Consommateurs et détaillants : attention aux attaques de fin d'année !

Version imprimable, PDF et e-mail

Même si les cybercriminels sévissent toute l'année, la période des fêtes de fin d'année correspond toujours à une augmentation des attaques. Rien de nouveau concernant leurs motivations, si ce n'est que les achats en ligne continuent de se développer et que les pirates ciblent des groupes démographiques vulnérables. Commerçants comme clients sont particulièrement exposés pendant cette période, car les acheteurs sont pressés, fatigués et ils prêtent plus attention au cadeau recherché qu'à la transaction. Quant aux commerçants, ils doivent être partout : présenter un inventaire à jour, protéger les données des clients et faire fonctionner les opérations multicanales à des niveaux de performance optimaux. Dans un tel environnement, il est facile d'ignorer les erreurs avant qu'une attaque soit détectée.

Le Better Business Bureau (BBB) a publié une liste « 12 arnaques de Noël » qui détaille les arnaques les plus susceptibles de vous toucher cette saison. En voici quelques exemples.

Publicités trompeuses sur les réseaux sociaux : elles font la promotion de faux produits, services ou œuvres caritatives. Les victimes envoient de l'argent sans se rendre compte qu'il s'agit d'une fausse entreprise ou de contrefaçons de mauvaise qualité qui ne ressemblent en rien aux produits de la publicité. Le BBB dispose de ressources sur les publicités trompeuses, les offres d'essai gratuites et les contrefaçons. Pensez à les consulter avant d'effectuer une transaction.

Alertes de compte compromis : ces e-mails se présentent comme provenant d'Amazon, PayPal ou d'un autre site Web populaire. Le message avertit la victime qu'une activité suspecte a été détectée sur son compte et inclut un lien vers un site Web qui détourne ses informations personnelles et installe éventuellement un logiciel malveillant sur son ordinateur.

Usurpation de marque échantillon capturé et analysé par Barracuda Email Protection
 

Fausses notifications d'expédition : elles sont sur le même modèle que les fausses alertes. Le destinataire est informé qu'une livraison est en route ou a été manquée. Le message comprend un lien malveillant sur lequel la victime doit cliquer pour résoudre le problème signalé. Le pirate attend de la victime qu'elle conteste l'achat, suive l'expédition ou entreprenne toute autre action impliquant de cliquer sur le lien malveillant. Il s'agit d'une arnaque efficace que les pirates utilisent toute l'année durant.

Commerçants compromis

Au-delà des arnaques identifiées par le BBB, on trouve les attaques qui exploitent un commerçant piraté pour récupérer les données de paiement des clients ou d'autres informations personnelles identifiables (PII).

Malware au niveau du système de point de vente (POS) : c'est le type d'attaque qui a touché Target en 2013. Les pirates ont installé des malwares sur le système de point de vente après s'être introduits dans le réseau du groupe par le biais d'un installateur de climatisation qui avait accès au réseau d'entreprise de Target. L'objectif du malware était de voler les informations bancaires et de les exfiltrer vers les serveurs des pirates. Le malware a capturé 40 millions de cartes bancaires durant les fêtes de fin d'année 2013, et les données personnelles de plus de 60 millions de clients ont été compromises, pour un coût s'élevant à 300 millions de dollars pour Target en 2017. Saks Fifth Avenue, Saks OFF 5TH et Lord & Taylor ont subi des attaques similaires en 2018, lorsque le système de paiement de leur société mère a été attaqué.

Applications Web non sécurisées : les commerçants utilisent des applications d'e-commerce, de chat en direct, de portails et autres pour se connecter à leurs clients et fournisseurs. Le code non sécurisé et les applications mal configurées fragilisent le réseau de l'entreprise et les personnes qui y accèdent. Le Verizon Data Breach Investigations Report (VDBIR) 2020 a révélé qu'une mauvaise configuration des ressources Internet est l'une des principales causes des violations de données. En voici quelques exemples :

  • Macy's International a été attaqué en 2019 lorsqu'un tiers non autorisé a ajouté du code non autorisé au site Macys.com.

« … le code a permis à ce tiers d'accéder aux informations renseignées par les clients sur la page de paiement Macys.com, où ils saisissent leurs données de carte bancaire, et la page Portefeuille du site, accessible via le menu « Mon compte » des clients. »

Se protéger contre les attaques de fin d'année

Ces attaques par e-mail et par application Web ne sont pas réservées aux fêtes, mais elles se multiplient pendant cette période. Les clients sont de plus en plus nombreux à utiliser des applications Web et des systèmes de point de vente, et les commerçants envoient davantage d'e-mails concernant les transactions, les cartes-cadeaux et les promotions.

Brush up on safe online shopping and tips on avoiding scams by visiting the BBB website. Retailers and other businesses should have complete email protection that defends the company from phishing, domain fraud, impersonation, and more. Protect websites and other public-facing applications with a web application firewall (WAF) that defends against bots, data leaks, OWASP Top 10, and other attacks.

Les solutions Barracuda Email Protection et Barracuda WAF-as-a-Service aident à protéger les commerçants et leurs clients contre les attaques criminelles et les erreurs humaines. Demandez un essai gratuit sur www.barracuda.com.

Remonter en haut de page
Tweeter
Partager
Partager