Selon un analyse de Malwarebytes rapportée par The Register, des escrocs exploitent une technique appelée empoisonnement des résultats de recherche pour tromper les utilisateurs cherchant du support pour des services en ligne tels que Apple, Bank of America, Facebook, HP, Microsoft, Netflix, et PayPal.
Cette attaque consiste à manipuler les algorithmes des moteurs de recherche pour promouvoir des sites malveillants qui se font passer pour des sites légitimes. Les escrocs paient pour des annonces sponsorisées sur Google et créent une URL malveillante qui intègre un faux numéro de téléphone dans la fonctionnalité de recherche légitime du site réel.
Lorsque quelqu’un recherche, par exemple, “support 24/7 Netflix”, l’annonce des escrocs apparaît parmi les premiers résultats. En cliquant sur cette URL, l’utilisateur est redirigé vers la page d’aide du site de la marque, qui semble authentique.
Cependant, la page affiche un numéro de téléphone déjà rempli dans la barre de recherche, prétendant être le numéro d’assistance légitime, mais qui est en réalité contrôlé par les attaquants. Cette vulnérabilité est possible car la fonctionnalité de recherche de Netflix reflète aveuglément les entrées des utilisateurs sans validation appropriée.
Cet article met en lumière une vulnérabilité de réflexion d’entrée exploitée par les escrocs pour piéger les utilisateurs, soulignant l’importance de la sécurisation des fonctionnalités de recherche sur les sites web.
🔗 Source originale : https://www.theregister.com/2025/06/20/netflix_apple_bofa_websites_hijacked/