Illustration of a scammer stealing personal data from a laptop
Agence web » Actualités du digital » Ne vous laissez pas tromper par une arnaque

Ne vous laissez pas tromper par une arnaque

ParTremplin Numérique Publié le

Résumé

  • Les cybercriminels incitant les gens à s'escroquer eux-mêmes ont bondi de 614 % au troisième trimestre 2024.
  • Méfiez-vous des faux CAPTCHA, des tutoriels louches et des escroqueries de type « solution rapide ».
  • Restez en sécurité en vérifiant les liens, en étant prudent lors de l'installation de logiciels et en gardant votre système à jour.

Le pire de certaines escroqueries réside dans leur capacité à se déguiser en tâches inoffensives. Mais comment les repérer et se protéger ?

Les cybercriminels incitent les gens à se tromper eux-mêmes

Lorsque vous pensez à un cybercriminel ou à un pirate informatique, vous pensez peut-être à un logiciel de piratage sophistiqué utilisé pour pirater vos comptes ou à un phisher (un escroc par courrier électronique) se faisant passer pour le prince du Nigeria. Il existe cependant d’autres moyens par lesquels les cybercriminels ciblent leurs victimes : en les amenant à s’escroquer eux-mêmes.

Parfois, l’arnaque consiste à saisir des détails sur une page de phishing. D'autres fois, il s'agit de copier et coller du code malveillant sur la ligne de commande. Quelques criminels vont plus loin et poussent des personnes sans méfiance à exécuter des scripts qui compromettent leur système et leurs informations confidentielles. Ces astuces d’ingénierie sociale ont grimpé en flèche de 614 % au troisième trimestre 2024, selon Gen Digital.

CAPTCHA malveillants

Les CAPTCHA sont conçus pour protéger contre le spam. Les pirates peuvent les modifier pour inclure des scripts sous-jacents qui volent des informations. Vous pouvez voir un puzzle avec des lettres brouillées ou une série de tests basés sur des images : sélectionnez tous les carrés avec des feux de circulation, par exemple. Rien ne semble suspect en surface.

Vous pouvez passer cette étape, puis cliquer sur le bouton qui télécharge une charge utile cachée ou accorde aux attaquants l'accès à un compte. Ces pages malveillantes reflètent parfois des conceptions d’apparence officielle. Ils reproduisent l'image de marque et le langage d'un service établi, s'intégrant parfaitement à la navigation régulière.

Un CAPTCHA légitime ne vous demandera jamais de télécharger quoi que ce soit ni de fournir des autorisations inhabituelles.

Faux tutoriels YouTube

Certains tutoriels sur les plateformes vidéo présentent également des dangers cachés. Les instructions promettent de résoudre un problème frustrant et peuvent sembler légitimes au premier abord avec un narrateur qui vous guide à travers chaque étape. Quelque part dans la vidéo, les instructions conseillent d'exécuter un script en tant qu'administrateur. La source du script est cachée derrière un lien raccourci ou un extrait de code dans la description de la vidéo. Un petit détail peut ressortir un instant, mais l'environnement semble suffisamment convivial pour que vous décidiez de lui faire confiance.

Le pirate informatique s’appuie sur ce moment éphémère de crédulité pour exécuter du code malveillant sur votre système. Une fois exécuté, il peut entraîner un vol d’informations d’identification et compromettre votre système. Méfiez-vous des didacticiels dans lesquels les commentaires sont désactivés ou des commentaires qui semblent spammés. Si la vidéo est publiée par des comptes inconnus ou nouveaux avec peu de vidéos, soyez prudent.

Escroqueries ClickFix

Vous pouvez voir un e-mail ou une fenêtre contextuelle qui vous avertit d'une faille de sécurité critique, puis prétend qu'un simple clic sur un lien corrigera tout. Derrière cela se cache une charge utile nuisible qui installe des logiciels espions, enregistre les frappes au clavier ou vole des jetons d'authentification. Votre intention est peut-être de corriger un bug supposé, mais le résultat réel implique de confier le contrôle à un pirate informatique. Si vous voyez des avertissements inattendus dans les fenêtres contextuelles du navigateur ou dans les e-mails, fermez l'onglet ou l'e-mail et signalez-le immédiatement. Ne cliquez sur aucun lien.

Mises à jour bidon

Les fausses mises à jour partagent le même thème. Une notification arrive indiquant que votre antivirus (que vous n'avez peut-être même pas installé sur votre ordinateur) a besoin d'une mise à niveau urgente. L'invite d'urgence pourrait indiquer qu'elle bloque une menace majeure. Un utilisateur qui souhaite avoir l’esprit tranquille clique et suit les instructions. Le processus se termine et le système redémarre, sauf qu'il est désormais compromis. Le logiciel qui se fait passer pour une mise à jour antivirus peut paralyser vos véritables outils de protection en coulisse.

Les pirates aiment cette méthode car ils s’appuient sur votre désir de rester à jour et en sécurité. Mettez à jour uniquement les logiciels à partir de sources officielles ou des outils intégrés de votre appareil. Ne faites jamais confiance aux pop-ups aléatoires, aux e-mails ou aux sites peu précis.

Comment vous protéger

Malgré les nombreuses façons dont les fraudeurs et les pirates informatiques peuvent vous attaquer, quelques mesures de protection simples éviteront la plupart des problèmes que vous pourriez rencontrer.

Vérification des URL

Parfois, confirmer l'authenticité d'un site ou vérifier la légitimité d'un téléchargement semble être une corvée. Cependant, la vérification des URL est essentielle. Repérer un suffixe de domaine étrange ou un sous-domaine inattendu peut s'avérer payant. Si le lien prétend mener à un site connu, mais que le nom de domaine comporte des lettres supplémentaires ou des signes de ponctuation suspects, il est sage de reculer. Les cybercriminels clonent souvent de grandes marques ou des portails de services en modifiant légèrement le nom de domaine, en espérant que vous ne le remarquerez pas.

N'exécutez pas de commandes ou de scripts aléatoires

Copier et coller des commandes à partir de didacticiels en ligne méritent une prudence particulière. Il est tentant de prendre le code d'un forum ou d'une vidéo YouTube et de le coller directement dans le terminal ou l'invite de commande. Vérifiez chaque ligne avant d’appuyer sur Entrée. Méfiez-vous des commandes qui s'exécutent avec des privilèges élevés : recherchez la commande sur Google si vous devez le faire. Je recommande également de ne pas exécuter de scripts en tant qu'administrateur ou utilisateur root, car le risque d'infection de logiciels malveillants sur votre système est élevé.

Faites attention à l'endroit à partir duquel vous installez le logiciel

Installer des logiciels provenant d'éditeurs inconnus sera toujours risqué. Télécharger quoi que ce soit à partir de liens aléatoires ou de sites Web suspects peut entraîner des problèmes de sécurité. Les magasins d'applications officiels, les sites Web de fournisseurs ou les référentiels de logiciels réputés sont des paris plus sûrs. Il n'y a jamais de garantie de protection absolue, mais au moins les plates-formes largement utilisées disposent d'un certain contrôle de sécurité. Les sites Web hors marque promettent de la commodité ou prétendent héberger des téléchargements gratuits d’outils coûteux. Même si le logiciel fonctionne, il peut cacher des surprises supplémentaires qui suivront, exploiteront ou saboteront votre système.

Utiliser les privilèges non-administrateur

Exécuter votre système avec des privilèges non-administrateur dans la mesure du possible offre également un environnement plus sûr. De nombreuses tâches de routine ne nécessitent pas d'accès élevé. Si vous naviguez uniquement sur Internet, envoyez des e-mails ou modifiez des documents, un profil utilisateur standard suffit. Les attaques reposant sur les droits d'administrateur ne fonctionnent pas si votre compte n'accorde pas ce niveau de pouvoir. Vous pourriez voir une invite vous demandant un mot de passe ou vous avertissant qu'une action nécessite des privilèges plus élevés. Prendre un moment pour refuser des privilèges supplémentaires peut vous empêcher de permettre à quelque chose de dangereux de s'exécuter.

Gardez votre système et vos programmes à jour

Garder les logiciels à jour reste essentiel pour la cybersécurité. Les fournisseurs corrigent les vulnérabilités dès qu’ils en prennent conscience. Les attaquants surveillent le cycle des correctifs. Dès qu’ils remarquent un produit largement utilisé avec une faille nouvellement révélée, ils créent un exploit qui cible les utilisateurs qui n’ont pas encore mis à jour. Retarder une mise à jour comporte des risques, et il est important d'installer des correctifs critiques pour garder une longueur d'avance sur ces pirates.

Les attaquants utilisent généralement l’ingénierie sociale pour contourner les défenses sophistiquées et les pare-feu sophistiqués. L’élément humain reste l’élément le plus risqué de toute chaîne de sécurité. Les gens veulent faire confiance aux autres ou résoudre les problèmes rapidement. Les criminels se nourrissent de cette empathie ou de cette urgence. Faites confiance à votre instinct lorsque vous sentez que quelque chose ne va pas et tenez-vous informé.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.