Les faux sites web font des ravages

Les attaques de phishing impliquant de faux sites web imitant des marques connues atteignent aujourd’hui une échelle autrefois inimaginable.

Les chercheurs en cybersécurité de NordVPN ont révélé avoir identifié plus de 120 000 sites malveillants imitant Amazon, créés au cours des deux derniers mois. En tout, 92 000 sites de phishing utilisaient le nom d’Amazon, dont 21 000 tentaient d’installer des malwares, tandis que 11 000 autres vendaient de faux produits.

Parallèlement, les analystes de Silent Push, un fournisseur de services de renseignement en cybersécurité, ont découvert des milliers de sites frauduleux imitant des marques comme Apple, Harbor Freight Tools, Wayfair, Guitar Center, Lane Bryant et Wrangler Jeans. Ces sites semblent même traiter les paiements via PayPal et Google, pour des biens qui ne sont jamais livrés. Cette méthode permet aux cybercriminels de revendre les coordonnées bancaires sans éveiller de soupçons, les transactions apparaissant comme légitimes aux yeux des services financiers.

Tous les sites frauduleux identifiés par Silent Push sont liés à une même place de marché en ligne, qui semble avoir des liens avec la République Populaire de Chine. Il est difficile de savoir dans quelle mesure les acteurs malveillants utilisent des outils d’IA pour coder ces faux sites, mais il est raisonnable de penser que l’IA accélère fortement leur développement. Le nombre de ces sites malveillants continuera donc d’augmenter, en conséquence de la réduction des coûts de développement engendrée par l’IA. Pire encore : il ne s’agit que d’une question de temps avant que l’IA ne soit utilisée pour créer des millions de fausses identités.

Tous ces faux sites sont utilisés à la fois pour distribuer des malwares et collecter frauduleusement des identifiants de carte bancaire. Les données volées sont ensuite utilisées pour effectuer des achats frauduleux sur des sites légitimes, rendant pratiquement impossible d’estimer les pertes financières réelles causées par ces attaques. La Federal Trade Commission (FTC) estime que les consommateurs américains ont signalé plus de 12,5 milliards de dollars de pertes liées à la fraude en 2024 ; les problèmes liés aux achats en ligne étant le deuxième motif de fraude le plus rapporté. Une forte augmentation par rapport aux 10 milliards de dollars signalés en 2023. En ajoutant les pertes des consommateurs à celles des commerçants et fabricants, le coût de ces crimes se chiffre probablement en milliers de milliards de dollars chaque année. 

Malgré les efforts des détaillants et fabricants pour endiguer la vague de transactions frauduleuses, avec la collaboration des émetteurs de cartes bancaires, le volume des faux sites devient ingérable. Même si la moitié d’entre eux est identifiée, les coûts engendrés dépassent ce que beaucoup d'entreprises peuvent encaisser. Pire encore, de nombreux clients deviennent encore plus méfiants vis-à-vis des achats en ligne en général.

L’espoir : que l’IA permette aussi bientôt de détecter plus facilement ces sites dès leur mise en ligne. Mais d’ici là, les équipes de cybersécurité ont tout intérêt à surveiller de près les flux d’alertes, dans un monde où les délais d’avertissement se comptent en minutes, voire en secondes.