Une entreprise de sécurité allemande, Security Research Labs, a mis au jour un réseau tentaculaire de plus de 75 000 sites frauduleux de vente en ligne ayant généré plus de 50 millions de dollars de revenus illégaux à travers le monde. Rien qu'en France, ce dernier, BogusBazaar, a reçu près de 200 000 commandes qui n'ont jamais été livrées à leurs destinataires.
Une « usine à faux sites ». C'est ainsi que nos confrères du site Le Monde décrivent BogusBazaar, ainsi baptisé par la société allemande de sécurité, SR Labs. Car il s'agit bel et bien d'un vaste réseau, à l'image de ces usines qui font tourner des racks de smartphones en simultané pour de l'escroquerie à grande échelle.
Le principe de cette infrastructure-as-a-service est vieux comme le monde du phishing. Il s'agit d'attirer des clients vers de faux sites de vente en ligne avec des offres alléchantes et de voler leurs informations bancaires, quand ce n'est pas leur faire commander des marchandises qu'ils ne recevront pas ou, dans le meilleur des cas, des articles de contrefaçon.
Une infrastructure-as-a-service orchestrée depuis la Chine par des serveurs hébergés aux États-Unis
SR Labs a découvert durant son enquête que BogusBazaar fonctionne exactement comme une multinationale, avec une équipe centrale chargée de la gestion générale du réseau, comme les applications et les passerelles de paiement, et un réseau parallèle de franchisés qui s'occupent des boutiques frauduleuses. Si l'on ignore combien de ces boutiques fantômes sont en ligne, lorsqu'on sait qu'un serveur BogusBazaar associé à une centaine d'adresses IP peut héberger jusqu'à 500 boutiques, on imagine à peine le nombre de tentacules que cette pieuvre illégale peut déployer.
BogusBazaar dispose de deux forces de frappe pour piller ses victimes. Il les attire dans un premier temps sur ses boutiques frauduleuses avec des offres trop alléchantes pour être vraies, puis vole les informations de paiement grâce à de fausses pages de règlement sécurisé. La seconde arme de BogusBazaar est la vente réelle de marchandises contrefaites, que les clients ne recevront parfois pas. Et si, dans ce cas, le paiement échoue, alors le client est redirigé vers une fausse page de règlement qui lui volera également ses coordonnées bancaires.
Comment éviter de tomber dans le piège des sites de vente en ligne frauduleux
Ce réseau de faux sites doit nous rappeler combien cette escroquerie est présente sur le Web, que ce soit par le biais de boutiques en ligne frauduleuses exploitant un nom de domaine actif ou inactif, ou bien de liens de redirection vers de fausses pages, envoyés aux victimes lors de tentatives de phishing. Et si BogusBazaar n'a pas recours au phishing à proprement parler, il n'en reste pas moins qu'il convient de rester très vigilants lorsque nous effectuons des achats en ligne. Clubic vous donne quelques conseils pour faire vos achats en toute sécurité et éviter de tomber dans le piège du phishing.
Tout d'abord, assurez-vous de la fiabilité du site internet. Évitez les sites à la réputation douteuse et vérifiez les mentions légales ainsi que l'adresse du site. Recherchez également d'éventuels signalements d'arnaques associées à son nom. Assurez-vous qu'il est sécurisé en vérifiant que l'URL commence par « https:// » et qu'un cadenas fermé est présent.
Ensuite, soyez particulièrement vigilant face aux attaques de phishing. Faites attention aux newsletters et aux e-mails incitatifs. Certains cherchent à extorquer vos données personnelles ou bancaires. Les tentatives de phishing se cachent parfois dans des e-mails frauduleux qui échappent aux filtres de spams et atterrissent dans votre boîte principale.
Apprenez à les identifier : une adresse mail inconnue avec des fautes d'orthographe ou des caractères étranges doit vous alerter. Comparez-la à d'autres messages reçus de la même personne ou organisation, et si elle diffère, soyez sur vos gardes. Ensuite, prêtez attention à la date et à l'heure d'envoi. Un e-mail reçu à une heure inhabituelle, surtout la nuit, provenant d'une organisation normalement inactive à ce moment-là, doit éveiller vos soupçons. Prenez également garde aux messages alarmistes ou qui vous incitent à agir de manière urgente.
Enfin, ne cliquez jamais sur des pièces jointes ou des liens hypertextes provenant d'e-mails inconnus. Ils peuvent contenir des malwares dangereux pour votre appareil. Passez la souris sur les liens sans cliquer pour vérifier l'URL de redirection. Si un e-mail vous demande des informations personnelles ou bancaires, vous incite à cliquer sur un lien ou une pièce jointe, ou aborde un sujet alarmant avec une demande urgente, il s'agit probablement d'une tentative de phishing.
