Un récent rapport du FortiGuard Labs se penche sur l’évolution des tactiques utilisées par les cyberpirates pour profiter de la frénésie d’achat autour des fêtes de fin d’année.

Un rapport riche en enseignements
La période des fêtes de fin d’année est particulièrement propice pour les cybercriminels, car ils peuvent capitaliser sur les nombreuses transactions en ligne. Sur le Darknet, ils trouvent des outils et des services pour cibler avec succès les plateformes d’e-commerce et les utilisateurs peu méfiants. Cette année, des techniques de piratage très pointues sortent du lot et donnent un accès illégal aux marketplaces, à l’instar de leurres de phishing optimisés par IA, de clonage de sites web et de failles RCE (remote code execution). L’intelligence artificielle permet aux assaillants d’élaborer des emails réalistes et des copies de sites web pour collecter des données et pousser les utilisateurs à enregistrer leurs informations.

On note notamment une recrudescence de faux domaines reprenant le thème de Noël sous le nom de marques de confiance. Les hackers peuvent ensuite attirer les acheteurs à l’aide d’offres certes alléchantes, mais totalement frauduleuses. Ils ont également recours à d’autres formes d’attaques, comme le sniffing, pour intercepter des données sensibles, principalement celles des cartes bancaires, directement lors de transactions en ligne.

Voici les principaux enseignements de l’étude :

Le phishing visant le shopping utilise l’IA générative. Le rapport présente des exemples de cybercriminels utilisant des outils IA, comme ChatGPT pour créer des e-mails de phishing persuasifs, imitant les formulations et les messages professionnels des e-commerçants et des banques. Les escroqueries sont ainsi plus persuasives, en particulier en période de pic d’achats.

Utilisation de ChatGPT pour élaborer un email de phishing
Le e-commerce, particulièrement menacé en cette période des fêtes. Les acteurs malveillants redoublent d’efforts pour cibler les achats en ligne. Selon le rapport, des milliers de domaines imitant des marques de confiance, comme Amazon et Walmart, ont été enregistrés pour duper les consommateurs à l’aide de fausses promotions. Les plateformes populaires Adobe Commerce, Shopify et WooCommerce sont ciblées en premier, en raison de leurs trop faibles configurations et de leurs plug-ins obsolètes. Les assaillants se servent du sniffing pour capturer les données des clients et exploitent des failles RCE pour obtenir un accès d’administrateur aux plateformes de shopping.

Score de phishing du site factice J. Crew
De multiples services du darknet lucratifs pour les cybercriminels. L’équipe du FortiGuard Labs signale une recrudescence des ventes de cartes-cadeaux volées, de données de cartes bancaires et de bases de données piratées, soutirées aux sites d’e-commerce. Des kits de phishing permettent aux assaillants d’élaborer et d’exécuter des opérations d’hameçonnage avancées. Ils sont généralement vendus entre 100 $ et 1000 $, en fonction du degré de personnalisation de l’attaque. D’autres services, tels que le sniffing et des outils personnalisés d’attaque de force brut, existent également, permettant aux assaillants, même néophytes, d’exploiter les vulnérabilités.

Annonce de recrutement pour des trafiquants
Des risques grandissants pour les entreprises. Les entreprises sont les premières exposées à des menaces majeures, allant des escroqueries d’hameçonnage au détournement d’informations financières au travers de faux sites Web. Les hackers profitent de consoles d’administration compromises, de logiciels non patchés et d’identifiants faibles pour pirater des données et effectuer des transactions frauduleuses. En conséquence, la réputation des marques est mise en jeu.

Conseils pratiques pour se protéger face à la recrudescence des attaques

Pour atténuer ces risques, la vigilance doit être au cœur du comportement des consommateurs et des professionnels.

Les consommateurs doivent adopter de nouveaux réflexes comme vérifier les URLs avant de saisir des informations sensibles et utiliser des méthodes de paiement sécurisées (ex : carte bancaire comportant une protection contre la fraude). Il faut éviter d’effectuer des achats via des réseaux Wi-Fi publics pour ne pas s’exposer à un piratage de session. Il leurs est également conseillé d’activer une authentification multifactorielle et de contrôler régulièrement leurs comptes bancaires pour détecter d’éventuelles transactions non autorisées.

Les professionnels doivent faire de la cybersécurité une priorité. Les mises à jour des plateformes d’e-commerce et des plug-ins permettent de réduire considérablement les risques, tout comme l’analyse de vulnérabilités. Le recours à des outils avancés de détection de fraudes afin d’identifier les activités inhabituelles (ex : tentatives de connexion par force brute ou trafic malveillant). Il est tout aussi important de sensibiliser les clients et de les aider à reconnaître les tentatives de phishing. Surveiller les noms de domaines enregistrés autour de sa marque, pour détecter les usurpations d’identité potentielles et les signaler rapidement. Pour prévenir des piratages et autres abus, il faut sécuriser les consoles d’administration à l’aide de mots de passe forts et attribuer des accès restreints.

Les fêtes de fin d’année devraient être un moment de joie, et non une période propice aux cybermenaces. Pour que cela reste un moment de célébration, les entreprises doivent être plus proactive en matière de cybersécurité, et les consommateurs doivent se tenir informés pour rester attentifs aux cyber risques.