Semaine 40 : Hameçonnage par petites annonces – les pirates informatiques diffusent désormais des logiciels malveillants au lieu de simples liens d’hameçonnage

Service navigation

Recherche

Navigation

Semaine 40 : Hameçonnage par petites annonces – les pirates informatiques diffusent désormais des logiciels malveillants au lieu de simples liens d’hameçonnage

07.10.2025 - Faites preuve de prudence en faisant vos achats en ligne. La célèbre arnaque sur les plateformes de petites annonces, qui permet aux escrocs de récupérer les données de cartes de crédit via des pages Web, a connu une évolution dangereuse. Au lieu de simplement attirer leurs victimes vers des sites d’hameçonnage, les pirates tentent désormais de les inciter à installer des logiciels malveillants. Une fois le logiciel malveillant (« Info Stealer ») installé, celui-ci vole non seulement les données d’accès individuelles, mais aussi tous les mots de passe, informations financières et données personnelles enregistrés sur l’ordinateur. La rétrospective de cette semaine analyse la nouvelle tactique utilisée et vous explique comment vous en prémunir.

Les tentatives de fraude sur les plateformes de petites annonces restent une menace persistante. Jusqu’à présent, les attaques suivaient un schéma bien connu : un prétendu acheteur contacte le vendeur, transfère rapidement la communication sur WhatsApp et envoie au vendeur un lien ou un code QR qui mène à une fausse page Web de La PostFinance ou d’un prestataire de services de paiement et prétend que le vendeur recevra l’argent s’il « confirme » le paiement. L’objectif ici reste celui de l’hameçonnage classique : l’interception de données de cartes de crédit ou d’identifiants bancaires électroniques. Cependant, des incidents récents montrent une escalade inquiétante de cette méthode. Si les victimes ne réagissent pas à la tentative d’hameçonnage, les pirates essaient ensuite de les inciter à exécuter un logiciel malveillant. Cet ajustement tactique est une réaction à la sensibilisation accrue de la population aux liens d’hameçonnage. Les utilisateurs apprenant de mieux en mieux à reconnaître les adresses Web suspectes, les criminels se tournent vers de nouveaux vecteurs d’attaque, en l’occurrence l’ouverture d’un prétendu document.

Analyse d’un incident récent

Un cas signalé à l’OFCS illustre en détail la nouvelle procédure appliquée par les escrocs.

1re phase : Prise de contact avec la victime pour gagner sa confiance
Peu après la mise en vente d’un article, un acheteur potentiel se manifeste et demande à poursuivre la conversation sur WhatsApp. Pour inspirer confiance, un numéro de téléphone mobile suisse est utilisé, ce qui suggère une présence locale et une légitimité du vendeur.

2e phase : Premier appât – la fausse confirmation de paiement
Dans un premier temps, les escrocs misent sur l’arnaque bien connue. Ils envoient un fichier PDF qui se présente comme une facture officielle de PostFinance et contient un code QR.

Hameçonnage classique : L’acheteur potentiel envoie au vendeur une prétendue confirmation de paiement de La PostFinance.
Hameçonnage classique : L’acheteur potentiel envoie au vendeur une prétendue confirmation de paiement de La PostFinance.

3e phase : Escalade avec l’ajout d’un logiciel malveillant
Le vendeur n’ayant pas réagi comme souhaité lors de la première tentative, les escrocs passent à l’attaque proprement dite et envoient un fichier ZIP intitulé « Twint-Rechnung.zip » évoquant le nom d’un prestataire de services connu afin de rassurer la victime sur la fiabilité de la transaction.

4e phase : Manipulation psychologique (ingénierie sociale)
L’envoi du fichier s’accompagne d’une pression psychologique importante. Des messages tels que « Veuillez procéder immédiatement à la vérification du document » créent un sentiment d’urgence qui incite à agir de manière irréfléchie. Une instruction bien spécifique est toutefois déterminante : « Ouvrez-le sur votre ordinateur, seul en mesure de prendre en charge ce format de document ! Cela ne fonctionnera pas sur votre téléphone portable ! » Cette instruction n’est pas une aide technique, mais une nécessité stratégique pour l’attaque, car le logiciel malveillant cible les mots de passe, les cookies et les données financières qui peuvent être stockés dans les profils de navigateur sur un ordinateur. De plus, le logiciel malveillant ne fonctionne pas sur les téléphones mobiles, car il a été conçu pour les environnements Windows. Les escrocs dirigent donc leur victime de manière ciblée vers un environnement qui leur est favorable et qui la rend vulnérable.

L'acheteur envoie le logiciel malveillant dans un fichier ZIP et fait pression sur le vendeur.
L'acheteur envoie le logiciel malveillant dans un fichier ZIP et fait pression sur le vendeur.

Qu’entend-on par « Info Stealer » ?

Le logiciel malveillant contenu dans le fichier ZIP est ce qu’on appelle un « Info Stealer ». Ce type de logiciel malveillant est spécialisé dans la collecte rapide et discrète d’informations sensibles sur l’ordinateur d’une victime et leur envoi vers un serveur contrôlé par les pirates. Contrairement à l’hameçonnage classique, qui ne vole que les informations saisies par l’utilisateur sur la page préparée, telles que le numéro de carte de crédit, le nom d’utilisateur et le mot de passe, les dommages causés par un « Info Stealer » sont bien plus importants, car celui-ci vise les informations suivantes :

  • Des données de connexion enregistrées (noms d’utilisateur et mots de passe) provenant de tous les navigateurs Web installés.
  • Des informations financières et des détails de cartes de crédit.
  • Des cookies de session permettant aux pirates de se connecter aux comptes en ligne de la victime sans mot de passe.
  • Des données provenant de portefeuilles de cryptomonnaies.
  • Des documents personnels et des informations système.

Recommandations

  • Méfiez-vous de tous les fichiers envoyés sans avoir été sollicités :
    Traitez chaque fichier qui vous est envoyé par un acheteur potentiel comme possiblement malveillant. N’ouvrez jamais de pièces jointes pour valider un paiement.
  • En tant que vendeur, c’est vous qui fixez les règles :
    Insistez pour utiliser votre mode de paiement préféré et sécurisé. Ne vous engagez pas dans des processus complexes qui nécessitent de cliquer sur des liens ou de télécharger des fichiers. Pour recevoir de l’argent, vous n’avez jamais besoin de saisir les informations de votre carte de crédit ni de confirmer un code.
  • Vérifiez la réception du paiement directement dans votre application ou dans votre service bancaire en ligne :
    La seule preuve valable d’un paiement est l’entrée d’argent sur votre compte bancaire officiel ou votre compte Twint. Ne faites pas confiance aux captures d’écran, aux fichiers PDF ou aux courriels comme confirmation.
  • Maintenez vos systèmes à jour :
    Assurez-vous que votre système d’exploitation, votre navigateur Web et votre logiciel antivirus sont toujours à jour. Les logiciels de sécurité actuels sont capables de détecter et de bloquer de nombreux « Info Stealers ».
  • Que faire en cas d’infection présumée ?
    Si vous pensez avoir ouvert un fichier malveillant, déconnectez immédiatement votre ordinateur d’Internet. Modifiez immédiatement tous vos mots de passe importants (messagerie électronique, e-banking, réseaux sociaux) à partir d’un autre appareil sécurisé (p. ex. votre smartphone). Signalez l’incident à l’OFCS et déposez plainte auprès de votre service de police. Le site Web Suisse ePolice vous permet de trouver les postes de police les plus proches de chez vous.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 07.10.2025

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_40.html