La fièvre acheteuse va bientôt s’emparer des consommateurs impatients de faire de bonnes affaires lors du Black Friday, boostant les ventes sur internet à travers le monde. Rien qu’en Grande-Bretagne, les consommateurs prévoient d’acheter pour un montant estimé à £4.8 milliards pour le Black Friday et le Cyber Monday cette année. Et en France, alors que les ventes en ligne générées par le Black Friday 2020 avaient progressé de 20% par rapport à la semaine du Black Friday de 2019 (source Fevad), il est probable qu'une nouvelle hausse soit observée en 2021, les internautes voulant profiter de promotions pour leurs cadeaux de Noël tout en réduisant les risques liés à la crise sanitaire.
Au milieu de cette ruée, il serait facile d’oublier les fondamentaux de la sécurité internet, faisant des consommateurs et des commerçants des cibles d’autant plus faciles et rentables pour les cybercriminels. Ce, d’autant que le rapport d’enquête 2021 de Verizon, Data Breach Investigations Report 2021 (DBIR 2021) a souligné récemment la propension des cybercriminels à cibler principalement les données confidentielles conservées chez les commerçants, notamment les informations de paiement (42%), les données personnelles (41%) ainsi que les identifiants (33%).
Cela a l’air trop beau pour être vrai ? Alors c’est probablement le cas !
Le secteur du commerce de détail reste la cible de criminels avides qui cherchent à tirer parti de l’association entre carte de paiement et données personnelles, omniprésente dans ce secteur. Parmi les techniques d’ingénierie sociale, on trouve le faux-semblant (« pretexting) et le hameçonnage (« phishing »), le premier résultant souvent de transferts d’argent frauduleux. Ces techniques ont été utilisées dans 77% des infractions relevées au sein du secteur du commerce selon le DBIR 2021.
On peut classer les campagnes d’hameçonnage en quatre types d’attaques – la fraude, avec par exemple un email provenant d’un proche qui se trouve bloqué à l’étranger et qui a besoin d’argent pour rentrer ; l’usurpation de marque, avec un email semblant provenir d’une banque ou d’une marque reconnue, demandant à l’utilisateur de confirmer un paiement ou lui présentant une offre spéciale ; l’extorsion, qui utilise la peur afin de convaincre l’utilisateur, et enfin le Business Email Compromise (BEC) ou Compromission de la Messagerie en Entreprise, une attaque hautement ciblée envers une entreprise plutôt qu’un individu. Dans l’ensemble de ces techniques, les utilisateurs sont incités à cliquer sur un lien les renvoyant vers une fausse page ou à envoyer des données confidentielles.
Il y a également eu une augmentation de l’utilisation des QR codes lors de la pandémie, particulièrement chez les petits commerçants et lieux d’accueil, étant une solution simple et rapide pour commander et payer. Toutefois, les consommateurs doivent avoir conscience qu’un QR code peut également les rediriger vers une URL douteuse afin d’y effectuer un paiement, peut transmettre leurs données de localisation et peut se connecter à leurs profils sur les réseaux sociaux – à leur insu, afin de tenter de voler leurs identifiants personnels et leurs informations de paiement.
Si une entreprise propose une offre qui semble trop belle pour être vraie... c’est probablement le cas ! Ne cliquez pas sur le lien !
Bien entendu, le principal conseil que l’on pourrait donner afin d’éviter les escroqueries de type hameçonnage est de ne pas ouvrir ces emails, mais la nature humaine et la curiosité sont telles que cela est plus facile à dire qu’à faire.
La meilleure défense réside ici dans la pédagogie. Une formation régulière des salariés mettant en lumière les techniques utilisées dans les campagnes d’hameçonnage ainsi que les moyens de les détecter est un élément essentiel pour la protection des données confidentielles au sein d’une entreprise, en plus d’aider chaque salarié à se protéger dans son propre parcours e-commerce.
Garantir un équilibre de sécurité, la responsabilité du commerçant
Dans le milieu de la cybersécurité, les commerçants occupent une position peu enviable, étant donné qu’ils doivent non seulement prendre en considération leur propre sécurité des données, mais également celle de leurs nombreux clients. À l’ère du numérique, il est important pour une entreprise de mettre en place autant de mesures sécuritaires qu’elle le peut, mais il est tout aussi important d’être sensibilisé de manière générale sur ce que recherchent les cybercriminels et la manière dont ils l’obtiennent. Le fait de garder l’esprit ouvert aux dernières technologies est une manière imparable de garder une longueur d’avance sur les attaquants potentiels.
Selon nos données, 35% des 1 354 infractions liées au vol de données de carte bancaire sur les cinq dernières années étaient dues à une défaillance dans le système d’un point de vente physique, et 38% étaient dues à une défaillance dans l’application Internet d’un site commerçant en ligne.
Ces attaques Web compromettent l’application de paiement d’un site Internet et y installent un code afin de capter les données de carte bancaire des clients lorsque ceux-ci finalisent leurs achats. Ce sont les attaques quotidiennes qui ne font pas forcément la une mais qui ont les mêmes conséquences. Les cybercriminels d’aujourd’hui sont à la recherche d’applications e-commerce vulnérables offrant des perspectives d’attaques efficaces et automatisées.
Afin de diminuer l’ampleur de cette menace, les entreprises peuvent :
Garantir la sécurité des données : Pour garantir la sécurité des données, les commerçants doivent prendre des mesures appropriées afin de participer à la lutte contre les cyberattaques. Même s’il n’existe pas de solution radicale, voici quelques mesures qui peuvent être prises par les entreprises afin de limiter les risques.
Connaître l’importance des logiciels de contrôle d’intégrité : Les cybercriminels ciblant les applications internet ne ciblent pas les données stockées. Au contraire, ils injectent un code afin de capter les données client lors de leur saisie au sein de formulaires internet. Pour lutter contre cette technique, il faudra envisager l’ajout d’un logiciel de contrôle d’intégrité de fichiers au protection anti-malware sur les sites de paiement, en plus des correctifs sur les systèmes d’exploitation et des codes sur l’application de paiement en ligne.
Être ouvert à la nouveauté : c’est être à l’écoute des nouvelles technologies qui rendent la tâche plus difficile aux malfaiteurs en les empêchant de se servir des terminaux physiques comme cibles faciles. Parmi les éléments à prendre en compte, on peut citer le standard EMV et les portefeuilles mobiles, ou toute autre méthode utilisant un code à usage unique plutôt que le numéro de carte bancaire.
Si les malfaiteurs recherchent souvent les données de carte bancaire, ça n’est pas le seul type de données qui les intéresse. Les commerçants doivent également prendre en considération que les programmes de fidélité avec système de « points » constituent également une cible potentielle, ceux-ci contenant des données personnelles précieuses sur les clients.
Sécurité : tous responsables
Une chose est sûre, c’est que la garantie de la sécurité des données, où que ce soit – en magasin, sur un appareil mobile, sur un compte sur les réseaux sociaux ou sur un ordinateur – relève de la responsabilité de chacun. Les consommateurs ont la responsabilité envers eux-mêmes de faire preuve de prudence et d’être conscients des tiers avec qui ils partagent leurs données et de la façon dont ils interagissent en ligne. De la même manière, les commerçants ont une responsabilité majeure concernant non seulement la protection de leurs propres données préliminaires, mais également celles de leurs clients qui placent leur confiance dans ces marques.
Pour de nombreux commerçants, notamment les plus petits, la mise en place de mesures de sécurité à grande échelle n’est ni accessible financièrement, ni réalisable techniquement. Cependant, chaque démarche concernant la sécurité, même la plus petite, peut avoir des bénéfices considérables dans la détection et la prévention de la cybercriminalité.