A l’attention des nombreux consommateurs utilisant les réseaux de leur entreprise pour accéder à Internet en préparation de Noël, Websense a publié un guide pour éviter les arnaques en cette période de fête.
Les termes « Noël » et « Achats » vont de pair ; l’année dernière, les consommateurs britanniques ont dépensé plus de 4,67 milliards de livres sterling sur le Web pour le seul mois de décembre, dont 102 millions pour le seul jour de Noël.*
Cette année, la population, lassée par la crise, est à la recherche de bonnes affaires et devrait une nouvelle fois choisir d’éviter la foule en faisant ses achats en ligne. eBay prévoit que 85 % des consommateurs maintiendront ou augmenteront leurs achats en ligne ce Noël et des études indiquent que 93 % des clients prévoient d’acheter un cadeau en ligne.*
La dernière statistique, notamment, présente un intérêt pour les cybercriminels. Elle révèle en effet le nombre potentiel des occasions d’attaque pour eux.
*sources: Interactive Media in Retail Group and eBay.
 Les astuces à connaître pour éviter les mauvaises surprises lors des achats de Noël
1. L’arnaque de la « bonne affaire » en ligne
L’attaque se déroule ainsi : L’un des principaux attraits des achats en ligne est qu’ils se présentent souvent comme une bonne affaire à réaliser. En cherchant une bonne affaire, on peut être attiré par les prix bas et oublier de vérifier qui est le vendeur. Les cybercriminels en sont parfaitement conscients et créent de fausses boutiques en ligne pour collecter des informations bancaires, qu’ils utilisent ensuite pour leur propre profit. Les produits sont souvent offerts à des prix bien plus bas que dans les magasins, cependant aucun colis ne vous sera envoyé. Mais votre carte de crédit, elle, pourrait bien être débitée et vos informations bancaires vendues sur le marché noir.
Aussi alléchantes que peuvent paraître certaines offres, le vieil adage se révèle souvent juste : si cela semble trop beau pour être vrai... c’est probablement le cas.
Exemple de faux site web commerçant
L’astuce: Si vous effectuez des achats sur un site inhabituel, assurez-vous qu'un numéro de téléphone fixe et une adresse postale sont précisés, afin que vous puissiez contacter le revendeur en cas de problème. Vérifiez que la connexion de paiement est sécurisée en recherchant le symbole de cadenas et en vous assurant que l'adresse dans la barre d'adresse commence par « https » (le « s » signifiant sécurisé). Ne fournissez vos informations de carte bancaire qu’en cas de connexion sécurisée. Ne le faites jamais par courrier électronique. Souvenez-vous également que les lois de l'Union Européenne (UE) vous protègent contre une utilisation frauduleuse de ces informations dans des transactions au sein de l’UE : les cartes de crédit vous apportent une protection supplémentaire.
2. Le camouflage par déguisement
L’attaque se déroule ainsi : Au moment de Noël, nous envoyons à nos amis et collègues des cartes électroniques ou des liens vers des vidéos amusantes. Malheureusement, sans le savoir, celles-ci peuvent parfois contenir des éléments malveillants. Et l’e-mail peut cacher une arnaque au phishing. Dissimulées entre les images joyeuses du Père Noël, des URL malveillantes peuvent contenir des liens vers des malwares ou du code. Cette technique évolue constamment visant à augmenter le taux de réussite. Elle permet de donner vie à de nouvelles attaques de plus en plus sophistiquées en termes d’imagerie et d’appâts utilisés.
Exemple de fausse carte électronique de Noël
L’astuce: Nous aimons tous visiter des sites Web de vidéos populaires pour découvrir la dernière blague ou le dernier clip. Ces sites au contenu créé par les utilisateurs font l’objet, de par leur nature même, d’une mise à jour constante qui rend difficile la protection classique pour la sécurité des visiteurs. L’installation d’un logiciel d’analyse en temps réel permet d’atténuer ce risque, mais il faut toujours traiter avec une saine défiance tout contenu vidéo.
Si vous recevez une carte électronique d’un soi-disant ami, collègue ou parent, vérifiez soigneusement l'adresse e-mail de l'expéditeur et que le message vous est bien destiné. Les personnes qui vous connaissent, n’oublient pas votre nom ! Vous pouvez éventuellement vérifier auprès de l'expéditeur s'il vous a vraiment envoyé l'e-mail en question. Si cet e-mail vous redirige vers une URL, vérifiez l'adresse pour déterminer où mène le lien AVANT de cliquer dessus. Est-ce que l'adresse paraît différente du site dont elle prétend provenir ? En cas de doute sur l’origine du message, il est conseillé de le supprimer immédiatement.
3. Le téléchargement caché (drive-by)
L’attaque se déroule ainsi : C'est un des types d'attaque les plus dangereux, étant donné qu'aucune interaction de l'utilisateur n'est nécessaire pour que cette infection ait lieu. Il suffit de naviguer sur un site ayant trait à Noël, évidemment infecté, pour permettre l’exécution d’un code exploitant les vulnérabilités d’un logiciel installé sur l’ordinateur de l’utilisateur. Ainsi, à son insu, l’utilisateur télécharge des applications malveillantes alors qu’il regarde la démonstration des « finger skates » ou qu’il est en train de se divertir en participant aux jeux organisés sur les sites de Noël.
L’astuce: La plupart des arnaques classiques exploitent les faiblesses (vulnérabilités déjà identifiées) des logiciels, des navigateurs ou des plug-in tiers. Il est essentiel pour l’utilisateur de télécharger les correctifs et les mises à jour, sans quoi il s’expose lui-même à des attaques de cybercriminels capables de prendre contrôle de sa machine et de voler des données. Pour se protéger contre ces types d’attaques, vous devez télécharger les derniers correctifs et mises à jour disponibles.
4. Les cadeaux empoisonnés de l’antivirus
L’attaque se déroule ainsi : L’ingénierie sociale désigne l’art d’abuser une personne pour qu’elle effectue une action. Le faux antivirus est un exemple de technique d’ingénierie sociale que les laboratoires de sécurité de Websense constatent souvent. Lorsque l’on navigue sur le Web, il arrive de voir apparaître une fenêtre pop-up expliquant que l’ordinateur risque d’être infecté, et offrant une analyse antivirus gratuite. Ne vous faites pas berner, il n'y aura aucune analyse. En revanche, le programme prétendra avoir trouvé un virus sur votre machine. En réalité, vous n'êtes pas vraiment infecté mais le procédé vise à vous encourager à télécharger ou à payer pour un faux logiciel antivirus, qui n'est en fait rien d'autre qu'un logiciel malveillant. Ainsi, les hackers sont en possession de vos informations bancaires et sont en mesure de prendre le contrôle de votre ordinateur.
L’astuce: Les résultats des moteurs de recherche sont souvent « empoisonnés », et vous dirige vers des logiciels malveillants déguisés en logiciels antivirus. Lorsque vous recherchez des termes populaires ayant trait à Noël, l'empoisonnement du référencement pousse des URL infectées en tête des résultats de recherche, afin d'augmenter la probabilité que vous visitiez le site Web d'un faux antivirus. Soyez vigilants lorsque vous téléchargez un logiciel ou visitez un site Web. La réflexion est la meilleure protection dont vous disposez contre cette attaque. Si vous réalisez être éventuellement tombé dans une arnaque, contactez les autorités compétentes.
5. Le puzzle de Noël
L’attaque se déroule ainsi : La technique, appelée fragmentation de script, consiste à scinder le code malveillant en petits blocs avec pour objectif de terrasser les moteurs d’analyse. Du code anodin est intégré dans une page Web. Lorsqu’une personne visite la page Web, la routine JavaScript demande lentement du code additionnel d’autres serveurs Web par petites tranches. Une fois reçus, les octets sont stockés jusqu’au transfert de tout le code, ce qui déclenche l'exploit.
Ce processus peut être comparé à l’envoi d’une bombe en pièces détachées. Ce n’est qu’une fois toutes les pièces ont été reçues et assemblées que le danger prend forme entièrement. Lorsqu’on le réalise, le pirate se trouve déjà dans la place et peut alors aller désactiver l’antivirus et prendre le contrôle de la machine.
L’astuce: L’attaque, qui concerne tous les principaux navigateurs, ne repose pas sur une vulnérabilité de ceux-ci, mais exploite simplement leur mode de fonctionnement. Désactiver les scripts JavaScript permet d’empêcher l’attaque, mais il ne s’agit pas d’une solution réaliste pour la plupart des internautes car elle priverait des fonctionnalités de la quasi-totalité des sites Web les plus fréquentés qui exigent l’utilisation de JavaScript.
Les Laboratoires de sécurité de Websense utilisent le réseau Websense ThreatSeeker™ pour détecter, classifier et contrôler les menaces Internet globales et les anticiper. Chaque heure, le réseau Threatseeker scanne plus de 40 millions de sites Web et 10 millions d’emails pour détecter le contenu et le code malicieux. En utilisant plus de 50 millions de systèmes collectant les données en temps réel, le réseau Websense ThreatSeeker passe en revue plus d’un milliard de contenus quotidiennement, à la recherche de nouvelles menaces. Les Laboratoires de Sécurité de Websense livrent des alertes et partagent sur leur blog.
|
