"La plus grosse arnaque qui n'ait jamais existé" cible actuellement les utilisateurs Google - comment la repérer ?
Une nouvelle fraude touche actuellement les utilisateurs de Google par le biais de publicités malveillantes. Découverte ce 16 janvier 2025, cette arnaque est l'une des plus ingénieuses jamais détectées. Alors, comment l'identifier et se protéger ?
Les cybercriminels sont plus rusés que jamais. À l'heure où la vigilance en ligne est à son comble, ils parviennent encore à contourner les dispositifs de sécurité et à passer inaperçus. Une nouvelle campagne de publicité malveillante, découverte par les experts de Malwarebytes Labs, a de quoi faire froid dans le dos.
En effet, elle utilise Google Ads, un service censé être fiable, pour propager des publicités qui redirigent les utilisateurs vers des sites de phishing. Une fois sur ces sites, les victimes sont incitées à se connecter à leur compte Google. En entrant leurs identifiants, elles permettent aux pirates d'accéder à leur compte, de détourner leurs revenus publicitaires et même de prendre possession du profil Google Ads.
Concrètement, la publicité pouvant potentiellement intéresser l'internaute ciblé respecte les normes en affichant une URL à première vue normale. C'est pourquoi, les victimes ne se doutent de rien. Mais, une fois que l'utilisateur se connecte à un site frauduleux et entre ses identifiants, les pirates prennent le contrôle du compte. Ils créent un nouveau compte Google Ads et détournent les revenus de la victime. Pire encore, ils excluent souvent le propriétaire légitime de son propre compte. L'objectif final des fraudeurs est de revendre les comptes volés sur le dark web et de lancer d'autres campagnes de phishing. Malwarebytes Labs a d'ailleurs révélé plusieurs campagnes de phishing liées à cette fraude, notamment au Portugal, au Brésil, à Hong Kong et en Europe de l'Est, démontrant l'ampleur mondiale de cette arnaque.
Ainsi, pour éviter de tomber dans ce piège, vérifiez toujours l'URL des sites que vous visitez, même si la publicité semble fiable. Si un site vous demande de vous connecter avec vos identifiants, assurez-vous qu'il s'agit bien d'un site officiel. En cas de doute, il vaut mieux quitter la page et rechercher directement le service via Google. Utilisez également un gestionnaire de mots de passe, qui peut vous alerter si vous entrez vos identifiants sur un site suspect. Si vous gérez un compte Google Ads, soyez particulièrement attentif aux activités inhabituelles et activez la vérification en deux étapes pour renforcer la sécurité de vos comptes. Vous l'aurez compris, restez vigilants.