C’est ce qu’on appelle le « malvertising », et si vous n’êtes pas vigilant pour le repérer, vous pourriez vous brûler.
Jack Wells, lecteur du Washington Post, m’a écrit récemment après une frayeur. « J’ai peur d’avoir été piraté ce matin, et je me demande si vous pourriez donner des conseils sur la façon d’y faire face », a-t-il écrit.
Voici ce qui s’est passé: Wells était allé à DuckDuckGo, le moteur de recherche axé sur la confidentialité que j’utilise également, et avait tapé « Citibank login » dans l’espoir de visiter le portail bancaire. Le premier élément semblait être une annonce pour la page de connexion de Citibank, alors il a cliqué dessus.
Étrangement, Wells a été emmené sur un écran vide. Il a donc appuyé sur le bouton Précédent et a découvert qu’il était sur une page dont l’adresse réelle se terminait par « .ru » (pour la Russie) et n’était certainement pas Citibank.
Il semble que Wells soit tombé dans le piège d’une publicité de recherche frauduleuse utilisée pour inciter les gens à remettre par inadvertance leurs mots de passe ou à télécharger des logiciels malveillants. Lorsque j’ai interrogé DuckDuckGo sur son expérience, la porte-parole Allison Goodman a déclaré que la société n’était pas en mesure de la recréer, mais elle soupçonne qu’il a peut-être cliqué sur un lien publicitaire qui avait maintenant été supprimé.
« Nous avons vu cela se produire très rarement; les escrocs font évoluer leurs tactiques et montent et suppriment régulièrement des sites pour éviter d’entrer sur des listes noires », a-t-elle déclaré. Les annonces sur DuckDuckGo sont gérées par Microsoft, qui les place également sur son propre moteur de recherche Bing.
« Nous prenons très au sérieux les publicités trompeuses ou frauduleuses », a écrit la porte-parole de Microsoft, Caitlin Roulston. « Microsoft interdit ce type de contenu, y compris ce qui peut être raisonnablement perçu comme étant trompeur, frauduleux ou nuisible aux visiteurs du site. »
Maintenant, la très mauvaise nouvelle: les annonces de recherche frauduleuses ne sont pas seulement un problème sur DuckDuckGo et Bing. Ils sont également un problème sur Google, le moteur de recherche le plus utilisé au monde. Il existe des publicités pour de fausses banques, de faux sites pour l’IRS et d’autres agences gouvernementales, ainsi que de faux portefeuilles cryptographiques, pour n’en nommer que quelques-uns.
En août, le sénateur Richard Blumenthal (D-Conn.) a écrit dans une lettre au directeur général de Google, Sundar Pichai que le géant de la recherche a démontré un « dossier troublant de diligence raisonnable inadéquate contre la fraude et les abus » dans les publicités. Sa lettre citait un Enquête de 2021 par mon collègue Jeremy Merrillconstatant que les annonceurs se faisaient passer pour des sites Web gouvernementaux. Google a déclaré qu’il avait supprimé ce type d’annonces interdites, mais le bureau du sénateur a ensuite vérifié et constaté que des annonces similaires apparaissaient toujours, ce qui suggère que les contre-mesures de Google n’étaient pas très efficaces.(Merrill a trouvé des problèmes similaires avec les publicités Microsoft de DuckDuckGo.)
En juillet, chercheurs chez Malwarebytes a rapporté comment des utilisateurs de Google sans méfiance recherchant des mots-clés populaires – y compris « youtube » – pouvaient cliquer sur une annonce et voir leur navigateur piraté avec de faux avertissements les exhortant à appeler de faux agents Microsoft pour obtenir de l’aide. Et en 2021, Check Point Research identifié une campagne de phishing publicitaire de Google qui avait entraîné le vol d’au moins un demi-million de dollars de crypto-monnaie.
Comment cela se passe-t-il ? Le problème principal est que de nombreuses annonces de recherche sont vendues via des systèmes en libre-service, où les annonceurs n’ont pas nécessairement besoin d’être autorisés ou de faire vérifier leurs liens par des humains. Les méchants essaient parfois de créer des milliers de comptes simultanément, dans l’espoir que quelques-uns passent.
Les entreprises affirment qu’elles sont au-dessus du problème.
« Lorsque nous prenons connaissance de ces cas, nous prenons des mesures pour les supprimer dès que possible », a déclaré roulston, porte-parole de Microsoft. « Nous appliquons ensuite les commentaires dans nos mécanismes de détection afin d’améliorer notre capacité à détecter et à supprimer des publicités similaires à l’avenir. »
« Nous travaillons toujours pour garder une longueur d’avance sur les mauvais acteurs, dont certains utilisent des mesures sophistiquées pour dissimuler leur identité et échapper à nos politiques », a déclaré le porte-parole de Google, Davis Thompson, dans un courrier électronique. « Les gens méritent de se sentir en sécurité sur nos plateformes et nous continuerons d’améliorer nos pratiques d’application de la loi pour lutter contre les abus et la fraude. »
Comme quoi? Thompson a déclaré que ces dernières années, Google a lancé de nouvelles politiques de certification, intensifiées vérification de l’annonceur, et incra facilité la capacité de l’entreprise à détecter et à prévenir les escroqueries coordonnées. Mais il n’a pas voulu dire quel pourcentage des annonceurs de l’entreprise sont maintenant vérifiés.
Nous ne savons toujours pas non plus quelle est l’ampleur du problème. En 2021, Google dit avoir bloqué ou supprimé 38,1 millions d’annonces pour «déformation» et 58,9 millions de publicités pour violation de son politiques relatives aux services financiers, à la fois avant et après leur course. Microsoft ne dirait pas combien d’annonces frauduleuses il supprime.
Alors, que pouvez-vous faire contre les publicités frauduleuses?
Cela commence par la sensibilisation. Beaucoup de ces attaques tentent d’exploiter un comportement en ligne très courant: rechercher un site Web par son nom au lieu d’entrer son URL complète dans la barre d’adresse. Prenez donc l’habitude de tout taper vous-même dans votre navigateur – au lieu de taper « citibank login », tapez citi.com dans son intégralité.
Une autre suggestion: Enregistrez les signets du navigateur pour les sites que vous utilisez le plus souvent.
Personnellement, j’ai l’habitude de ne pas cliquer sur les annonces de recherche. Si vous regardez plus bas dans la page sous les annonces, vous trouverez les vrais résultats de recherche qui ont été sélectionnés et ordonnés pour leur popularité et leur utilité réelle. Et si vous installez un bloqueur de publicités dans votre navigateur, vous ne verrez aucune publicité, bonne ou mauvaise.
Que devez-vous faire si vous pensez avoir cliqué sur l’une de ces mauvaises annonces? Pour Wells, j’ai recommandé un plan en deux étapes qui est similaire à ce que je conseillerais à tous ceux qui pensent qu’ils pourrait avoir été piraté.
Tout d’abord, je lui ai suggéré d’analyser son ordinateur à la recherche de virus et de logiciels malveillants. C’est important que vous utilisiez Windows ou un Mac. J’utilise Malwarebytes, qui est disponible en téléchargement gratuit (ou, si vous y vous abonnez, en tant que bouclier permanent). Il trouvera et mettra en quarantaine les mauvais logiciels que vous avez peut-être téléchargés.
Deuxièmement, je lui ai suggéré de changer son mot de passe bancaire. Le phishing des méchants pour les informations de connexion est probablement le risque n ° 1 pour la plupart des gens en ligne. L’erreur de sécurité que beaucoup de gens font est de réutiliser les mots de passe sur différents sites, applications et services. C’est un problème parce que si les méchants obtiennent l’un de vos mots de passe, ils essaieront de l’utiliser pour accéder à vos comptes, données et peut-être même de l’argent ailleurs.
La seule solution pratique est d’utiliser un mot de passe différent partout et de les suivre dans un programme connu sous le nom de gestionnaire de mots de passe. Les bons sont généralement sûrs à utiliser et pas aussi ennuyeux que vous pourriez le penser.
Après l’avoir trié, Wells m’a dit que l’expérience changerait son comportement en ligne. « Je ne m’attendais pas vraiment à ce que les escroqueries apparaissent sur les recherches en ligne, mais maintenant que je sais qu’elles le peuvent, je serai à l’affût », a-t-il déclaré.
