Il y aurait aujourd’hui
24 milliards de noms d'utilisateur et de mots de passe obtenus illégalement qui
circulent sur le dark web (24 billion illegally obtained usernames
and passwords).
Les plus demandés sont ceux des cartes. Ils sont achetés en masse par les
fraudeurs pour usurper les identités.
Dans les pays qui
ont les systèmes à puce et PIN (EMV), la conversion de ces données en cartes
clonées est difficile. Elles sont alors généralement utilisées en ligne dans
des attaques par carte non présente (CNP). Celles-ci sont utilisées pour
acheter des articles de luxe destinés à la revente ou pour acheter, en masse, des
cartes-cadeaux - une autre façon de blanchir de l'argent obtenu illégalement.
La taille du
marché de ces cartes est difficile à estimer. Mais les gérants du plus grand
marché underground au monde ont récemment pris leur retraite après avoir gagné
environ 358 millions de dollars (making an estimated US$358m).
Les 5 méthodes
les plus courantes utilisées pour obtenir vos données et comment les
arrêter :
1. Phishing - hameçonnage
Le Phishing est une technique populaire de vol de données.
Les pirates se font passer pour une entité légitime (banque, fournisseur d’e-commerce,
entreprise technologique) pour vous inciter à fournir vos informations persos ou
à télécharger des maliciels sans le savoir. Ils vous font cliquer sur un lien
ou ouvrir une pièce jointe. Parfois, ils redirigent vers une page d’hameçonnage,
où vous entrez des informations persos et financières. Le phishing atteindrait
un niveau record au 1er trimestre 2022.
Ces escroqueries
ont évolué. Au lieu d'un mail, vous pouvez recevoir un SMS malveillant de la
part de pirates se faisant passer pour une société de livraison, une agence
gouvernementale ou une autre organisation de confiance. Ils peuvent vous
appeler, se faisant passer pour une source fiable, pour obtenir les détails de
votre carte. Le phishing par SMS (smishing) a plus que doublé d'un an à l'autre
en 2021 et le phishing vocal (voice phishing) aurait également fortement augmenté (one estimate).
2. Maliciels
La cybercriminalité underground est un marché géant, aussi bien pour les
données que pour les maliciels. Différents types de maliciels sont conçus pour
voler des informations. Certains enregistrent vos frappes, par exemple lorsque
vous saisissez des informations de carte sur un site de commerce électronique
ou bancaire. Comment ces outils arrivent-ils sur votre appareil ?
Les mails ou SMS
d'hameçonnage sont populaires. Les pubs malveillantes en ligne le sont aussi. Elles
peuvent infecter des sites populaires et attendre que les utilisateurs les
visitent. Lorsque vous visitez la page infectée, ce maliciel est installé. Les maliciels
voleurs d'informations sont souvent cachés dans des applis mobiles, d'apparence
légitime mais malveillantes.
3. L’écrémage numérique (digital
skimming)
Parfois, les
pirates installent aussi du maliciel sur les pages de paiement des sites d’e-commerce.
Invisible pour l'utilisateur, il survole les détails de votre carte au fur et à
mesure de leur saisie. Les utilisateurs ne peuvent pas faire grand-chose pour
rester en sécurité, uniquement faire leurs achats auprès de grandes marques et
sur des sites pouvant être plus sécurisés. Les détections d'écrémage numérique (Detections of digital skimming) ont augmenté de 150 % entre mai et
novembre 2021.
4. Violations de données
Parfois, les
détails de la carte sont volés aux entreprises (are stolen direct)
avec lesquelles vous faites affaire - fournisseur de soins de santé,
magasin d’e-commerce, organisation de voyages. Il s'agit d'un moyen peu cher
car les pirates ont accès à une énorme quantité de données en une seule attaque
alors que les campagnes d’hameçonnage les obligent à voler des individus un par
un, bien que ces attaques soient souvent automatisées. La mauvaise nouvelle :
2021 a été une année record pour les violations de données aux États-Unis.
5. Wi-Fi public
Parfois, c’est
tentant de surfer gratuitement sur des Wi-Fi publics (public Wi-Fi hotspots) - dans les aéroports, hôtels, cafés et
autres espaces partagés. Même s’il faut payer pour rejoindre le réseau, ce
n'est peut-être pas sûr surtout si des pirates l'ont fait, eux-aussi. Ils
peuvent utiliser cet accès pour espionner vos informations au fur et à mesure
que vous les introduisez.
Comment protéger les détails de
votre carte
Heureusement, il y
a de nombreuses façons de limiter le risque de vol des détails de votre
carte :
· Soyez vigilant : ne répondez jamais ni ne
cliquez sur les liens dans des pièces jointes ouvertes de mails non sollicités.
Ils peuvent être chargés de maliciels ou vous conduire à des pages d’hameçonnage
d'apparence légitime où vous pouvez saisir vos coordonnées.
· Par téléphone, ne donnez pas de détails
même si la personne semble convaincante. Demandez d'où elle appelle et rappelez
cette organisation pour vérifier, mais n'utilisez pas les numéros de téléphone
qu'elle vous donne.
· Si vous ne disposez pas d'un réseau privé
virtuel, n'utilisez pas Internet sur le Wi-Fi public. S’il le faut absolument,
ne faites rien nécessitant la saisie des détails de la carte (achats en ligne).
· Ne stockez pas les détails de la carte sur
les sites d’achats en ligne ou autres, même si cela vous fera gagner du temps
lors de vos prochaines visites. Cela limite le risque que les détails de votre
carte soient volés si cette société ou si votre compte est piraté.
· Sur tous les ordinateurs portables et autres
appareils (téléphones, tablettes) téléchargez l'anti-malware et la protection
anti-phishing d'un fournisseur de sécurité réputé tel qu'ESET.
· Utilisez l'authentification à deux
facteurs sur tous les comptes sensibles. Cela limite les chances que des
pirates les ouvrent avec des mots de passe volés/hameçonnés.
· Téléchargez uniquement des applis de
magasins légitimes (Apple App Store, Google Play).
· Si vous achetez en ligne, faites-le
uniquement sur les sites HTTPS (avec cadenas dans l’adresse du navigateur à
côté de l'URL). Ainsi, il y a moins de chance que vos données soient
interceptées.
Il est recommandé
de garder un œil sur tous vos comptes bancaires et cartes. Si vous remarquez
des transactions suspectes, contactez immédiatement l'équipe anti-fraude de
votre banque/fournisseur de carte. Certaines applis vous permettent de
"geler" les dépenses sur des cartes spécifiques jusqu'à ce qu’on
détermine s'il y a eu une faille sécuritaire. Pour les pirates il y a de
nombreuses façons d'obtenir les détails de nos cartes, mais nous pouvons
également faire beaucoup pour les tenir à distance.
A propos
d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe
pour protéger les entreprises, les infrastructures critiques et les
consommateurs du monde entier contre les menaces numériques toujours plus
sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en
passant par le chiffrement, l'authentification à double facteur, les solutions
légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour,
en temps réel, les défenses afin d’assurer sans interruption la sécurité des
utilisateurs et des entreprises. L'évolution constante des menaces nécessite un
fournisseur de sécurité informatique évolutif qui permet d’utiliser la
technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET
dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus
d’information visitez www.eset.com , ou suivez nous
sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .
