Les périodes de promotions saisonnières idéales pour les fraudeurs ?

Périodes de soldes et des fêtes propices aux achats en ligne font aussi les affaires des acteurs malveillants. E-commerçants et institutions financières peuvent pourtant freiner leurs ardeurs !

Pour la troisième année consécutive, les derniers résultats de l’étude annuelle de Recorded Future montrent un risque accru durant les périodes de promotions saisonnières pour les titulaires de cartes, les institutions financières et les fournisseurs de services associés. Le volume de cartes de paiement compromises commercialisées sur des sites clandestins de novembre à janvier s’avère supérieur de 5 % à celui des trois mois précédents et de 20 % à celui des trois mois suivants. Il convient d'ajouter que d'autres pics de fraude se produisent tout au long de l'année en raison de violations à grande échelle, de l'innovation des cybercriminels et d'autres facteurs.

Les aubaines de la frénésie des achats en ligne

Durant les fêtes de fin d’année et les soldes saisonnières, banques et détaillants assouplissent leurs règles anti-fraude, ce qui permet plus facilement aux hackers d’échapper à la détection de fraude. Par exemple, des acteurs malveillants profitent que certains sites d’ e-commerce désactivent leur système d’authentification des utilisateurs 3D Secure pour effectuer des transactions expérimentales, afin de déterminer le nouveau seuil à partir duquel 3DS se déclenche et ainsi maintenir leurs achats en dessous de ce seuil.

Deux éléments de renseignement provenant du dark web semblent confirmer cette tendance. Le cybercriminel « primum_leo » a posté une annonce sur le forum du WWH Club pour un « service de dépôt », élément essentiel de la fraude à la carte par lequel des individus interceptent des paquets volés, vérifient les achats et se font parfois passer pour le propriétaire du compte. Le fraudeur a affirmé que les fêtes de fin d’année sont la « saison ouverte » dans les ateliers clandestins de cardage, et que ses pairs peuvent exploiter des volumes accrus de transactions et un assouplissement des mesures anti-fraude. Un deuxième message sur le même forum, cette fois de la part d'un acteur appelé « Vyebist », soutient que PayPal ajuste ses contrôles de fraude en fonction de la période de l'année et du volume de transactions. Ce service de paiement renforce les contrôles en été lorsque la demande est plus faible, et les relâche en hiver pour maximiser les profits et minimiser les coûts de fonctionnement et le mécontentement des utilisateurs.

Les fraudeurs ciblent également les habitudes de consommation plus décontractées durant la période des fêtes et des soldes. En effet, les forums du dark web débordent de fils d’actualité et de messages en liaison avec des pages relatives au phishing et à l’escroquerie sur le thème des fêtes. Les premières imitent les sites d’e-commerce les plus populaires afin de voler les données des cartes de paiement, tandis que les secondes usurpent les sites de vente en ligne pour proposer des produits inexistants. Ainsi, les malfaiteurs s'emparent à la fois des fonds de la victime et des données de sa carte.

Les escrocs monétisent généralement ces données de carte et ces informations personnelles identifiables (IPI) volées en les vendant sur les marchés du dark web ou en les utilisant directement pour commettre une fraude à la carte de paiement. Selon le rapport IC3 2021 du FBI, la fraude par carte de crédit a représenté 173 millions de dollars de pertes l'année dernière.

Les sites d’admin  de phishing sont également de plus en plus populaires et indispensables pour contourner l'authentification à deux facteurs. Pour les utiliser, un fraudeur doit lier sa page de phishing à sa page d’admin. Si bien que lorsqu'une victime arrive sur le site usurpé, les données en direct de sa session de navigation remplissent la page d’admin. L'escroc tente d'effectuer un achat frauduleux sur un autre site en arrière-plan, ce qui déclenche un code d'authentification 3DS que la victime reçoit et saisit involontairement, pensant qu'il s'agit de sa propre transaction. En réalité, cela permet au fraudeur de procéder à son achat.

Les bonnes affaires du dark web

Tout comme les entreprises officielles, les réseaux de cybercriminalité profitent des périodes d’achat en ligne intenses pour afficher des rabais, promotions et soldes. L’étude de Recorded Future des trois années passées montre une augmentation du nombre de services à prix réduit sur le dark web. Par exemple, en novembre dernier sur le forum WWH Club du dark web, un service de souscription bancaire frauduleux utilisé pour compromettre les identifiants des victimes offrait une remise de 30 %. L’analyse de l'activité des sites de vente de cartes révèle également une augmentation de la quantité de cartes volées commercialisées de novembre à décembre. Elle montre également une multiplication d’offres spéciales chez les fournisseurs de « produits dérobés » : informations personnelles, logs, services de proxy, hébergement de type BPH (bullet hosting) et serveurs dédiés. Autant de bonnes affaires qui permettre aux acteurs malveillants de reconstruire leur infrastructure à un prix avantageux.

Encourager une bonne cyber-hygiène

Bien qu'il soit facile pour les fraudeurs de créer des sites clandestins sur les réseaux sociaux, monétiser des informations volées peut présenter des difficultés. Les grands portails de traitement des paiements sur ces plateformes partagent rarement les informations relatives aux cartes de paiement des victimes. De plus, ils permettent à ces dernières de contester les transactions, ce qui peut entraîner le gel des paiements et/ou des procédures de rétro-paiements.

Au-delà de ces dispositifs, le renseignement sur les menaces est précieux pour aider les commerçants à comprendre les risques auxquels ils sont confrontés. Mais il est également important d’informer les clients, de les sensibiliser aux tentatives de phishing saisonnières, de les encourager à adopter une bonne cyber-hygiène, telle que l'installation régulière de correctifs logiciels et l'utilisation de logiciels anti-virus, et de les inciter à vérifier auprès de qui ils achètent. Les commerçants et institutions financières, quant à eux, doivent renforcer les mesures anti-fraude,  ce qui signifie ajuster les calculs d’indice de fraude ou abaisser le seuil nécessaire pour refuser une transaction.