Alors que les consommateurs ont dépensé un montant record de 7,4 milliards de dollars d’achats en ligne le 29 novembre dernier lors du Black Friday, des millions d'acheteurs continuent à surfer sur Internet pour trouver les meilleures offres pour Noël. Cette période est non seulement idéale pour faire des affaires, mais aussi pour se faire piéger par des cybercriminels ! S’il y a cinq ans, pour assurer une expérience d'achat sécurisée il suffisait d'utiliser un logiciel antivirus, de vérifier les liens dans les emails et de s'assurer que les transactions étaient effectuées sur un site sécurisé, ce n'est plus le cas aujourd’hui et le paysage de la menace a radicalement changé au cours des dernières années.
Pour naviguer en toute sécurité à l’approche des Fêtes, Proofpoint a dressé une liste des six principales escroqueries que les consommateurs peuvent rencontrer :
Le déploiement des Certificats SSL frauduleux
L’époque des sites internet sécurisés grâce un certificat SSL (autrement dit, avec un « cadenas ») est révolue. Les cybercriminels se sont emparés de cette technique et s’assurent désormais que leurs faux sites web en disposent également. Au début de l'année 2019 et jusqu'au troisième trimestre, Proofpoint a commencé à observer une forte tendance à la mise en œuvre de certificats sécurisés sur les sites Web frauduleux : 26 % des sites frauduleux ont utilisé un certificat SSL, contre 20 % au premier trimestre.
La recrudescence des Malwares de point de vente (Point of sale malware - PoS)
Chaque année, novembre est synonyme de recrudescence de malware dans les points de vente. Ils se placent sur les terminaux et en profitent pour dérober des données de cartes bancaires afin de les utiliser pour des transactions frauduleuses. L’adoption générale des cartes à puce a bien entendu réduit les risques mais n’a pas empêché l’apparition de nouveaux malwares POS capables de calculer les codes d'authentification. Proofpoint a par ailleurs observé un pic d'activité de la part des malwares ZeusPOS POS, suggérant que le groupe pourrait être en train de se préparer à de nouvelles menaces pour la période des fêtes.
Une détection difficile des attaques par « angler phishing », sur les réseaux sociaux
L’une des techniques des cybercriminels consiste à s’interposer lors d’une discussion entre l’utilisateur et les marques. Lorsque les consommateurs tentent de prendre contact, sur Twitter par exemple avec le service après-vente d’une marque nommée "@AcmeAnvils", ils peuvent recevoir une réponse de @AcmeAnvilsDeals, redirigeant vers un site qui semblera légitime alors qu’il est en réalité malveillant.
L’augmentation des menaces et escroqueries lors des fêtes de fin d’années
Les fêtes de fin d’années sont l’occasion parfaite pour les cybercriminels de redoubler d’inventivité. L'année dernière par exemple, Proofpoint a observé plusieurs acteurs de la menace utiliser un cheval de Troie bancaire Emotet pour envoyer des emails malveillants autour de Thanksgiving. Ces emails contenaient des pièces jointes ou des fausses cartes virtuelles installant en réalité Emotet. En cette période festive, les leurres abondent et les utilisateurs doivent faire attention à ne jamais ouvrir ou cliquer sur des liens provenant d’expéditeurs inconnus.
La multiplication des spams de fin d’année
Bien que les opérateurs et autres fournisseurs de services internet aient fait de grands progrès pour réduire l’apparition des spams, certains parviennent encore à s’affranchir des barrières de sécurité. Pour les consommateurs à la recherches d’offres promotionnelles, c’est le piège idéal. Il suffit d’une offre alléchante, d’une image de marque volée pour les inciter à cliquer, les renvoyant sur des pages de publicité, des sites de phishing et autres contenus malveillants. Comme le dit l’expression, si quelque chose semble trop beau pour être vrai, c'est probablement le cas.
L’émergence des arnaques à la réception de colis
De plus en plus, les consommateurs reçoivent des emails frauduleux imitant les alertes d’expédition de marques connues. Ces messages comprennent souvent des logos et un langage adapté pour faire croire aux destinataires que les emails sont légitimes. En réalité, ils sont conçus pour répandre des logiciels malveillants, voler de l'argent et inciter les gens à révéler leurs mots de passe. Les consommateurs doivent être à l’affût de ces emails phishing qui augmentent considérablement pendant les périodes de fêtes et se connecter directement aux sites plutôt que de cliquer sur des liens potentiellement malveillants inclus dans les messages reçus.