Les pirates commencent par surveiller les tendances de recherche sur Google pour détecter un intérêt accru pour les notices nécrologiques, en particulier dans les premières heures ou jours suivant un décès. Ils comblent le vide informationnel avec de faux avis hébergés sur des sites spécialisés dans le domaine du deuil, comme les commémorations ou les pompes funèbres. Ils manipulent ensuite les résultats de recherche Google avec le SEO en « empoisonnant » le SEO pour donner une grande visibilité à leurs sites, redirigeant ainsi les visiteurs vers des pages au contenu malveillant.
L’arnaque au deuil n’est pas un phénomène nouveau sur la Toile. Des escroqueries similaires circulent sur YouTube. Nous voyons un escroc lire une nécrologie, en échange des revenus générés par le visionnage de la vidéo.
Facebook a également hébergé de « fausses escroqueries funéraires ». Mais l’examen par les chercheurs de la CTU d’une nécrologie de février 2024 suggère que l’intelligence artificielle générative a été utilisée pour élaborer un hommage à partir de faits tirés d’un texte plus court publié sur les réseaux sociaux. L’avis est apparu sur 6 sites dans les 48 heures suivant le décès, avec des variations de langue, mais contenant les mêmes détails que la publication originale. L’utilisation de l’IA par ces « hackers nécrologiques » a donné des résultats mitigés, certaines critiques incluant des erreurs ou des inexactitudes évidentes pour paraître plus humaines.
Les chercheurs ont également identifié de nombreux domaines et sites hébergeant de fausses nécrologies et d’autres informations remaniées. Les visiteurs sont redirigés vers des sites de rencontres ou de divertissement pour adultes, ou confrontés à des invites CAPTCHA qui installent des publicités ou des notifications push. Ces notifications affichent de faux avertissements de virus provenant de marques antivirus bien connues, persistant même après un clic sur elles. Les boutons renvoient vers des pages de logiciels antivirus légitimes, récompensant les cybercriminels pour les nouvelles inscriptions ou les renouvellements avec des liens d’affiliation intégrés.
