Alors que l’automne s’installe et que la saison de nettoyage extérieur commence, les propriétaires de partout au pays sont bombardés de courriels. Beaucoup ont l’air assez inoffensifs, juste une notification disant que vous avez gagné quelque chose pour votre jardin. Un exemple récent prétendait que vous aviez gagné un grand chariot à benne basculante de jardin, un article utilitaire que beaucoup de gens achètent dans les quincailleries à cette période de l’année. Il semblait provenir de Home Depot , avec leur logo, et le sujet était festif : « Votre friandise n’est qu’à un clic ! » Pourtant, ce qui semblait être un prix gratuit était en réalité un système de phishing soigneusement conçu.
Derrière l’attrait saisonnier, il y avait de l’urgence, car l’e-mail avertissait que l’offre expirerait dans quelques minutes et qu’il fallait « commencer ici » pour réclamer son prix. Une fois que vous avez cliqué, l’histoire est devenue plus profonde. Vous avez été redirigé vers des pages Web vous demandant de remplir des informations personnelles, de répondre à un sondage en ligne, puis d’entrer votre adresse personnelle, et enfin de demander des informations de paiement sous le couvert de « petits frais de traitement ». À ce moment-là, vos données avaient probablement été transmises à des attaquants.
Comment l’escroquerie a été conçue pour avoir l’air légitime
Ce qui rend cette escroquerie particulièrement dangereuse, c’est à quel point elle semblait réaliste. L’e-mail a été conçu sous le thème d’Halloween, en puisant dans l’état d’esprit saisonnier du nettoyage et de la décoration de la cour. La promesse d’un chariot à benne basculante gratuit était plausible et opportune. Lorsque les gens envisagent de transporter des feuilles ou de rénover leur jardin, l’appât a du sens.
Les chercheurs ont trouvé plusieurs cadeaux qui ont révélé la fausse nature. Par exemple, l’adresse e-mail de l’expéditeur se terminait par un domaine appartenant apparemment à un lycée de Los Angeles, et non Home Depot à . Le contenu du message comprenait des caractères de contrôle cachés et une image de suivi d’un seul pixel pour confirmer que l’e-mail avait été ouvert. L’objectif était clair, le rendre suffisamment réel pour contourner les filtres anti-spam et inciter les destinataires à s’engager.
Une fois que le destinataire de l’e-mail a cliqué sur l’image ou sur le lien « Commencer ici », il a été descendu dans un entonnoir en plusieurs étapes. Tout d’abord, une enquête ou un questionnaire posait des questions de base sur l’âge ou le sexe. Ensuite, une page demandait l’adresse de livraison. Enfin, il y a eu la demande de paiement déguisée en frais de traitement. À ce moment-là, les victimes ont peut-être eu l’impression d’être allées trop loin pour faire demi-tour. Le véritable résultat de cette situation est que leurs informations personnelles et financières ont été volées et/ou vendues.
À première vue, cela ressemble à un cadeau de chariot de jardin qui a mal tourné. Mais les implications sont plus profondes. Lorsque les escrocs récoltent des informations personnelles telles que votre nom, votre adresse, votre carte de paiement et votre adresse e-mail, ils obtiennent des outils qu’ils peuvent réutiliser. Ces données peuvent être vendues ou réutilisées pour envoyer d’autres attaques de phishing, commettre une usurpation d’identité ou accéder à d’autres comptes que vous possédez.
Étant donné que l’escroquerie est configurée comme un entonnoir en plusieurs étapes, il n’est pas toujours évident de savoir immédiatement qui se cache derrière, ni comment les données seront exploitées par la suite. Les victimes peuvent penser qu’elles n’ont perdu que quelques minutes, mais la véritable perte peut survenir des mois plus tard lorsqu’un compte est compromis ou que des achats frauduleux apparaissent.
Pour les entreprises, ces escroqueries ont un impact sur la marque. Si vous voyez une offre qui semble provenir de , ou de Home Depot tout autre grand détaillant, et qu’elle s’avère être fausse, la confiance des clients s’érode. Les détaillants doivent travailler avec des entreprises de sécurité, et les consommateurs doivent rester vigilants pour protéger à la fois leurs données et leur confiance dans les marques.
Signes avant-coureurs que vous avez peut-être manqués
Il y avait plusieurs drapeaux rouges, certains subtils, d’autres plus visibles. Le domaine de messagerie de l’expéditeur était important, car il ne correspondait pas à l’entreprise qu’il était censé représenter. Les images et les liens étaient entièrement cliquables, configurés pour être redirigés vers des sites Web compromis avant d’atteindre la page finale. Des caractères de contrôle cachés ont été utilisés dans le message pour éviter d’être détectés par les filtres anti-spam. Tout cela était le signe d’une campagne de phishing bien organisée.
Un autre élément délicat était l’urgence et l’exclusivité : « Pas de trucs, juste des clics » et « Votre friandise n’est qu’à un clic ». Ces phrases poussaient l’utilisateur à agir immédiatement. Lorsque les messages disent que l’offre n’est valable que pour quelques minutes, ils essaient généralement de couper court à toute réflexion raisonnable et de vous faire agir avant que vous ne vérifiiez. Au moment où quelqu’un se rend compte de l’erreur, les données ont souvent disparu.
Que faire si vous rencontrez une telle offre
Si vous recevez un e-mail vous offrant un « prix gratuit » de la part d’une marque de confiance, faites d’abord une pause. Ne cliquez pas tout de suite. Au lieu de cela, vérifiez l’offre directement auprès de l’entreprise, visitez son site officiel ou contactez l’assistance. Vérifiez l’adresse e-mail de l’expéditeur : si elle ne se termine pas dans le domaine officiel de l’entreprise (par exemple, si elle ne se termine pas par « @homedepot.com »), il s’agit probablement d’une arnaque.
Si vous avez cliqué sur le lien, ne l’ignorez pas. Examinez vos comptes à la recherche d’activités suspectes. Si vous avez saisi un paiement ou des coordonnées bancaires, contactez immédiatement votre banque. Envisagez de modifier vos mots de passe, d’activer l’identification à deux facteurs et d’analyser votre appareil avec un logiciel de sécurité. Ces mesures peuvent aider à limiter les dommages et à prévenir l’utilisation abusive des données.
Il est également sage de traiter les offres saisonnières avec un scepticisme supplémentaire. Les promotions liées aux vacances ou aux grandes périodes d’achat font souvent l’objet de campagnes de phishing. Lorsqu’une offre semble trop belle pour être vraie, comme un prix gratuit, il suffit d’un clic, c’est généralement le cas.
Si vous recevez un e-mail affirmant que vous avez gagné un gros prix, en particulier de la part d’un détaillant avec lequel vous faites vos achats, ne présumez pas qu’il est légitime. Respirez, vérifiez les coordonnées de l’expéditeur et demandez si la marque organise réellement un tel concours. Évitez de cliquer sur des liens dans des e-mails inattendus. Demandez-vous si vous êtes allé sur le site Web de la marque ou si vous vous êtes inscrit à un tel cadeau.
L’arnaque au cadeau de chariot de jardin nous rappelle que les attaques de phishing évoluent. Ils empruntent l’apparence de vraies marques, exploitent des thèmes saisonniers et intègrent l’urgence dans leur langage. Ce qui ressemble à une friandise peut facilement se transformer en problème.
Restez prudent, gardez votre logiciel à jour, activez des protections supplémentaires comme l’authentification à deux facteurs et traitez toute offre gratuite qui demande des informations personnelles ou un paiement avec scepticisme. En fin de compte, votre meilleur prix est la prise de conscience et le fait d’éviter d’être trompé par ce qui ressemble à un raccourci vers quelque chose pour rien.