Hameçonnage par email et ingénierie sociale

Les escroqueries par hameçonnage sont une menace répandue, impliquant des messages trompeurs sous couvert d’offres promotionnelles légitimes ou des notifications urgentes incitant les destinataires à révéler des informations sensibles ou à télécharger des malwares. De même, l’ingénierie sociale manipule les consommateurs afin qu’ils divulguent des informations personnelles ou cliquent sur des liens malveillants.

Comment se protéger ? :

– Vérifier que l’adresse mail de l’expéditeur est correcte, rechercher la marque officielle, être attentif au ton du message et surtout éviter de cliquer sur des liens suspects.

– Prendre garde aux offres trop belles pour être vraies qui conduisent les utilisateurs vers des sites web falsifiés, notamment en vérifiant la réputation du site et les avis consommateurs.

– Pour toute communication dite urgente, sur de soi-disant confirmations de commande laissant entendre que le destinataire a été ou est sur le point d’être facturé, ne pas se précipiter, répondre ou cliquer sur un lien suspect avant de vérifier sa légitimité (regarder l’adresse de l’expéditeur).

– Se tenir informé en consultant les avertissements publiés sur les blogs et comptes de réseaux sociaux par les banques ou les sites marchands, et les partager.

– Signaler toute suspicion ou tentative d’escroquerie aux autorités compétentes, telle que sa banque, et agir rapidement, notamment en réinitialisant ses mots de passe ou en activant l’authentification multifactorielle (MFA).

Sites web frauduleux, publicité malveillante et escroquerie électronique

Imitant les e-commerçants légitimes, les sites web frauduleux incitent les utilisateurs à partager involontairement des informations personnelles et financières. La publicité malveillante infiltre les réseaux publicitaires légitimes, diffusant des annonces malveillantes sur des sites web à priori fiables et compromettant les appareils d’utilisateurs lors des interactions. L’écrémage électronique consiste à injecter un code malveillant dans les formulaires de paiement en ligne et permet ainsi aux hackers d’intercepter et de voler des informations de paiement sensibles en cours des transactions.

Comment se protéger ? :

– Vérifier que les URL des sites web sont légitimes et bien précédées de la mention « HTTPS ».

– S’assurer que le vendeur a mis en place des méthodes de paiement sécurisées, notamment en identifiant les sceaux de confiance des fournisseurs de certificats SSL ou les badges de sécurité.

– Privilégier les méthodes de paiement familières et fiables telles que les cartes de crédit ou PayPal.

– Éviter de payer par virement bancaire, car de cette manière, l’argent est irrécupérable.

– Installer des bloqueurs de publicité réputés, pour limiter les risques de malvertising.

Fraude à la carte de crédit et à l’identité

La fraude à la carte de crédit implique l’utilisation non autorisée des informations de la carte de crédit pour des transactions illicites, souvent par le biais de plateformes en ligne compromises. La fraude à l’identité, quant à elle, consiste à voler des informations personnelles pour usurper l’identité d’une personne.

Comment se protéger ? :

– Utiliser des méthodes de paiement sécurisées et réputées. Les cartes de crédit prépayées, les chèques ou cartes-cadeaux, PayPal, Apple Pay, Google Pay ou Amazon Pay évitent de communiquer directement les coordonnées bancaires lors d’achats en ligne.

– Pour payer, privilégier les applications des e-commerçants lorsqu’elles sont disponibles.

– Consulter régulièrement ses relevés bancaires et être attentifs aux transactions suspectes.

– Éviter d’enregistrer ses coordonnées bancaires sur un site et ne fournir d’informations personnelles qu’à des sources fiables et vérifiées.

– Utiliser des mots de passe forts et uniques et les changer régulièrement.

– Éviter d’utiliser le Wi-Fi public pour des transactions financières et de taper des mots de passe sensibles dans des lieux publics, qui peuvent être surveillés par des caméras de vidéosurveillance.

Que peuvent faire les e-commerçants pour protéger leurs clients ?

Les mesures de sécurité doivent être prises tout au long de l’année, mais les dirigeants d’entreprise et les équipes de sécurité peuvent anticiper cette période de fêtes en améliorant leur politique de sécurité et en effectuant une vérification de leurs systèmes, telle que :

– Mettre en place des protocoles de cryptage robustes, tels que Transport Layer Security (TLS), Perfect Forward Secrecy (PFS) ou HTTP Strict Transport Security (HSTS), pour sécuriser les données transmises entre les utilisateurs et le site web.

– Faire des audits de sécurité et des évaluations de vulnérabilité réguliers pour identifier et corriger les éventuelles faiblesses de l’infrastructure du site web, bloquant ainsi les points d’entrée potentiels des cyberattaquants.

– Investir dans des pare-feu avancés, des systèmes de détection d’intrusion (IDS) et des solutions de surveillance pour détecter et empêcher les accès non autorisés ou les activités malveillantes.

– Appliquer tôt les correctifs et maintenir à jour les logiciels, les plugins et les intégrations de tiers afin de réduire le risque de cybermenaces.

– Former régulièrement les employés aux bonnes pratiques en matière de cybersécurité.

– Contrôler soigneusement les fournisseurs tiers pour s’assurer qu’ils respectent des normes de sécurité strictes et qu’ils sont prêts pour cette période de fin d’année.

– Se préparer aux pics de trafic en procédant à des tests de charge et à un contrôle des performances pour s’assurer que le site web résistera sans compromettre la sécurité.

– Mettre en place un plan d’intervention robuste en cas d’incident (IRP), détaillant les mesures d’atténuation et les plans de communication à suivre en cas de violation.

Après les achats, une dernière étape n’est pas à négliger : la livraison. De plus en plus d’hackers usurpent l’identité de transporteurs comme Chronopost ou UPS et envoie des sms ou des emails frauduleux. En cas de doute, mieux vaut vérifier le numéro de colis sur le site du revendeur et utiliser directement le site du transporteur en question.