Agence web » Actualités du digital » Comment les achats en ligne alimentent une frénésie de phishing –

Comment les achats en ligne alimentent une frénésie de phishing –

ParTremplin Numérique Publié le
Shutterstock / William Potter

Les verrouillages COVID-19, le travail à domicile et la période précédant les fêtes de fin d’année ont entraîné une augmentation sans précédent des achats en ligne et une opportunité idéale pour les attaques de phishing.

Grâce à COVID-19 et aux verrouillages, 2020 est devenue la meilleure année de tous les temps pour les achats en ligne. Nous aimions déjà les achats en ligne – pas de foule, pas de voyage, pas de tracas – mais cette année, la commodité a été dépassée par l’aspect pratique comme principal avantage. Vivant en lock-out et traversant des périodes d’auto-isolement, sans achats non essentiels et de nombreux magasins fermés en raison de problèmes de personnel, les achats en ligne sont devenus une bouée de sauvetage pour beaucoup.

Amazon a annoncé que son chiffre d’affaires du troisième trimestre était de 96,15 milliards USD, soit une augmentation de 37%. Il prévoit des revenus de 112 à 121 milliards USD pour le quatrième trimestre. À l’approche des fêtes de fin d’année, les ventes en ligne vont de nouveau exploser. Amazon rapporte que les achats de vacances sont déjà en cours en novembre.

Bien sûr, les achats en ligne ne se limitent pas à Amazon, mais ils constituent un critère utile pour illustrer les tendances. De nombreux consommateurs ont encore trop peur pour faire leurs achats en magasin. Ils sont alarmés à l’idée de la foule, ils ne croient pas que les directives de distanciation sociale seront respectées et ils soupçonnent que beaucoup ne porteront pas de masque. C’est tellement plus facile de magasiner à domicile.

Si vous faites partie de ceux qui ne travaillent pas à domicile, vous pouvez commander en ligne et faire livrer vos marchandises sur votre lieu de travail. Si vous n’êtes pas là pour le signer, un de vos collègues le signera et s’occupera de votre livraison pour vous.

C’est le seul inconvénient des achats en ligne. La livraison.

Anxiété de livraison

À un moment donné, les millions et les millions d’achats en ligne doivent quitter les mondes numériques et se matérialiser dans le monde physique. Cela ne se produit que lorsque votre commande arrive. Attendre une livraison peut être stressant. Surtout s’il s’agit d’une livraison importante. Ce n’est peut-être pas parce que l’article est cher, mais simplement parce que vous comptez sur le fait que l’article vous sera livré à temps pour que vous puissiez l’emballer et le donner au destinataire le jour de son anniversaire, de votre anniversaire ou d’un autre immeuble. date limite.

Il est facile d’avoir un malaise rampant lorsque vous attendez une livraison. Va-t-il être tard? A-t-il été livré à la mauvaise adresse, ou y a-t-il eu confusion et il n’a même pas encore été expédié? Y a-t-il eu un retard en raison de l’apurement des paiements?

Et c’est là qu’interviennent nos acteurs opportunistes et saisonniers. Avec des millions de ventes en ligne, il y a des millions de livraisons. C’est beaucoup de gens qui ne seraient pas trop surpris de recevoir un e-mail concernant leur livraison. Ainsi, les acteurs de la menace tirent parti de cette attente et envoient autant de personnes que possible un e-mail qui est un loup déguisé en mouton.

E-mails de phishing

Les e-mails de phishing sont des e-mails frauduleux qui semblent avoir été envoyés par une entité reconnue ou de confiance telle qu’une banque, une entreprise ou une plateforme de paiement en ligne. Les attaques les plus sophistiquées nécessitent de gros efforts pour créer un e-mail avec le même aspect et la même sensation qu’un e-mail authentique. Ils veulent qu’il ait le bon ton, la bonne livrée et qu’il soit convaincant. Ils veulent que le destinataire pense que l’e-mail est authentique et clique sur un lien ou ouvre une pièce jointe.

Le lien mène à un faux site Web qui tentera de récolter les informations de connexion ou d’infecter votre ordinateur avec des logiciels malveillants. S’il y a une pièce jointe, elle contiendra des logiciels malveillants, généralement sous la forme d’un petit compte-gouttes ou d’un programme de téléchargement. Cela s’installera en arrière-plan, puis téléchargera le malware le plus gros et le plus dommageable, peut-être un cheval de Troie d’accès à distance (RAT) ou l’une des nombreuses menaces de ransomware.

Les acteurs de la menace réagissent très rapidement aux tendances. Ils peuvent réécorcher une arnaque existante et la mettre aux couleurs de cette saison en un rien de temps. Le moyen le plus simple de les déguiser est de leur donner l’impression qu’ils proviennent d’un coursier, car ils savent que des millions de personnes attendent une livraison. Ils peuvent également sembler provenir d’un service de paiement tel que PayPal et prétendre qu’il y a un problème avec votre paiement. Mais tout le monde n’utilise pas PayPal. Et si vous ne le faites pas, vous savez tout de suite qu’il s’agit d’une arnaque. Mais si vous attendez une livraison, vous savez qu’il y aura un coursier impliqué.

Profitant du phénomène d’angoisse généralisée de livraison, les acteurs de la menace espèrent que le destinataire moyen verra un e-mail au sujet de sa livraison, poussera un soupir mental de « Oh non! », Puis cliquera sur le lien ou ouvrira la pièce jointe sans s’arrêter pour vérifier – ou même considérer – que l’e-mail n’est peut-être pas authentique. Et donc, l’anxiété de livraison l’emporte sur la cyberhygiène de base.

Le hameçonnage est associé au smishing, c’est-à-dire au phishing par SMS. Étant donné que les messages texte sont un moyen court et laconique, il n’est pas nécessaire de prendre en compte l’aspect et la convivialité du message. Un SMS ressemble à un SMS, peu importe qui l’envoie. Les acteurs de la menace n’ont pas à se soucier de trouver la police, le logo, la voix et le ton corrects. Et la faible limite de caractères signifie que les URL raccourcies sont la norme dans les messages texte, afin qu’elles ne suscitent pas de soupçons.

Tout le monde est une cible

En utilisant des adresses e-mail extraites d’énormes bases de données contenant les données personnelles piratées qui peuvent être trouvées sur le Dark Web, les acteurs de la menace peuvent envoyer leurs faux e-mails à des millions de destinataires. Vous n’êtes pas distingué. Vous êtes une cible simplement parce que vos données ont été incluses dans une violation de données à un moment donné dans le passé. Ce n’est pas du sniping. C’est une mitrailleuse aveugle qui cherche alors à voir qui a été touché.

Vous pouvez facilement vérifier si votre e-mail a été exposé en raison d’une violation de données. Le site Web Have I Been Pwned rassemble toutes les violations de données et les met dans une base de données en ligne consultable de plus de 10 milliards d’enregistrements. Si votre adresse e-mail se trouve dans la base de données, vous serez informé de l’entreprise ou du site Web sur lequel la violation s’est produite. Vous pouvez ensuite modifier votre mot de passe sur ce site ou fermer votre compte.

Cependant, vous ne pouvez pas faire grand-chose à propos de votre adresse e-mail. Une fois que c’est là-bas, c’est là-bas. Et il sera probablement balayé dans le cadre des munitions qu’un acteur menaçant alimente son logiciel de campagne de phishing.

Le même principe est vrai avec les numéros de téléphone portable. Les violations de données qui fuient des données personnelles incluent souvent les détails du téléphone portable. Ceux-ci sont ensuite utilisés comme numéros cibles pour le logiciel SMS automatisé utilisé par les acteurs de la menace.

Pourquoi les organisations doivent se méfier

Il y a un flou entre la vie numérique à la maison des gens et la vie numérique de leur entreprise. Les gens apportent leurs propres appareils tels que les téléphones portables sur leur lieu de travail et se connectent au Wi-Fi. Ils font leurs achats en ligne à la maison, mais choisissent souvent de se faire livrer sur leur lieu de travail, si c’est là qu’ils vont se trouver pendant la journée.

Cela signifie que si un e-mail de phishing se faisant passer pour un e-mail d’un coursier tombe dans leur boîte de réception professionnelle, ils ne seront pas surpris. Leur intérêt pour la livraison l’emportera probablement sur la formation de sensibilisation de leur personnel sur la façon de détecter un e-mail de phishing.

Ils peuvent recevoir l’e-mail d’hameçonnage sur leur téléphone portable et le transmettre à leur messagerie professionnelle afin qu’ils puissent l’imprimer ou le traiter sur un grand écran et avec un vrai clavier. Ils peuvent utiliser leur ordinateur d’entreprise pour accéder à leur messagerie Web personnelle à l’heure du déjeuner. Quel que soit le chemin emprunté par un e-mail d’hameçonnage pour arriver dans la boîte de réception ou l’ordinateur de l’entreprise d’une personne, c’est le réseau de votre organisation qui risque d’être infecté et compromis.

Comment repérer les attaques

Ces actions vous permettront de protéger votre personnel et votre réseau des attaques de phishing et de smishing.

  • Attendez-vous réellement une livraison? Pouvez-vous déjà rendre compte de tout ce que vous avez commandé?
  • Vérifiez soigneusement l’adresse e-mail de l’expéditeur. At-il le domaine auquel vous vous attendez? Sinon, méfiez-vous. Souvent, il peut y avoir une différence d’une seule lettre. Il existe quelques exemples bien connus de cela. L’un semblait dire «microsoft.com», mais le «m» initial a été remplacé par deux lettres «r» et «n». En un coup d’œil, «rn» ressemble à «m». Le deuxième exemple était « apple.com » avec le « l » minuscule aune, remplacé par un «I» majuscule toujours. Dans certaines polices, elles se ressemblent exactement. Alors regardez attentivement chaque lettre de l’adresse e-mail. Ne le regardez pas ou ne le lisez pas.
  • Traitez les liens comme des pièges potentiels. Passez le pointeur de votre souris sur eux et consultez l’info-bulle pour voir où ils essaient de vous emmener. Vous pouvez faire en sorte que le texte du lien dise ce que vous voulez. Cela ne veut pas dire que c’est là que le lien pointe réellement. Si vous avez des doutes, n’utilisez pas le lien. Effectuez une recherche sur le Web et accédez au site manuellement.
  • Malgré tous leurs efforts, les acteurs de la menace peuvent toujours faire des erreurs de grammaire et d’orthographe. Les e-mails authentiques ne comportent pas ce type d’erreurs, en particulier lorsqu’ils proviennent de systèmes automatisés. Si cela semble faux, c’est faux.
  • Les graphismes et la livrée semblent-ils professionnels ou ont-ils l’impression que quelqu’un a utilisé le copier-coller pour déposer les images, et ne correspond pas tout à fait à la version du blanc en arrière-plan?
  • Aucune organisation crédible ne vous demandera de fournir des mots de passe, des détails de compte ou d’autres informations sensibles.
  • N’oubliez pas que les violations de données que les acteurs de la menace utilisent comme source pour les adresses e-mail et les numéros de téléphone portable contiennent également d’autres données personnelles. Il est donc facile d’utiliser votre nom dans le texte de l’e-mail ou du SMS. Tout simplement parce qu’il vous mentionne par votre nom, cela n’indique pas que l’e-mail ou le SMS est authentique. Vous devez toujours être méfiant et faire preuve de prudence.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.