladroites. Aujourd’hui, avec l'essor de l'intelligence artificielle générative, les arnaques ont gagné en sophistication. Et des techniques comme le typosquatting les rendent encore plus crédibles", observe Damien Gbiorczyk, expert en cybersécurité chez Illumio, joint par RTL.
Cette technique consiste à créer de fausses adresses e-mail et des URL presque identiques à celles de marques ou de commerçants légitimes. Fréquemment utilisée dans des campagnes de phishing, elle redirige les victimes vers des sites frauduleux. Une lettre changée dans l’adresse suffit souvent à tromper l’internaute. Un "l" remplacé par un "i" majuscule dans un e-mail prétendument envoyé par Boulanger, ou un "M" transformé en "r" et "n" accolés dans Amazon. La supercherie est presque indétectable à l'œil nu, surtout dans la précipitation.
Pour s'en prémunir, la meilleure des parades est de se rendre soi-même sur le site officiel du commerçant en saisissant l'adresse directement dans son navigateur, et surtout, éviter de cliquer sur les liens reçus par e-mail et SMS, qui sont les vecteurs de multiples escroqueries durant ces périodes de promotions.
Des phishings de plus en plus crédibles avec la multiplication des fuites de données
Certaines arnaques sont désormais bien rodées, à l'instar des faux SMS de livraison La Poste, Chronopost ou DHL, qui réclament quelques euros pour prétendument débloquer un colis. Autre méthode récurrente : les fausses confirmations de commande, qui inventent une erreur de facturation et renvoient vers un lien piégé. Les fausses cartes cadeaux et les demandes de "vérification de compte" complètent l’arsenal, particulièrement efficaces dans cette période de surenchère promotionnelle.
Ces communications sont d'autant plus trompeuses que des millions de consommateurs attendent réellement des commandes durant cette période. Et les multiples fuites de données constatées ces dernières années constituent des ressources inépuisables qui permettent aux cybercriminels de personnaliser leurs approches, en intégrant des informations authentiques, comme l'IBAN, le numéro de sécurité sociale ou le numéro client chez un opérateur, pour capter plus facilement notre attention.
En cette période, comme à tout moment, l'essentiel est de ne pas céder à la précipitation. La règle d'or pour éviter ces pièges reste de ne jamais cliquer sur les liens poussés dans ces messages. Pour suivre un colis, mieux vaut s’en tenir au mail de confirmation d’origine ou contacter directement le transporteur. "Si je reçois un mail d'Amazon expliquant qu'une livraison n'est pas possible, il faut se rendre sur son compte Amazon pour vérifier le statut commande en cours. Et c'est valable pour toutes les démarches en ligne", résume Damien Gbiorczyk, expert en cybersécurité chez Illumio.
Méfiance face aux QR codes
Méfiance également face aux QR codes, dont l’usage s’est massivement répandu depuis la pandémie. Ces outils, en apparence anodins, sont régulièrement détournés pour piéger les consommateurs. Collés sur des prospectus glissés dans les boîtes aux lettres ou envoyés en pièce jointe par e-mail, ils inspirent confiance alors qu’en réalité, scanner un QR code revient à cliquer sur une URL sans pouvoir la vérifier. Et il est presque impossible de savoir s’il mène vers un site frauduleux avant de l'avoir ouvert.
Enfin, en matière de paiement, mieux vaut privilégier des solutions comme Apple Pay, PayPal ou les cartes bancaires virtuelles à usage unique que proposent les banques en ligne afin de ne pas exposer le numéro de la carte bancaire qui est associée à votre compte courant en cas de compromission sur un site malveillant.
Retrouvez désormais "La règle d'or numérique" tous les samedi à 6h53 dans "RTL Week-end" présenté par Stéphane Carpentier. Comment naviguer en toute sécurité sur Internet ? Quels sont les réglages à paramétrer pour protéger vos données personnelles ? Comment repérer les arnaques en ligne avant de tomber dans le panneau… Benjamin Hue, journaliste spécialiste des nouvelles technologies, répond ici aux questions que vous vous posez sur le numérique et votre quotidien en ligne.
- Vol de données chez Pajemploi : phishing, usurpation d'identité... Ce que risquent les 1,2 million de personnes concernées
- Brad Pitt, Karine Le Marchand, Alain Delon... Quand l'image de vos stars préférées est utilisée pour vous piéger
- Comment se protéger des infostealers, ces logiciels espions qui volent vos informations sur vos ordinateurs
- 183 millions de mails piratés : votre boîte mail protège-t-elle vraiment votre vie en ligne ?
- Bientôt la fin du mode avion ? Le wi-fi Starlink débarque sur les vols Air France
