Les périodes de bonnes affaires sont aussi synonymes d'arnaques en ligne pour les cybercriminels qui se frottent les mains. Alors que les soldes commencent à partir de ce mercredi 12 janvier, la vigilance sera de mise pour les internautes.
En novembre dernier, la société spécialisée en cybersécurité Kaspersky avait relevé une hausse de 208 % des fraudes au paiement en ligne à l'approche du Black Friday, autre grand rendez-vous annuel pour les commerçants. Les spams et tentatives d'hameçonnages (phishing) constituent toujours les attaques les plus utilisées par les pirates pour dérober les données bancaires ou les détourner, afin de faire des achats en ligne. Mais d'autres types d'attaques sévissent.
Le sim swapping en hausse
Alors que la double authentification est aujourd'hui exigée lorsque vous effectuez un achat en ligne avec votre carte bancaire, les cybercriminels ont mis au point de nouvelles techniques pour contourner ce nouveau rempart. Le SIM swapping en est une.
Celle-ci consiste à usurper votre numéro de téléphone en récupérant une nouvelle carte SIM la plupart du temps auprès de votre opérateur. Le pirate va en effet contacter un opérateur et réclamer une nouvelle carte en se faisant passer pour sa cible, après avoir récupérer des informations personnelles (nom, date de naissance...) - faciles à trouver sur Internet et les réseaux sociaux - pour usurper votre identité. Souvent, l'auteur d'un SIM swapping (échange de SIM) possède également les informations bancaires, qu'il a pu obtenir sur le dark web. Il lui suffit alors de passer commande en se faisant passer pour sa victime lors de l'envoi d'une double authentification qui utiliserait par exemple, l'envoi d'un code par SMS.
«Ce type d'attaques reste toutefois encore faible en France où les smartphones sont encore peu utilisés pour réaliser des paiements mobiles, contrairement aux Etats-Unis par exemple», explique à CNEWS Laurent Nezot, directeur des ventes France chez Yubico, spécialiste en matière de cybersécurité.
Les deep voices émergent
D'autres arnaques sont également utilisées à l'instar des attaques reposant sur des deep voices. Inspirées des deep fakes (qui peuvent utiliser l'image d'une personne pour produire une vidéo mensongère ou parodique par exemple), les deep voices sont utilisées par les criminels pour usurper la voix d'une personne afin de réaliser notamment des paiements ou des virements bancaires par téléphone. Encore peu utilisées, celles-ci appartiennent à la catégorie des arnaques émergentes, et 2022 pourrait témoigner de virements ou d'achats en ligne reposant sur cette technologie.
«Il y a une sophistication dans les attaques existantes. Comme c'est le cas avec les appels vocaux. L’attaque peut se faire aussi bien de manière informatique qu’avec une approche humaine avec beaucoup de social engineering en amont, où le criminel va chercher des informations pour bien vous connaître sur les réseaux sociaux et Internet afin de se faire passer pour vous», prévient Laurent Nezot.
Les faux sites internet d'e-commerce
Les faux sites de vente en ligne se multiplient en cette période et les stratégies sont nombreuses pour attirer les clients : imitation de sites légitimes, campagnes d'e-mails (phishing), promesses de très bonnes affaires... Pour éviter les mauvaises surprises, il faut d'une part privilégier les sites les plus connus. Mais attention, ne vous rendez jamais sur des sites par le biais de liens envoyés dans votre boîte mail, ceux-ci peuvent parfois conduire à des sites qui veulent obtenir vos identifiants et vos mots de passe. Préférez donc écrire l'adresse du site directement et manuellement dans la barre de recherche de votre navigateur.
En cas de doute, il est possible de faire une recherche sur Internet en tapant «arnaque» suivi du nom du site en question. Il faut également vérifier dans la barre indiquant l'URL que le site sécurise les transactions bancaires avec un petit cadenas fermé en guise de logo à côté de l'adresse dans la barre de recherche.
gare aux soldes trop alléchants
L'hameçonnage (phishing, en anglais) est la méthode favorite des cybercriminels lors des soldes. Ils envoient des mails proposant des offres défiant toute concurrence ou encore des «pop-ups» incitant à cliquer sur un lien. Il faut éviter de le faire si l'on n'est pas absolument sûr de l'expéditeur, éviter de télécharger des pièces jointes et ne pas fournir d'informations confidentielles.
quelles solutions pour garantir vos données ?
Outre les mesures d'«hygiène numérique» (vérifier l'URL du site, se méfier des offres alléchantes...) que nous avons détaillé dans les différents points abordés ci-dessus, plusieurs solutions permettent de protéger votre identité et vos moyens de paiements sur Internet. Si ce n'est pas déjà fait, veillez à activer la double authentification pour votre boîte mail personnelle. Vous pouvez également créer une adresse e-mail spécialement affectée à la réalisation d'achats en ligne, afin de séparer vos données personnelles et des indices qui pourraient être contenus dans votre boîte principale. L'usage d'un générateur de mots de passe est également intéressant afin de s'assurer de ne pas utiliser toujours le même et de générer des mots de passe forts.
Un niveau de sécurité supérieur peut également être franchi en utilisant une clé de sécurité physique cryptée qui une fois connectée à un ordinateur (via le port USB) sécurisera l'accès aux applications. Celles-ci sont généralement compatibles avec la majorité des web marchands les plus connus, avec des protocoles de sécurité de haut niveau. «Le hardware a l’intérêt du facteur de possession, car si quelqu’un n’utilise pas ma clé, il ne peut pas accéder à mes comptes ou à mes applicatifs. Il s'agit ici d'un système qui permet de rester presque inattaquable en plus d’être un outil dédié à l’authentification forte», explique Laurent Nezot.