Des fausses cartes cadeaux pour inciter à divulguer ses données personnelles

Des escrocs se servent de fausses cartes cadeaux pour inciter les consommateurs à divulguer des données personnelles.

Les experts de Kaspersky Lab ont découvert un stratagème frauduleux inhabituel incitant les utilisateurs à perdre du temps et des données sans aucune contrepartie. En créant de faux sites web pour la production gratuite de cartes cadeaux, des cybercriminels parviennent à « vendre » les données des internautes à des sites tiers partenaires, vers lesquels ils redirigent leurs victimes.

Tandis que les entreprises et les forces de l’ordre du monde entier sont occupées à combattre la cybercriminalité, les malfaiteurs eux-mêmes recherchent constamment de nouveaux moyens de gagner de l’argent, en dehors des simples malwares. Offrir gratuitement aux internautes des produits de valeur est toujours un outil marketing efficace, que des criminels peuvent mettre à profit. Les sites web proposant aux consommateurs de générer gratuitement des cartes cadeaux pour des plateformes bien connues – par exemple iTunes, Google Play, Spotify, Amazon ou Steam – n’ont rien de nouveau.

Des applications authentiques telles que Tokenfire ou Swagbucks achètent ainsi des codes de carte à des e-commerçants pour ensuite en faire cadeau à leurs clients en récompense de certaines activités. Des escrocs, ayant apparemment remarqué le succès de ces sites, ont entrepris de tromper leurs utilisateurs à l’aide d’un algorithme simple.

Des procédés interminables et inutiles pour l’utilisateur, des gains sans effort pour les escrocs

Lorsqu’il arrive sur un faux site, l’internaute se voit invité à sélectionner la carte cadeau de son choix pour recevoir le code correspondant, ce qui met en route le mécanisme frauduleux. En effet, afin d’obtenir le code généré, la personne doit prouver qu’elle n’est pas un robot. Pour ce faire, il lui faut suivre le lien indiqué et accomplir diverses tâches, dont le nombre et le type dépendent du réseau partenaire vers lequel elle est redirigée. Par exemple, il peut lui être demandé de remplir un formulaire, de laisser un numéro de téléphone ou une adresse e-mail, de s’abonner à un service de SMS payant, d’installer un logiciel publicitaire, etc.

Le résultat est prévisible : soit la victime se lasse de ces opérations interminables, soit elle finit par obtenir un code inutile. Les gains pour les escrocs peuvent aller de quelques centimes par clic sur le lien en question à plusieurs dizaines d’euros pour le remplissage d’un formulaire ou l’abonnement à un service payant. Ainsi, les escrocs réalisent un profit pratiquement sans effort, puisqu’ils sont rémunérés par les actions des utilisateurs sur des sites partenaires qui y trouvent eux aussi leur compte en accédant à des données personnelles exploitables à des fins privées.

« Le succès de ces nouveaux stratagèmes de fraude repose sur l’exploitation par des escrocs de la propension des internautes à souhaiter obtenir des avantages sans rien débourser. Or, au mieux ces derniers vont perdre des heures à accomplir des tâches inutiles et, au pire, ils risquent de perdre de l’argent sans rien recevoir en retour. Par conséquent, si vous voulez gagner une carte cadeau gratuite, mieux vaut tenter votre chance sur des sites légaux et fiables« , commente Lyubov Nikolenko, analyste en contenus web chez Kaspersky Lab.

Quelles règles à suivre pour ne pas se faire avoir par des stratagèmes frauduleux.

Pour leur éviter d’être victimes des stratagèmes frauduleux des cybercriminels et de divulguer des données personnelles, les chercheurs de Kaspersky Lab conseillent aux utilisateurs d’observer quelques règles élémentaires :

  • Rappelez-vous que rien n’est jamais gratuit et que les offres qui paraissent trop belles pour être vraies doivent toujours être traitées avec scepticisme.
  • Vérifiez la connexion HTTPS et le nom de domaine lorsque vous ouvrez une page web. C’est d’autant plus important dans le cas de sites contenant des données sensibles : banque en ligne, e-commerce, messagerie, réseaux sociaux, etc.
  • Ne communiquez jamais vos données sensibles (identifiant, mot de passe, numéro de carte bancaire, etc.) à un tiers. Les entreprises dignes de confiance ne vous demanderont jamais de transmettre ces informations par e-mail.
  • Ne diffusez pas de liens douteux auprès de vos amis.
  • Vérifiez auprès de la société concernée si elle distribue bien des codes cadeaux gratuitement et si le site en question est son partenaire officiel. Pour ce faire, contactez son service de support via son site web officiel.
  • Utilisez une solution de sécurité fiable, dotée de technologies antiphishing à analyse comportementale, afin de détecter et de bloquer les attaques de spam et de phishing. Kaspersky Total Security, par exemple, bloque les faux sites de cartes cadeaux.

Pour en savoir plus sur le mécanisme de la fraude au générateur de cartes cadeaux, consultez notre rapport complet sur Securelist.com.

Conseils