Arnaque au faux support technique

En juin 2025, des experts en cybersécurité ont révélé une méthode d’escroquerie en ligne particulièrement ingénieuse. Des cybercriminels utilisent les moteurs de recherche internes de sites web légitimes pour afficher de faux numéros de support technique, ciblant des marques majeures comme Apple, Microsoft, Netflix, PayPal, Facebook, HP et Bank of America. Cette attaque repose sur l’injection de contenu dans les paramètres d’URL, trompant ainsi les internautes en les dirigeant vers de véritables sites contenant des informations falsifiées.

Fonctionnement de l’attaque

La technique de « search parameter injection »

Les cybercriminels achètent des publicités via Google Ads, qui apparaissent en tête des résultats lors de recherches telles que « assistance Microsoft » ou « support Netflix 24h/24 ». Ces publicités redirigent vers une URL authentique du site officiel ciblé, mais incluent un paramètre de recherche contenant un faux numéro de téléphone. Le moteur de recherche interne du site traite ce paramètre et l’affiche dans la page de résultats comme si ce contenu provenait du site lui-même.

Une attaque discrète et efficace

L’un des aspects les plus redoutables de cette technique est que le site affiché est véritablement celui de l’entreprise ciblée, avec le nom de domaine officiel et l’interface familière. L’utilisateur n’a donc aucune raison apparente de douter de la légitimité des informations affichées. Le faux numéro, souvent formaté pour paraître professionnel, est directement visible dans la page, parfois mis en évidence dans les résultats de recherche ou dans les zones de réponse automatisée.

Entreprises ciblées

Les analystes ont identifié plusieurs grandes marques affectées par cette manipulation :

Netflix

La page d’aide de Netflix affichait le numéro injecté en haut des résultats, donnant l’impression qu’il s’agissait du numéro officiel de contact.

Apple

Sur le site d’Apple, l’attaque était plus subtile, avec une intégration discrète dans les résultats de recherche internes, rendant la supercherie moins visible à première vue.

Autres entreprises concernées

Microsoft, HP, Facebook, PayPal et Bank of America figurent également parmi les entreprises dont les pages ont été exploitées de cette manière. Dans chaque cas, les attaquants se sont contentés de manipuler les paramètres d’URL, sans compromettre directement les systèmes de l’entreprise.

Objectif des escrocs

Établir un contact téléphonique frauduleux

Une fois l’utilisateur convaincu d’avoir trouvé un numéro de support officiel, il appelle et tombe sur un faux agent du service client. Ce dernier se fait passer pour un représentant légitime de l’entreprise, utilisant parfois des scripts professionnels pour paraître crédible.

Accès aux données ou prise de contrôle

Le faux agent peut alors demander à la victime d’installer un logiciel de prise en main à distance, prétendument pour résoudre un problème technique. Cela donne un accès complet à l’ordinateur ou au smartphone de la victime. Il peut également demander des informations personnelles, des identifiants de compte ou des données bancaires, voire des paiements immédiats pour des services fictifs.

Pourquoi cette arnaque fonctionne-t-elle ?

La confiance dans les marques

Les utilisateurs font naturellement confiance aux grandes marques et à leurs sites web. Lorsque le nom de domaine et le design sont authentiques, peu de gens remettent en question le contenu affiché.

Une page légitime, mais manipulée

Comme il ne s’agit pas de sites frauduleux, mais de pages véritablement hébergées par les entreprises concernées, les mesures de détection classiques (comme les filtres anti-phishing) ne repèrent pas ces attaques. Cela les rend particulièrement difficiles à prévenir.

Risques pour les victimes

Les conséquences de ce type de fraude peuvent être graves. La victime peut perdre l’accès à ses comptes, voir ses données personnelles volées, ou subir des pertes financières directes. Dans certains cas, les escrocs poussent même les utilisateurs à effectuer des virements ou des achats en ligne qu’ils redirigent vers leurs propres comptes.

Comment se protéger ?

Éviter les publicités sponsorisées

Il est préférable de ne pas cliquer sur les annonces Google Ads lorsque l’on recherche un support technique. Mieux vaut se rendre directement sur le site officiel en saisissant l’adresse dans la barre du navigateur ou en utilisant un lien fiable.

Analyser les URL

Avant de faire confiance aux informations affichées, il faut observer attentivement l’URL. Si elle contient des caractères inhabituels, comme des numéros de téléphone, ou des séquences codées (par exemple %2B ou %20), il peut s’agir d’une injection de contenu frauduleux.

Vérifier les numéros de téléphone

Il est recommandé de toujours valider un numéro de téléphone sur une page officielle dédiée, comme la section « Contact » du site, ou à l’aide d’un document ou d’un message antérieur reçu de l’entreprise.

Installer des outils de protection

Des extensions de navigateur comme Malwarebytes Browser Guard peuvent alerter l’utilisateur lorsqu’un contenu suspect est injecté dans un site. Ces outils bloquent aussi les redirections ou scripts malveillants.

Se méfier des demandes inhabituelles

Un véritable support technique ne demandera jamais vos identifiants complets, un paiement immédiat, ou l’installation de logiciels tiers sans vérification. Toute demande de carte cadeau, de crypto-monnaie ou de virement bancaire à titre de « règlement » est un signal d’alerte évident.

Responsabilité des entreprises et des moteurs de recherche

Cette situation montre également la nécessité pour les entreprises d’améliorer la sécurité de leur moteur de recherche interne. Il est important de filtrer ou désactiver les requêtes contenant des numéros de téléphone ou du contenu sensible. Les moteurs de recherche comme Google devraient également renforcer leurs mécanismes de validation des publicités, en exigeant une preuve de lien avec l’entreprise promue.

En résumé

Les attaques par injection de paramètres de recherche représentent une nouvelle forme d’ingénierie sociale qui détourne la confiance naturelle des internautes envers les marques qu’ils connaissent. Même en naviguant sur un site parfaitement légitime, l’utilisateur peut être exposé à un contenu frauduleux. Pour éviter de tomber dans le piège, il convient de rester vigilant, d’analyser chaque page avec esprit critique, et de privilégier les canaux de contact vérifiés. Les entreprises et les plateformes publicitaires doivent quant à elles adapter leurs pratiques pour empêcher que leurs outils soient utilisés à des fins malveillantes.

Source : Malwarebytes Labs - Scammers hijack websites of Bank of America, Netflix, Microsoft, and more to insert fake phone number.

Lire la suite

Publicités vérolées dans Facebook et Linkedin

Depuis la montée en puissance des technologies d’intelligence artificielle, les menaces cybernétiques ont connu une mutation profonde. Ce qui apparaissait hier encore comme de simples escroqueries par e-mail se transforme désormais en campagnes massives d’attaques numériques basées sur des plateformes faussement innovantes. En novembre 2024, le groupe de cybersécurité Mandiant (filiale de Google Cloud) a découvert une opération à grande échelle baptisée UNC6032, exploitant l’image et le succès de l’IA générative pour piéger les internautes en Europe, et provenant de groupes cybercriminels situés au Vietnam.

De faux sites de création de vidéos par IA très convaincants

La campagne repose sur la création de faux sites web imitant les géants de l’IA comme Luma AI, D-ID, Canva Dream Lab ou Kling AI. Ces faux sites, conçus avec soin pour imiter les interfaces officielles, sont largement promus sur les réseaux sociaux (Facebook et Linkedin notamment) à travers des publicités sponsorisées. Les escrocs visent à inciter les utilisateurs à cliquer sur des liens les redirigeant vers ces plateformes frauduleuses. Une fois sur le site, l’utilisateur est invité à télécharger un fichier pour accéder à un prétendu outil IA révolutionnaire.

Le piège est redoutablement simple : les cybercriminels utilisent un fichier exécutable (.exe) qui se fait passer pour une vidéo (.mp4), grâce à un nom de fichier contenant un caractère Unicode invisible qui masque la véritable extension. Ce type de technique d’ingénierie sociale permet de contourner l’attention de l’utilisateur comme des antivirus classiques. Les pays visés sont l'Australie, les Etats-Unis et l'Europe.

Le rôle central du malware STARKVEIL

Le malware contenu dans ces fichiers est un dropper baptisé STARKVEIL, développé en Rust. Une fois exécuté, STARKVEIL déploie d'autres composants malveillants sur l’ordinateur de la victime. Parmi eux :

• GRIMPULL : un infostealer écrit en Python capable de voler des données comme les identifiants, cookies, sessions et mots de passe enregistrés.
• XWORM : un malware plus sophistiqué qui peut recevoir des commandes à distance et télécharger d'autres modules selon les besoins des attaquants.
• FROSTRIFT : un enregistreur de frappes et de captures d'écran, utilisé pour surveiller l’activité de la victime de manière furtive.

Les informations volées sont ensuite transmises aux pirates via des canaux de communication comme Telegram, rendant le suivi et l’identification des auteurs plus complexes.

Une campagne massive ciblant l'Europe

Les chercheurs de Mandiant ont repéré plus de 120 publicités malveillantes promues activement sur Facebook et Linkedin, atteignant un public estimé à plus de 2,3 millions d’utilisateurs dans l’Union européenne. Les domaines utilisés sont souvent récents, enregistrés quelques jours avant le lancement de la campagne, ce qui rend leur détection plus difficile pour les outils de cybersécurité traditionnels.

Cette campagne démontre une évolution notable des tactiques cybercriminelles, qui n’hésitent plus à investir dans la publicité ciblée et à capitaliser sur l’image de marque de l’IA pour gagner en crédibilité.

Conseils pour se protéger

Pour éviter de tomber dans ce type de piège numérique, les experts recommandent :

• De ne jamais cliquer sur une publicité menant à un outil IA sans avoir vérifié son authenticité sur un moteur de recherche.
• D’utiliser des solutions de sécurité robustes et mises à jour régulièrement.
• De vérifier les extensions de fichiers avant téléchargement, même si le nom du fichier paraît légitime.
• De se méfier des sites web nouvellement créés ou au nom de domaine étrange.

La sensibilisation reste l’un des meilleurs remparts face à ces attaques, en particulier dans un contexte où l’IA devient un thème central.

Les cybercriminels évoluent avec leur temps, et l’IA est aujourd’hui leur nouveau cheval de Troie. La campagne UNC6032 montre une sophistication technique et une coordination marketing inquiétantes, capables de cibler des millions de citoyens européens. En restant informés, prudents et équipés d’outils de sécurité performants, les utilisateurs peuvent se prémunir contre ces menaces croissantes.

Source : Cybercriminals weaponize fake AI websites.

Lire la suite

SEA Poisoning

SEA Poisoning : Quand la publicité sur les moteurs de recherche devient une menace

Le SEA poisoning, ou empoisonnement du référencement payant, est une technique malveillante encore méconnue du grand public mais de plus en plus redoutée par les experts en marketing digital et cybersécurité. Il s'agit d'une méthode de cyberattaque exploitant les systèmes de publicité en ligne, notamment ceux proposés par les moteurs de recherche comme Google via sa plateforme Google Ads. L’objectif de ces attaques est d’abuser du fonctionnement du SEA (Search Engine Advertising) pour diffuser des contenus frauduleux, malveillants ou trompeurs à travers des annonces sponsorisées, atteignant ainsi les internautes au moment où ils recherchent activement une information ou un service.

Le fonctionnement du SEA poisoning s’appuie sur l'achat de mots-clés stratégiques dans le but de faire apparaître des publicités factices ou dangereuses dans les premiers résultats sponsorisés des pages de recherche. Ces annonces peuvent rediriger vers des sites de phishing, de distribution de malwares, ou vers des pages destinées à escroquer les utilisateurs. Les cybercriminels peuvent ainsi exploiter la confiance implicite que les utilisateurs accordent aux publicités apparaissant sur des plateformes réputées, pensant à tort qu’elles sont vérifiées ou sécurisées.

Contrairement au SEO poisoning qui s’appuie sur le référencement naturel, le SEA poisoning nécessite un budget, souvent obtenu par des moyens illégaux comme des cartes bancaires volées, ou par l’usage de bots qui cliquent massivement sur les annonces de concurrents pour épuiser leur budget publicitaire. Une autre méthode consiste à usurper l’identité d’une entreprise légitime en copiant son style, son logo et son ton afin de tromper l’internaute. Ces annonces sont parfois indétectables par les utilisateurs moyens, tant leur conception est professionnelle.

Les conséquences du SEA Poisoning

Les conséquences du SEA poisoning peuvent être lourdes. Pour les internautes, cela signifie une exposition accrue aux cybermenaces : vol de données personnelles, infections de logiciels espions, hameçonnage ou redirections vers des plateformes illégales. Pour les entreprises, c’est une atteinte directe à leur image de marque, à la confiance de leurs clients et à leur retour sur investissement. Un utilisateur trompé par une publicité malveillante portant le nom d’une marque peut développer une méfiance durable envers celle-ci, même si elle n’est pas directement responsable.

La sophistication croissante des campagnes de SEA poisoning repose sur des techniques avancées comme le cloaking publicitaire, où le contenu affiché à Google est différent de celui vu par l’internaute. Certains attaquants utilisent également des scripts pour générer dynamiquement des annonces en fonction des requêtes les plus populaires. Grâce à l’intelligence artificielle, ils sont capables de concevoir des publicités extrêmement convaincantes, personnalisées selon la géolocalisation, l’historique de navigation ou le profil démographique de l’utilisateur.

Les mesures de protection contre le SEA Poisoning

Les plateformes publicitaires comme Google Ads mettent en œuvre des mécanismes de détection automatisée pour contrer ces abus : systèmes de vérification des annonceurs, modération des contenus, analyse comportementale des clics, suspension automatique de comptes suspects. Toutefois, les cybercriminels sont très réactifs. Ils créent des comptes éphémères, utilisent des serveurs répartis dans différents pays, et modifient régulièrement leurs annonces pour contourner les filtres automatiques. C’est une véritable guerre de l’information qui se joue entre les plateformes et les fraudeurs.

Les entreprises qui investissent dans le SEA doivent donc prendre des précautions pour ne pas être victimes ou complices involontaires de ces attaques. Il est conseillé de surveiller activement les annonces liées à sa marque via des outils de brand monitoring, d'utiliser les fonctionnalités de signalement des publicités frauduleuses, et de protéger ses actifs numériques (logos, noms de domaine) à l’aide de dépôts de marque et de certificats SSL. Par ailleurs, une vigilance constante doit être exercée sur les rapports de campagnes pour détecter des anomalies de performance ou des pics de clics non justifiés.

Du côté des utilisateurs, l’adoption de comportements responsables est tout aussi essentielle. Vérifier l’URL d’un site avant d’y saisir des données sensibles, activer des extensions de navigateur qui bloquent les scripts suspects, ou encore se méfier des offres trop alléchantes permet de réduire les risques. L’éducation numérique reste un levier fondamental pour limiter l’impact du SEA poisoning sur la société dans son ensemble.

Les autorités de régulation commencent également à s’intéresser de près à ce phénomène. Certaines législations imposent aux plateformes d’assurer une traçabilité des annonceurs et de fournir des canaux de plainte efficaces pour les marques comme pour les consommateurs. Néanmoins, la dimension transnationale des cyberattaques complique considérablement la mise en œuvre de sanctions efficaces. Une coopération internationale renforcée entre les États, les géants du Web et les chercheurs en cybersécurité apparaît comme indispensable pour freiner la prolifération du SEA poisoning.

En résumé, le SEA poisoning est une forme d’abus du marketing digital qui détourne les systèmes de publicité en ligne pour tromper les utilisateurs et compromettre la réputation des marques. Il constitue un défi majeur dans un écosystème où le numérique occupe une place croissante dans les interactions commerciales. Comprendre les mécanismes de cette menace, identifier les signaux d’alerte et adopter des stratégies de protection robustes sont des impératifs pour tous les acteurs du Web. Plus que jamais, la sécurité publicitaire doit devenir une priorité au même titre que la visibilité et la performance.

Lire la suite

SEO poisoning

SEO Poisoning : Comprendre et se protéger de cette menace numérique

Le SEO poisoning, ou empoisonnement du référencement naturel, désigne une technique malveillante utilisée par les cybercriminels pour manipuler les résultats des moteurs de recherche. L’objectif est de faire apparaître des pages Web corrompues en haut des résultats afin de piéger les internautes et les rediriger vers des sites contenant des logiciels malveillants, des arnaques ou du contenu frauduleux. Cette forme d’attaque exploite les mécanismes même du SEO (Search Engine Optimization) à des fins malicieuses, compromettant ainsi la sécurité des utilisateurs et la fiabilité de l’écosystème numérique.

Le fonctionnement du SEO poisoning repose sur des techniques de référencement avancées. Les attaquants créent ou compromettent des sites Web pour y insérer du contenu optimisé autour de mots-clés populaires, souvent liés à l’actualité, aux tendances ou à des recherches fréquentes. En utilisant des stratégies de netlinking agressives, des redirections dissimulées (cloaking), ou en exploitant des vulnérabilités dans des CMS comme WordPress, ils parviennent à propulser leurs pages corrompues dans les premières positions des SERP (Search Engine Results Pages).

Le danger principal du SEO poisoning réside dans la confiance que les internautes accordent aux résultats de recherche. Lorsqu’un utilisateur clique sur un lien en pensant accéder à une source fiable, il peut se retrouver sur un site infecté. Ces sites peuvent installer des malwares, voler des données personnelles ou financières, ou rediriger vers des arnaques de type phishing. Dans certains cas, le simple fait de visiter une page peut suffire à compromettre un système via des failles du navigateur.

Les cybercriminels ciblent souvent des événements à forte audience, comme les élections, les catastrophes naturelles, ou les grandes manifestations sportives. En créant du contenu autour de ces sujets, ils maximisent les chances de capter un large trafic. Le SEO poisoning peut aussi viser des noms de marques connues ou des requêtes liées à des produits technologiques populaires, exploitant ainsi la notoriété de ces termes pour appâter les victimes.

Une autre tactique courante consiste à pirater des sites Web légitimes ayant une bonne autorité de domaine. En injectant des pages cachées ou des scripts malveillants, les attaquants bénéficient de la crédibilité du site pour améliorer leur classement dans les moteurs de recherche. Ces pages sont souvent invisibles pour les administrateurs, car elles ne sont pas directement liées à la navigation normale du site, mais sont accessibles via des requêtes spécifiques sur Google.

SEO Poisoning : Comment s'en protéger ?

Pour se protéger contre le SEO poisoning, plusieurs mesures peuvent être mises en œuvre. Du côté des internautes, il est essentiel d’adopter une navigation prudente. Utiliser des antivirus à jour, éviter les clics sur des résultats suspects ou mal rédigés, et vérifier les URLs avant de visiter un site sont des réflexes à adopter. Les entreprises et les webmasters, quant à eux, doivent sécuriser leurs sites en renforçant les accès administrateurs, en appliquant régulièrement les mises à jour de sécurité et en surveillant leur contenu à l’aide d’outils d’analyse de site Web et de logs.

Les moteurs de recherche, tels que Google, jouent également un rôle crucial dans la lutte contre le SEO poisoning. Ils développent constamment des algorithmes plus sophistiqués pour détecter les comportements suspects, les redirections abusives et les pages de faible qualité. Cependant, la réactivité des attaquants rend cette tâche difficile. Le black hat SEO, utilisé dans le cadre du SEO poisoning, évolue en permanence pour contourner les protections mises en place.

Les conséquences du SEO Poisoning

Il est aussi important de noter que le SEO poisoning peut avoir des répercussions sur l’e-réputation des entreprises. Si un site est compromis, sa visibilité peut être détournée vers du contenu frauduleux, et sa crédibilité en pâtir. La récupération peut s’avérer longue et coûteuse, impliquant des audits de sécurité, un nettoyage des fichiers et des requêtes de réindexation auprès de Google. De plus, une perte de confiance des utilisateurs peut impacter durablement l’activité d’un site.

Le rôle de l’éducation numérique est fondamental dans la prévention du SEO poisoning. Sensibiliser les utilisateurs aux techniques de manipulation des moteurs de recherche, leur apprendre à identifier les signaux d’alerte et à se méfier des résultats trop alléchants ou mal formulés peut réduire considérablement les risques. Les formations en cybersécurité, tant pour les professionnels que pour le grand public, doivent intégrer cette thématique souvent négligée mais de plus en plus répandue.

En conclusion, le SEO poisoning représente une menace sérieuse pour la sécurité numérique. En exploitant les principes du référencement naturel à des fins malveillantes, les cybercriminels parviennent à contourner les défenses classiques et à piéger des milliers d’internautes. La lutte contre ce fléau passe par une collaboration entre les éditeurs de contenu, les moteurs de recherche, les experts en cybersécurité et les utilisateurs eux-mêmes. Se tenir informé, sécuriser les plateformes Web et adopter de bonnes pratiques de navigation sont les piliers d’une protection efficace contre ce type d’attaque insidieuse.

Lire la suite