La Champions League des fausses applications

Les cyber-escrocs ont exploité  ce mois-ci la Champions League sur Internet en proposant des loteries par e-mail, des billets surprises gagnés par les utilisateurs, et des séjours promotionnels pour assister à la finale. Il est donc parfois difficile de faire la part des choses entre tout ce que nous recevons, ces arnaques étant d’autant plus perfectionnées qu’elles sont extrêmement rentables.

Les cybercriminels profitent des nombreuses requêtes sur les moteurs de recherche à propos d’événements extrêmement médiatisés comme les finales de football, les concerts, les mariages royaux ou le décès de stars pour tendre des pièges classiques ou innovants aux internautes enthousiastes et curieux. La finale de la Champions League n’a pas échappé à la règle : différentes offres alléchantes ont été proposées aux fans, … qui pourraient s’avérer bien plus chères que prévu.

Nos laboratoires ont observé ces dernières années plusieurs arnaques d’ingénierie sociale spécialement conçues pour profiter des fans à l’occasion des compétitions de foot. Parmi elles figure la Loterie par e-mail de la Champions League, dont le « Comité Organisateur local de la Champions League Européenne » était « heureux d’annoncer  que la somme de SEPT CENT MILLE DOLLARS AMÉRICAINS serait remise aux 100 heureux gagnants dont l’e-mail avait été tiré au sort. » Les e-mails des utilisateurs étaient censés avoir été sélectionnés au hasard via un « système de tirage au sort informatique, parmi une base de données de 1 500 000 adresses e-mail d’entreprises et de particuliers ». Il suffit pour cela de compléter un formulaire avec de nombreuses informations sensibles telles que son nom, adresse, e-mail, profession, pays, et informations de cartes bancaires. Les escrocs ont ainsi pu recueillir de nombreuses données, utilisées par la suite pour perpétrer des activités malveillantes, telles que le spam, le transfert d’argent illégal ou les usurpations d’identité.

Une autre initiative malveillante a été détectée lors de la finale de la Champions League : une campagne de spamciblant les fans britanniques de football qui étaient bien sûr susceptibles d’être intéressés par un billet pour la finale. L’arnaque se déroulait  de la façon suivante : les utilisateurs devaient envoyer un message SMS à un numéro de téléphone et voter pour leur  équipe favorite afin de participer à une loterie pour remporter un billet. Ce SMS coûtait cependant aux fans de football « 5£, TVA non incluse » ce qui a rapporté aux escrocs une belle somme d’argent. Bien évidemment, il n’y avait aucun billet à gagner pour la finale.

Le cocktail que constituent l’euphorie, les amis et leur équipe favorite pourrait s’avérer difficile à digérer pour certains. Pour cette année, imaginez la situation suivante : nous sommes samedi 28 mai et vous assistez avec vos amis à la rencontre opposant le FC Barcelone et Manchester United FC. Le match prend la tournure que vous attendiez et vous décidez même de faire un pari. Assurez-vous  que ce pari ne vous coûtera pas trop cher. Les téléphones portables avec connexion Wifi présentent un risque important pour la confidentialité de votre transfert de données. Vos identifiants de connexion peuvent être interceptés entre votre smartphone, votre PC ou votre portable et le site Web de paris.

Internet regorge de fausses applications contenant du code douteux destiné à dérober des données sensibles depuis votre smartphone. Toutes ces applications sont des versions « trafiquées » d’applications légales (telles que Photo Editor, Scientific Calculator, Super History Eraser, Super Guitar Solo, APP Uninstaller etc.) ce qui leur permet de passer facilement comme applications sûres puisque certains utilisateurs ont déjà téléchargé des véritables applications légitimes. C’est ce qu’on appelle se cacher en pleine lumière.

Google a exclu de nombreuses applications dangereuses d’Android Market afin d’éviter que les utilisateurs naïfs en soient victimes. On ne peut toutefois affirmer que toutes les applications malveillantes ont été supprimées, puisque leur nombre augmente à l’occasion de certains événements et qu’elles deviennent ainsi la cible de cybercriminels, et donc plus difficiles à détecter. Une fois téléchargés sur les portables, ces « agents secrets » bien cachés, commencent à recueillir des données confidentielles qui sont immédiatement envoyées aux escrocs, tout en laissant une backdoor ouverte pour perpétrer à distance leurs futures actions malveillantes.

D’autres applications usurpent des services bancaires ou boursiers en ligne pour s’emparer de vos identifiants de connexion et dérober plus tard votre argent ou votre identité  par le biais de programme de phishing. Ainsi, si vous décidez de faire un pari via votre smartphone et que vous ne prêtez pas attention à l’application que vous utilisez pour cela, vous risquez de vous retrouver sur une page spoofée ou créée spécifiquement à l’occasion d’un événement particulier, conçue pour vous dérober vos identifiants et s’emparer de votre argent et/ou de votre identité.

Des e-mails diffusant du spam et du phishing peuvent également vous assaillir peu avant la finale de la Champions League. Des escrocs vous racontent par exemple que vous êtes l’heureux gagnant d’un billet pour la finale à Wembley ou vous redirigent vers votre site Web favori de paris en ligne afin que vous fassiez fortune. Quoi qu’il en soit, assurez-vous d’abord que vous êtes sur la bonne page en vérifiant l’URL dans la barre du navigateur et en vérifiant la présence d’un certificat de sécurité. Taper l’adresse d’un site Web est bien moins risqué que de cliquer sur un lien reçu via messagerie instantanée ou e-mail.

Les escrocs inventent différentes arnaques afin de répondre exactement aux besoins et à l’intérêt des différents types d’utilisateurs d’ordinateurs et de smartphones. C’est pourquoi vous devez faire preuve de prudence lorsque vous décidez, par exemple, d’acheter un billet sur eBay. Il est possible que ce billet n’existe pas et que vous finissiez par payer quelque chose qui ne vous sera jamais remis. Ne pensez pas non plus que vous êtes l’heureux gagnant d’un billet si vous n’avez jamais participé au concours en question !

Enfin, si vous êtes fan des pronostics basés sur l’« intelligence artificielle », soyez prudents quant au logiciel de pronostics que vous utilisez. À l’occasion d’événements sportifs, les créateurs de malwares proposent généralement des « logiciels de pronostics sportifs », des applications très chères affichant des scores « probables ». Certaines de ces applications proposées gratuitement comportent des malwares, assurez-vous donc de les avoir analysées avec un antivirus à jour avant de les utiliser.

Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.