Avez-vous reçu un e-mail contenant un fichier .svg ? Il pourrait s'agir d'une arnaque numérique dangereuse. Voici comment vous protéger.
En Colombie, le paysage de la cybersécurité devient de plus en plus complexe, avec une augmentation alarmante des escroqueries et des vols numériques qui mettent en péril les informations personnelles et financières de milliers de citoyens. L'utilisation de fichiers SVG est en plein essor dans notre pays , une technique développée par les voleurs pour dérober les informations des utilisateurs.
Les autorités et les experts en cybersécurité ont tiré la sonnette d’alarme sur la sophistication des nouvelles techniques utilisées par les cybercriminels en Colombie , qui cherchent constamment à innover dans leurs méthodes pour voler des données sensibles et accéder à des comptes bancaires.
L’une des tendances les plus récentes et les plus inquiétantes détectées par les sociétés de cybersécurité telles que Kaspersky est la distribution d’e-mails de phishing contenant des pièces jointes au format SVG (Scalable Vector Graphics) .
Ce type de fichier, couramment utilisé pour stocker des images, a été exploité par des attaquants en raison d'une particularité : contrairement aux formats statiques tels que JPEG ou PNG, les SVG peuvent contenir du code interactif, comme des boutons ou des liens .
Cette fonctionnalité, qui les rend utiles aux concepteurs, est précisément ce que les cybercriminels exploitent pour insérer du contenu malveillant.
L'ampleur de cette menace a été démontrée par une augmentation substantielle de son incidence. Selon les données de Kaspersky, en mars 2025, les attaques de phishing utilisant des fichiers SVG ont été multipliées par près de six par rapport à février de la même année.
Les autorités ont détecté plusieurs attaques de rançongiciel utilisant des fichiers SVG. Photo : Ministère de la Sécurité
À l'échelle mondiale, plus de 4 000 de ces courriels contenant des fichiers SVG ont été détectés depuis le début de l'année, avec une présence notable en Amérique latine. Ces chiffres témoignent clairement de l'escalade des cyberattaques et de l'urgence de renforcer les défenses numériques des individus et des organisations.
En Colombie, le Centre national de cybercriminalité de la police a signalé une augmentation des signalements de cybercriminalité, soulignant l'urgence d'éduquer le public sur ces nouvelles formes de fraude.
Le mécanisme de cette arnaque est particulier. Le fichier SVG joint, malgré son apparence anodine d'image, est en réalité une page HTML sans description graphique . Lorsque l'utilisateur l'ouvre dans un navigateur, le fichier apparaît comme une page web avec un lien censé diriger vers un fichier audio. En cliquant sur ce lien, la victime est redirigée vers une page d'hameçonnage soigneusement conçue pour imiter des services Google ou Microsoft légitimes, comme un enregistrement vocal Google Voice. Or, la piste audio supposée est en réalité une image statique, dont le seul but est d'inciter l'utilisateur à interagir davantage.
L'étape suivante du stratagème est encore plus perverse. En cliquant sur le bouton « Lire l'audio » ou sur tout autre élément interactif de la fausse page, l'utilisateur est redirigé vers une page de connexion à une adresse e-mail professionnelle tout aussi frauduleuse . Cette page, qui intègre souvent les logos de l'entreprise ciblée et des références à des services comme Google Voice pour instaurer la confiance, vise principalement à récupérer les identifiants de connexion de la victime.
De cette façon, les attaquants peuvent obtenir des noms d’utilisateur et des mots de passe, ouvrant la porte à une multitude de fraudes potentielles, allant de l’accès à des comptes bancaires au vol d’identité.
Les courriels sont un exemple d'escroquerie visant à inciter les utilisateurs à télécharger des fichiers. Photo : Ministère de la Sécurité
Leandro Cuozzo, analyste sécurité au sein de l'équipe mondiale de recherche et d'analyse pour l'Amérique latine chez Kaspersky, met en garde contre l'évolution constante de ces menaces : « Les attaquants par hameçonnage explorent constamment de nouvelles techniques pour échapper à la détection. Ils diversifient leurs tactiques, utilisant parfois des redirections pour tromper l'utilisateur, et parfois différents formats de pièces jointes. Les attaques utilisant des fichiers SVG affichent une nette tendance à la hausse. » Cuozzo souligne également le potentiel de ces techniques pour des attaques plus complexes : « Bien que ces menaces soient pour l'instant relativement simples, avec des fichiers SVG contenant une page de lien ou un script de redirection vers un site frauduleux , l'utilisation de SVG comme conteneur de contenu malveillant peut également être utilisée dans des attaques ciblées beaucoup plus sophistiquées. »
Voici comment vous protéger des attaques de fichiers SVG Dans ce contexte, la protection exige une vigilance constante et l'adoption de bonnes pratiques de sécurité. Les experts Kaspersky proposent des recommandations pour éviter d'être victime de phishing ou de messages malveillants. Il est crucial d'ouvrir les e-mails et de cliquer sur les liens uniquement lorsque vous êtes absolument certain de faire confiance à l'expéditeur . Si l'expéditeur est légitime, mais que le contenu du message suscite des soupçons, vous devez confirmer la véracité des informations par un autre moyen, comme le téléphone ou le chat.
Enfin, vérifier attentivement l'URL d'un site web est essentiel si vous suspectez une page de phishing. Les cybercriminels ont souvent recours à des erreurs d'adresse difficiles à détecter à l'œil nu, comme l'utilisation de caractères similaires (« 1 » au lieu de « I » ou « 0 » au lieu de « O »). Prudence et esprit critique sont les meilleurs outils pour naviguer en toute sécurité.
eltiempo
