Black Friday : attention au manège des achats en ligne

Security Awareness
14 novembre 2022
Black Friday

Le temps où il fallait se rendre physiquement dans le bon magasin pour acheter quelque chose est désormais un lointain souvenir. Fini les après-midis passés en voiture pour arriver à l’endroit où se trouvait ce produit particulier, fini les heures passées à se balader entre les vitrines, mais aussi, fini les discussions avec le vendeur qui nous conseillait le produit, le service ou le voyage qui nous convenait. Le shopping se fait de plus en plus en ligne.

Selon les études de l’Observatoire du commerce électronique b2c de la School of Management de l’École polytechnique de Milan, la passion des Italiens pour les achats en ligne continue de croître. En 2022, selon les données, ils ont atteint la valeur de 48,1 milliards d’euros, soit une croissance de 20 % par rapport à 2021, lorsque les achats avaient dépassé les 40 milliards.

Les achats en ligne de services ont enregistré la plus forte augmentation, avec un taux de +59 %, atteignant 14,9 milliards, principalement grâce à la reprise, dans la période post-pandémie, du secteur du tourisme.

Le taux de croissance entre les années 2021 et 2022 pour le tourisme a été de 74 % (il a atteint 11,8 milliards d’euros), mais le secteur des transports et celui des événements se portent également bien. Le taux de pénétration de la consommation totale en ligne pour les produits en 2022 n’augmente que de quelques dixièmes de point de pourcentage, mais reste stable à 11 %. Le secteur de l’informatique et de l’ameublement se développe, celui de l’édition, de la beauté et de l’alimentation reste stable et celui de l’habillement diminue. Grâce au secteur des voyages, le taux de pénétration des services passe de 12 % en 2021 à 14 % aujourd’hui.

Black Friday et le shopping en ligne

Il y a ensuite des périodes particulièrement favorables aux achats en ligne, parmi lesquelles on trouve sans aucun doute le mois de novembre qui, depuis quelques années, grâce à Black Friday, est le mois par excellence des promotions sur tous les achats en ligne. Une sorte de foire d’empoigne pour acheter n’importe quoi sur Internet à prix réduit, et qui pousse même les plus réticents à acheter. Le Cyber Monday, qui a lieu cette année le 28 novembre, et qui devrait théoriquement clôturer la période de promotions, représente le point culminant de cette période, mais en se concentrant sur les produits technologiques.

Mais comme toujours, tout n’est pas rose et ce manège de réductions et de promotions a naturellement son côté sombre. Disons que c’est un rendez-vous que les pirates attendent avec impatience et par lequel ils ne se laissent certainement pas surprendre.

C’est une excellente occasion pour eux, compte tenu de la quantité d’argent qui circule en ligne et des données sensibles que les utilisateurs saisissent chaque jour, telles que les identifiants de compte et les références de carte de crédit.

Il est donc facile de prédire l’intérêt des criminels à enregistrer des milliers de domaines similaires aux domaines d’origine des entreprises, afin d’usurper l’identité des places de marché les plus célèbres tels qu’Amazon et E-bay, et de voler des données sensibles aux victimes.

Black Friday frappe les entreprises de commerce électronique et les clients peu méfiants

Les types d’attaques informatiques contre le commerce électronique sont de différents types et diffèrent à la fois par rapport à la cible touchée, à savoir l’entreprise ou le client, et par rapport à l’objectif du criminel.

Du côté des entreprises, le pirate qui prépare une attaque ciblée sur un site de commerce électronique aura pour objectif de frapper l’infrastructure informatique de la victime (site Web ou serveur). Le site peut, par exemple, être altéré (defacing) via un accès non autorisé. Il s’agit d’un type d’attaque parmi les plus impactantes pour l’image d’une marque. Un autre type d’attaque est le DDos, Distributed Denial of Service, qui sature les requêtes d’un site et le rend non opérationnel, interrompant le service et causant de graves dommages à la fois économiques et en termes d’image.

Une autre attaque ciblant les entreprises est le cross-site scripting (XSS), c’est-à-dire une injection de code malveillant pour exploiter les vulnérabilités de sites Web dynamiques. Bien sûr, à la suite de ces attaques, une rançon est demandée pour rétablir la situation initiale.

Sur le front des escroqueries aux clients, parmi les menaces les plus répandues, il y a les fraudes basées sur l’hameçonnage et le bourrage d’informations d’identification qui ont atteint une dimension de plus en plus inquiétante. Les premières sont des courriels qui usurpent l’identité d’une marque et convainquent l’utilisateur auquel ils sont adressés de fournir les identifiants d’accès à un service. En imitant l’apparence et la terminologie de l’entreprise, le cybercriminel obtient des informations précieuses pour accéder de manière transparente aux comptes et acheter ainsi au nom de la victime.

Le bourrage d’informations d’identification quand à lui, se produit lorsque les cybercriminels utilisent des logiciels automatisés pour tenter d’accéder à des données précédemment acquises à partir d’un autre ensemble de données volées. Si vous réutilisez toujours le même mot de passe, vous risquez de compromettre votre propre compte.

Il suffit d’un clic

Ce qui est demandé, c’est toujours un clic sur un lien frauduleux ou l’insertion d’informations sensibles sur un faux site. Une fois dans le piège, le compte personnel de l’utilisateur est utilisé à des fins différentes. L’objectif est toujours le même : voler des informations sensibles et des numéros de carte de crédit ou inoculer des logiciels malveillants.

Comment bien se protéger ? Les mesures sont toujours les mêmes :

  • utilisez des mots de passe uniques et complexes pour chaque compte en ligne,
  • soyez plus prudent lorsque vous utilisez votre appareil mobile. Les URL raccourcies, souvent utilisées parce qu’elles sont très pratiques pour les téléphones portables, peuvent masquer les ponts vers des sites risqués. Si vous ne pouvez pas reporter une transaction, il est préférable de désactiver le Wi-Fi et d’utiliser les données mobiles ; ou d’attendre jusqu’à ce que vous naviguiez sur une connexion sécurisée,
  • d’éviter de faire des achats sur des sites Web qui semblent suspects ou défectueux, quel que soit la tentation des soldes Black Friday,
  • de ne pas cliquer sur les liens inconnus reçus par courrier électronique ou via les réseaux sociaux,
  • d’utiliser une carte prépayée pour les paiements en ligne. Plus la disponibilité est grande, plus d’argent peut être volé par les escrocs.
  • de toujours activer et utiliser l’authentification à deux facteurs.

Si on voulait faire une synthèse extrême, la recommandation est toujours la même : ne jamais se laisser distraire, ne jamais se laisser prendre par l’euphorie des achats, ne jamais perdre sa concentration, ne jamais cliquer de manière inconsciente.

Même si en ce mois de novembre, nous nous sentons un peu comme Alice au pays des merveilles, entourés d’objets que nous aimons et qui sont si facilement accessibles, souvenons-nous de faire attention à chaque geste que nous faisons en ligne. Chaque clic peut être fatal.

En savoir plus sur les parcours de formation de Cyber Guru

Articles connexes

Deepfake : l’escroquerie Ferrari déjouée

Deepfake : l’escroquerie Ferrari déjouée

Quand le "facteur humain" fait la différence et éloigne les criminels! Il faut certes féliciter le directeur de Ferrari qui a déjoué une tentative d'escroquerie à l'encontre de la société basée à Maranello, mais, après tout, il a fait ce que tout le monde devrait...

lire plus