Semaine 51: quand les escrocs passent sous les radars du NCSC et d’autres services de sécurité

Service navigation

Recherche

Navigation

Semaine 51: quand les escrocs passent sous les radars du NCSC et d’autres services de sécurité

27.12.2023 - Le NCSC reçoit tous les jours de nombreux signalements de contenus web frauduleux, de sites d’hameçonnage ou de pages publicitaires douteuses. Et pourtant, lorsqu’il examine les sites signalés, il tombe parfois sur des contenus qui semblent être parfaitement licites. Il faut alors persévérer sans penser que les lanceurs d’alerte se sont peut-être trompés ou que le fournisseur de services a certainement désactivé le site dans l’intervalle. En effet, une analyse approfondie permet souvent de constater que les cybercriminels déploient les stratégies les plus diverses pour rester indétectables le plus longtemps possible.

Le contrôle de l’adresse IP

Les tentatives d’escroquerie ou d’hameçonnage sont généralement adaptées au pays cible. Par exemple, les courriels d’hameçonnage envoyés au nom d’établissements financiers suisses s’adressent exclusivement aux internautes suisses. Les escrocs restreignent notamment l’accès aux sites frauduleux afin que seules les adresses IP suisses puissent les consulter. Ainsi, si une personne tente d’y accéder à partir d’une adresse IP qui n’est pas rattachée à la Suisse, elle se voit redirigée vers un moteur de recherche ou c’est alors un site au contenu tout à fait normal qui s’affiche. Le fournisseur qui héberge le site frauduleux sur son serveur se trouve généralement à l’étranger. Lui aussi n’a accès qu’à la version non suspecte du site, car il utilise une adresse IP provenant d’un pays autre que la Suisse. Il se peut donc qu’il n’intervienne pas. C’est la raison pour laquelle les analystes en sécurité informatique utilisent souvent des connexions VPN, plutôt que leur véritable adresse IP. Mais certains sites décèlent cette tactique et réagissent aux tentatives d’accès en affichant uniquement des contenus exempts de tout soupçon.

Le contrôle du référent

Certains sites frauduleux vérifient aussi les «référents», qui leur sont transmis à chaque fois que le site est consulté. L’escroc peut ainsi savoir sur quel site l’internaute a trouvé le lien qui lui a permis d’atteindre sa page. En revanche, si une personne saisit directement l’URL du site dans la barre d’adresse de son navigateur, aucun référent n’apparaît. Le serveur sait alors que quelqu’un a accédé à la page concernée sans cliquer sur un lien. Il est donc possible d’accéder au moyen de l’URL à des sites web sans contenu illicite. Néanmoins, l’accès à ces mêmes sites via un moteur de recherche, un lien dans une publicité frauduleuse ou les réseaux sociaux mène au contenu suspect.

Le contrôle du navigateur

La plupart du temps, les particuliers consultent les sites web sur leur téléphone mobile. Les escrocs l’ont bien compris et veillent donc à ce que les pages frauduleuses soient consultables uniquement sur cet appareil. En effet, chaque fois qu’un site Internet est consulté, le serveur qui l’héberge reçoit l’agent utilisateur (user agent), c’est-à-dire des informations concernant le système d’exploitation et le type de navigateur de l’internaute. Il peut ainsi savoir si celui-ci utilise un appareil Android, un iPhone, ou encore un ordinateur portable ou fixe. Alors que les victimes se servent généralement d’un téléphone mobile, ce sont en principe les ordinateurs fixes qui sont équipés d’un logiciel permettant l’analyse des sites frauduleux.

Sur Windows, la page semble introuvable, mais sur Android, une page d’hameçonnage s’affiche.
Sur Windows, la page semble introuvable, mais sur Android, une page d’hameçonnage s’affiche.

Une analyse reste possible

Les escrocs prennent toutes les mesures possibles pour éviter le plus longtemps possible que leurs sites web frauduleux soient découverts, identifiés comme malveillants et fermés par les services compétents. La bonne nouvelle, c’est que les tentatives des escrocs pour mettre l’analyse sur une mauvaise piste peuvent être facilement déjouées, en manipulant les informations transmises concernant le système d’exploitation, le référent et le type de navigateur à l’aide d’outils appropriés. Il est également possible de choisir les adresses IP en fonction des besoins. Même si plusieurs essais avec différents réglages sont parfois nécessaires, on peut réduire à néant les tentatives d’escroquerie et, dans ces cas aussi, analyser, vérifier, voire fermer les sites frauduleux afin de protéger au mieux la population suisse.

Il est néanmoins important de respecter quelques règles simples pour ne pas être tentés de cliquer sur un lien frauduleux:

  • Prudence avec les courriels qui demandent une action de votre part ou qui vous imposent un délai.
  • Méfiez-vous si l’on vous demande d’effectuer une action, par exemple de cliquer sur un lien ou d’ouvrir une pièce jointe. N’entrez jamais de données personnelles sur un formulaire que vous avez ouvert dans un courriel via un lien.
  • Ne vous laissez pas manipuler:
    Les escrocs inventent sans cesse de nouveaux scénarios pour amener leurs victimes à agir sans réfléchir. Cette méthode porte le nom de «Social Engineering» et a pour but de pousser la victime à réaliser des actions pilotées par l’auteur de la fraude sans même s’en apercevoir. Ne vous laissez donc pas manipuler mais réfléchissez calmement et, en cas de doute, demandez à des amis, à des collègues de travail ou au NCSC comment évaluer une situation.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 27.12.2023

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2023/wochenrueckblick_51.html