Halloween fait partie de ces périodes de l'année où les spécialistes en cybersécurité notent une hausse des campagnes malveillantes et des arnaques. D'après Bitdefender, 63% des e-mails à thème sont malveillants.

Comme chaque année, c'est le grand retour des arnaques d'Halloween, qui font hélas de nombreuses victimes © Studio Romantic / Shutterstock
Comme chaque année, c'est le grand retour des arnaques d'Halloween, qui font hélas de nombreuses victimes © Studio Romantic / Shutterstock

Les bonbons gratuits et les promotions effrayantes inondent vos boîtes mail ? Méfiez-vous. En l'espace d'un mois, de mi-septembre à mi-octobre, Bitdefender Labs nous indique avoir détecté une explosion de spams Halloween truffés de malwares. Entre les sondages Amazon bidons, les publicités crypto frauduleuses sur Facebook et les fausses promesses de pack de bonbons d'Halloween, les cybercriminels rivalisent de créativité pour voler vos données bancaires, à l'aide de ces campagnes de phishing, et installer des logiciels malveillants sur vos appareils.

Les fausses promotions Halloween cachent des sites de vol de données

Sur l'ensemble des spams à thématique Halloween détectés par Bitdefender, 63% contiennent des éléments malveillants qui visent à infecter les appareils, dérober des identifiants ou extorquer de l'argent. Les États-Unis concentrent 73% des messages reçus, loin devant l'Allemagne (13%) et l'Irlande (6%).

Côté serveurs émetteurs, 67% de ces e-mails proviennent des États-Unis, suivis par l'Allemagne (5%), Singapour et la Lettonie (4% chacun). La France représente tout de même 3% des sources, et moins de 1% des destinations. Parmi les arnaques détectées, on retrouve, nous le disions, de faux packs de bonbons Walmart (la célèbre chaîne de supermarchés américaine), des sondages Amazon qui promettent des réductions exclusives, ou encore l'offre fictive d'un squelette géant Home Depot viral sur les réseaux.

Les cybercriminels usurpent l'identité de marques connues avec des objets d'e-mails aguicheurs, par exemple, « Réclamez votre pack de bonbons Walmart gratuit » ou « Votre cadeau Halloween vous attend ». Arnaque particulièrement sophistiquée, le spam Walmart « Metal Ghost Cow », intègre même du texte caché (photosynthesis) pour tromper les filtres antispam et rediriger les victimes vers des sites frauduleux. D'ailleurs, les filtres publicitaires et antispam se retrouvent saturés par le volume colossal de campagnes légitimes. Une aubaine pour les pirates.

Les périodes festives sont toujours un terrain idéal pour les cybercriminels. Les consommateurs, qui attendent des promotions et offres spéciales, baissent naturellement leur vigilance. Les marques multiplient leurs campagnes marketing et facilitent les usurpations d'identité. L'urgence, la promesse de récompenses et la confiance transmises dans ces e-mails frauduleux favorisent les clics impulsifs.

Les périodes de fêtes sont une vraie occasion de faire de nouvelles victimes, du point de vue des cybercriminels © Jutharat Jaroenwong / Shutterstock
Les périodes de fêtes sont une vraie occasion de faire de nouvelles victimes, du point de vue des cybercriminels © Jutharat Jaroenwong / Shutterstock

De Facebook aux portefeuilles crypto, une menace multiforme

Au-delà des messageries électroniques, Bitdefender a découvert un réseau de publicités malveillantes sur Facebook et Instagram. Des escrocs achètent des emplacements sponsorisés en promettant deux « cadeaux d'Halloween » aux utilisateurs de cryptomonnaies, à savoir un abonnement TradingView Premium d'un an et 150 USDC, une cryptomonnaie rattachée au dollar. En réalité, le clic redirige vers des sites comme desktopappdownload[.]com, qui distribuent des malwares.

Ce logiciel malveillant, suivi par Bitdefender depuis avril 2025, vole les cookies, les jetons d'authentification et les données de portefeuilles crypto. Les publicités identifiées ciblaient en particulier des utilisateurs européens installés en Croatie, en Bulgarie, en Slovénie, en Slovaquie et en Roumanie. Même après suppression par Meta, maison-mère de Facebook et Instagram, de nouvelles annonces identiques réapparaissaient rapidement.

Selon le rapport GASA 2025, les pertes dues aux escroqueries en France ont atteint 7,6 milliards d'euros sur douze mois, avec 54% des adultes français victimes d'une arnaque. Et le montant moyen perdu dépasse 750 euros. Alors pour déjouer ces pièges, pensez à ne jamais cliquer sur les liens de cadeaux saisonniers non sollicités, et vérifiez systématiquement l'adresse de l'expéditeur. Les sites officiels n'utilisent jamais de sous-domaines aléatoires. Et évitez également de télécharger quoi que ce soit depuis une publicité sponsorisée.