En juin 2025, des experts en cybersécurité ont révélé une méthode d’escroquerie en ligne particulièrement ingénieuse. Des cybercriminels utilisent les moteurs de recherche internes de sites web légitimes pour afficher de faux numéros de support technique, ciblant des marques majeures comme Apple, Microsoft, Netflix, PayPal, Facebook, HP et Bank of America. Cette attaque repose sur l’injection de contenu dans les paramètres d’URL, trompant ainsi les internautes en les dirigeant vers de véritables sites contenant des informations falsifiées.
Fonctionnement de l’attaque
La technique de « search parameter injection »
Les cybercriminels achètent des publicités via Google Ads, qui apparaissent en tête des résultats lors de recherches telles que « assistance Microsoft » ou « support Netflix 24h/24 ». Ces publicités redirigent vers une URL authentique du site officiel ciblé, mais incluent un paramètre de recherche contenant un faux numéro de téléphone. Le moteur de recherche interne du site traite ce paramètre et l’affiche dans la page de résultats comme si ce contenu provenait du site lui-même.
Une attaque discrète et efficace
L’un des aspects les plus redoutables de cette technique est que le site affiché est véritablement celui de l’entreprise ciblée, avec le nom de domaine officiel et l’interface familière. L’utilisateur n’a donc aucune raison apparente de douter de la légitimité des informations affichées. Le faux numéro, souvent formaté pour paraître professionnel, est directement visible dans la page, parfois mis en évidence dans les résultats de recherche ou dans les zones de réponse automatisée.
Entreprises ciblées
Les analystes ont identifié plusieurs grandes marques affectées par cette manipulation :
Netflix
La page d’aide de Netflix affichait le numéro injecté en haut des résultats, donnant l’impression qu’il s’agissait du numéro officiel de contact.
Apple
Sur le site d’Apple, l’attaque était plus subtile, avec une intégration discrète dans les résultats de recherche internes, rendant la supercherie moins visible à première vue.
Autres entreprises concernées
Microsoft, HP, Facebook, PayPal et Bank of America figurent également parmi les entreprises dont les pages ont été exploitées de cette manière. Dans chaque cas, les attaquants se sont contentés de manipuler les paramètres d’URL, sans compromettre directement les systèmes de l’entreprise.
Objectif des escrocs
Établir un contact téléphonique frauduleux
Une fois l’utilisateur convaincu d’avoir trouvé un numéro de support officiel, il appelle et tombe sur un faux agent du service client. Ce dernier se fait passer pour un représentant légitime de l’entreprise, utilisant parfois des scripts professionnels pour paraître crédible.
Accès aux données ou prise de contrôle
Le faux agent peut alors demander à la victime d’installer un logiciel de prise en main à distance, prétendument pour résoudre un problème technique. Cela donne un accès complet à l’ordinateur ou au smartphone de la victime. Il peut également demander des informations personnelles, des identifiants de compte ou des données bancaires, voire des paiements immédiats pour des services fictifs.
Pourquoi cette arnaque fonctionne-t-elle ?
La confiance dans les marques
Les utilisateurs font naturellement confiance aux grandes marques et à leurs sites web. Lorsque le nom de domaine et le design sont authentiques, peu de gens remettent en question le contenu affiché.
Une page légitime, mais manipulée
Comme il ne s’agit pas de sites frauduleux, mais de pages véritablement hébergées par les entreprises concernées, les mesures de détection classiques (comme les filtres anti-phishing) ne repèrent pas ces attaques. Cela les rend particulièrement difficiles à prévenir.
Risques pour les victimes
Les conséquences de ce type de fraude peuvent être graves. La victime peut perdre l’accès à ses comptes, voir ses données personnelles volées, ou subir des pertes financières directes. Dans certains cas, les escrocs poussent même les utilisateurs à effectuer des virements ou des achats en ligne qu’ils redirigent vers leurs propres comptes.
Comment se protéger ?
Éviter les publicités sponsorisées
Il est préférable de ne pas cliquer sur les annonces Google Ads lorsque l’on recherche un support technique. Mieux vaut se rendre directement sur le site officiel en saisissant l’adresse dans la barre du navigateur ou en utilisant un lien fiable.
Analyser les URL
Avant de faire confiance aux informations affichées, il faut observer attentivement l’URL. Si elle contient des caractères inhabituels, comme des numéros de téléphone, ou des séquences codées (par exemple %2B ou %20), il peut s’agir d’une injection de contenu frauduleux.
Vérifier les numéros de téléphone
Il est recommandé de toujours valider un numéro de téléphone sur une page officielle dédiée, comme la section « Contact » du site, ou à l’aide d’un document ou d’un message antérieur reçu de l’entreprise.
Installer des outils de protection
Des extensions de navigateur comme Malwarebytes Browser Guard peuvent alerter l’utilisateur lorsqu’un contenu suspect est injecté dans un site. Ces outils bloquent aussi les redirections ou scripts malveillants.
Se méfier des demandes inhabituelles
Un véritable support technique ne demandera jamais vos identifiants complets, un paiement immédiat, ou l’installation de logiciels tiers sans vérification. Toute demande de carte cadeau, de crypto-monnaie ou de virement bancaire à titre de « règlement » est un signal d’alerte évident.
Responsabilité des entreprises et des moteurs de recherche
Cette situation montre également la nécessité pour les entreprises d’améliorer la sécurité de leur moteur de recherche interne. Il est important de filtrer ou désactiver les requêtes contenant des numéros de téléphone ou du contenu sensible. Les moteurs de recherche comme Google devraient également renforcer leurs mécanismes de validation des publicités, en exigeant une preuve de lien avec l’entreprise promue.
En résumé
Les attaques par injection de paramètres de recherche représentent une nouvelle forme d’ingénierie sociale qui détourne la confiance naturelle des internautes envers les marques qu’ils connaissent. Même en naviguant sur un site parfaitement légitime, l’utilisateur peut être exposé à un contenu frauduleux. Pour éviter de tomber dans le piège, il convient de rester vigilant, d’analyser chaque page avec esprit critique, et de privilégier les canaux de contact vérifiés. Les entreprises et les plateformes publicitaires doivent quant à elles adapter leurs pratiques pour empêcher que leurs outils soient utilisés à des fins malveillantes.
Articles
Aucun commentaire:
Enregistrer un commentaire