Achats de Noel, arnaques et pratiques trompeuses : un problème uniquement pour les consommateurs ? Détrompez-vous !
Les attaquants et les acteurs malveillants sont prêts à employer tous les moyens pour voler vos données personnelles et l'argent que vous avez durement gagné.
Le Black Friday, en passe de devenir l'une des plus grosses journées de shopping dans le monde, s’est tenu le 24 novembre dernier. Suivie par le Cyber Monday, le 27 novembre, sans doute la journée d'achats en ligne la plus importante de l’année, ces deux journées ouvrent la saison des achats de Noël.
Qu’ont ces journées en commun, à part un grand nombre de bonnes affaires, de nombreux pas réalisés pour aller de boutique en boutique et une utilisation accrue des cartes bancaires, et une période faste pour les commerçants et les sites de commerce en ligne ? Les attaquants et les acteurs malveillants ! Ils sont prêts à employer tous les moyens pour voler vos données personnelles et l'argent que vous avez durement gagné. Voici quelques exemples de ce qu’ils pourraient faire :
● Vous inonder d'e-mails de phishing ou de SMS contenant des liens malveillants qui semblent provenir de commerçants, d’entreprises de commerce en ligne ou de fabricants.
● Faire miroiter des offres alléchantes dans des publicités mensongères mais les proposer uniquement après avoir cliqué sur un lien spécifique et vous demander votre numéro de carte de crédit.
● Demander vos identifiants de connexion sur des sites qui ont l’air légitimes puisqu'il y a un cadenas dans l'URL, signe que le site est crypté et soi-disant « sûr ».
● Se faire passer pour votre service de livraison habituel et vous envoyer un e-mail ou un SMS avec un lien qui a l'air réel et qui traque votre commande. Ou encore prétendre que les commandes ne peuvent pas être livrées tant que le nom d'utilisateur, le mot de passe ou les informations personnelles n'ont pas été vérifiés.
● Faire la publicité d’articles « absolument indispensables » qui ont l’air épuisés mais apparemment disponibles pour une durée limitée sur un seul site internet, à un prix défiant toute concurrence.
Si vous faites partie des équipes SecOps, du service informatique ou de toute autre équipe responsable de la sécurité d’une entreprise, vous êtes probablement en train de lire ces lignes et de vous dire : « Ça a l'air d'être un problème de consommateur, ça ne me concerne pas moi, ni mon entreprise ».
N’en soyez pas si sûr.
Il suffit qu'un employé ou un utilisateur ouvre un e-mail ou un SMS de phishing qui ait l’air authentique de prime abord, clique sur le lien pour lancer ce qui est censé être un site internet réel, et le tour est joué : vous serez peut-être la cible d’un ransomware, d’un malware ou d’une autre menace redoutable qui mettra en danger votre entreprise, votre réseau, vos apps et vos données.
Voici donc quelques idées pour vous aider à former et à protéger vos employés, vos utilisateurs et votre entreprise contre les attaques réalisées à l’approche des fêtes de fin d’année :
● Rafraîchissez la mémoire de vos employés et des utilisateurs en leur rappelant que leur ordinateur professionnel ne doit en aucun cas être utilisé à des fins personnelles, et surtout pas pour faire du shopping.
● Organisez une formation de remise à niveau sur le phishing ou envoyez un petit rappel aux employés et aux utilisateurs pour leur demander de ne pas ouvrir d'e-mails ou de SMS personnels sur leurs équipements professionnels, et surtout de n’ouvrir aucuns e-mails ou SMS qui semble suspect. Encore moins de cliquer sur les liens contenus dans ces e-mails ou SMS, et qu’il vaut mieux qu’ils se connectent directement au site internet et l'adresse URL de l'entreprise concernée.
● Insistez sur le fait que, si un site internet, un SMS ou une publicité semble légitime et chiffré (et que le petit cadenas figure dans l'adresse URL), le lien peut quand même renvoyer vers un site de phishing. Personne ne devrait avoir à donner d'identifiants, d'informations de connexion, personnelles ou financières sur le site en question. Là encore, vos employés et les utilisateurs doivent accéder directement à l'URL et au site internet de l'entreprise concernée.
● Attention, si un e-mail, un SMS ou une publicité vous propose une affaire qui a l’air trop belle pour être vraie, c’est probablement un piège. Ne cliquez pas sur le lien qui vous est proposé. Pour trouver l'article, rendez-vous toujours directement sur le site internet du commerçant, de l'entreprise de commerce électronique ou du fabricant. Même chose pour les articles en rupture de stock sur tous les sites internet, mais disponibles (et seulement pour une durée limitée) chez un seul revendeur. Ne cliquez surtout pas sur ce lien !
● Si un employé ou un utilisateur reçoit un e-mail ou un SMS à propos d'une livraison imminente avec un lien pour suivre la commande précisant que la commande est perdue et propose un lien pour la retrouver, ou n’importe quel autre lien, conseillez-lui de ne pas cliquer dessus mais d'aller directement sur la page internet du transporteur et de suivre ou de retrouver sa commande directement depuis cette page.
● Méfiez-vous des e-mails ou SMS envoyés par des services de livraison qui vous demandent les coordonnées de votre carte bancaire ou d'autres informations personnelles ou financières. Encore une fois, rendez-vous directement sur la page internet du fournisseur pour suivre ou tracer la commande.
Malheureusement, ce genre de rappels et de mises en garde peuvent ne pas suffire. Il suffit qu’un seul et unique employé ou utilisateur se trompe et clique sur un lien, et votre entreprise peut en subir les conséquences.
Voilà pourquoi mettre en place des couches de sécurité supplémentaires n’est jamais peine perdue, surtout quand il s'agit de défendre ce qui compte le plus : vos applications, vos API et l'infrastructure qui existe derrière. Les entreprises devraient aussi envisager des solutions anti-bots capables de sécuriser les applications web et mobiles ainsi que les API contre les attaques automatisées.