Cybersécurité & Black Friday : comment se prémunir des cyberattaques

Le Black Friday et le Cyber Monday sont deux événements commerciaux majeurs qui attirent des millions d’acheteurs en ligne et en magasin.

Cette forte affluence de trafic crée une opportunité pour les cybercriminels de lancer des attaques visant à voler des données personnelles, des informations de paiement et des informations sensibles.

Les risques : Cybersécurité & Black Friday

Soyez sûr d’une chose, les cybercriminels ne manquent clairement pas de créativité. Ils utilisent une variété de techniques différentes pour cibler les consommateurs pendant le Black Friday et le Cyber Monday.

Voici les risques et types d’attaques les plus courants.

Le Phishing (ou hameçonnage)

Durant la période du Black Friday, les attaques par Phishing augmentent de 440% comparé au reste de l’année.

Le principe de ce genre d’attaques est très simple.

Les malfaiteurs envoient des e-mails, ou SMS, frauduleux qui semblent provenir d’une source légitime, telle qu’une entreprise ou une banque.

Ces messages contiennent souvent des liens ou des pièces jointes piégées qui, lorsqu’ils sont cliqués, installent des logiciels malveillants ou redirige l’utilisateur vers un site Web frauduleux.

Exemple de Phishing

Un cybercriminel pourrait envoyer un e-mail frauduleux qui prétend provenir de votre banque.

L’e-mail pourrait indiquer que votre compte bancaire est en danger et qu’il est nécessaire de cliquer sur un lien pour le sécuriser.

Si vous cliquez sur le lien, vous serez redirigé vers un site Web frauduleux qui ressemble à celui de votre banque.

Une fois que vous aurez entré vos informations de connexion sur ce faux site, les cybercriminels pourront les utiliser pour accéder à votre compte bancaire réel.

Cas concret d’un mail Phishing

L’image ci-dessous montre une attaque Phishing par mail provenant d’Amazon.

Le mail est, ici, assez grossier.

Les éléments qui peuvent alerter sont :

• La présence de pièces jointes suspectes.
• Des fautes d’orthographe et de grammaires dès les premiers mots.
• Une signature qui n’a rien à voir avec Amazon.
• La présence de liens douteux.
• Et autres détails assez grossiers.

La fraude sur les prix

Les cybercriminels créent des sites Web ou des applications frauduleux qui imitent les sites Web légitimes des détaillants.

Ces sites Web proposent souvent des prix incroyablement bas pour attirer les acheteurs, mais ils ne livrent jamais les produits ou services promis.

Exemple de fraude sur les prix

Prenons l’exemple d’un cybercriminel qui pourrait créer un site Web ressemblant au site Web d’un détaillant populaire.

Le site Web pourrait proposer des téléphones portables à un prix incroyablement bas. Si vous achetez un téléphone portable sur le site Web frauduleux, vous ne recevrez jamais le téléphone.

Au lieu de cela, vous risquez de perdre votre argent ou de voir vos informations personnelles compromises.

Cas concret d’une fraude sur les prix

Dans le cas ci-dessous, il y a deux sites. Ils peuvent paraître similaires, mais ils ne le sont pas. Le second site est l’officiel, le premier est l’usurpateur.

Plusieurs indices peuvent nous indiquer que le premier est un faux site :

• Le logo du site est flou dans la première version
• Les promos sont assez exagérées, avec 50% de réduction
• La phrase de « Réassurance » tout en haut pousse trop à l’achat et met trop en évidence les bas prix
• Si vous explorer davantage le site, vous aurez d’autres points inquiétants comme les fautes d’orthographe, ou encore la page contact qui fait très amateur et qui ne fait aucune mention de numéro de téléphone.

La fraude par prise de contrôle de compte

Les cybercriminels utilisent des techniques telles que le phishing ou le vol d’identité pour prendre le contrôle des comptes en ligne des utilisateurs.

Une fois qu’ils ont pris le contrôle d’un compte, ils peuvent utiliser les informations personnelles de l’utilisateur pour effectuer des achats frauduleux, accéder à des comptes bancaires ou voler des informations sensibles.

Exemple de fraude par prise de contrôle de compte

Par exemple, un cybercriminel pourrait utiliser des techniques de phishing pour voler vos informations de connexion à votre compte de messagerie.

Une fois qu’ils ont accès à votre compte de messagerie, ils peuvent utiliser vos informations pour accéder à d’autres comptes en ligne, tels que vos comptes bancaires ou vos comptes de réseaux sociaux.

Les attaques par déni de service distribué (DDoS)

Les cybercriminels utilisent des réseaux de machines infectées (botnets) pour envoyer une quantité massive de trafic vers un site Web ou une application.

Cela peut submerger les serveurs du site et le rendre inaccessible aux utilisateurs légitimes.

Comme le montre le graphique ci-dessous, en 2019, durant le jour du Black Friday, il y a eu plus de 350 000 attaques DDoS.

Exemple d’attaque DDoS

Par exemple, un cybercriminel pourrait lancer une attaque DDoS contre le site Web d’un détaillant populaire.

Si l’attaque DDoS est réussie, le site Web du détaillant pourrait être inaccessible pendant plusieurs heures ou même plusieurs jours.

Cela pourrait empêcher les consommateurs d’acheter des produits ou des services durant le Black Friday ou le Cyber Monday.

Se protéger contre les risques en Cybersécurité durant le Black Friday

Que vous soyez un simple client ou un commerçant, les cyberattaques sont très présentes durant la période du Black Friday.

Il est donc primordial de prendre des mesures pour se protéger contre les risques cybersécurité liés au Black Friday et au Cyber Monday.

Les conseils Cybersécurité pour les consommateurs

Soyez vigilants avec les e-mails et les SMS

Ne cliquez jamais sur un lien ou n’ouvrez jamais une pièce jointe dans un e-mail ou un SMS que vous n’attendiez pas.

Si vous recevez un e-mail ou un SMS d’une entreprise que vous connaissez, vérifiez l’adresse e-mail ou le numéro de téléphone de l’expéditeur avant d’ouvrir l’e-mail ou de cliquer sur le lien.

Utilisez des mots de passe forts et uniques

Ne réutilisez jamais le même mot de passe pour plusieurs comptes. Nous recommandons fortement d’utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe forts et uniques pour tous vos comptes.

Activez l’authentification à deux facteurs

L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire à vos comptes en demandant un code supplémentaire lors de la connexion.

Faites attention où vous achetez

Faites des recherches sur les détaillants avant d’effectuer des achats en ligne. Lisez les avis des clients et vérifiez que le détaillant a une politique de retour claire et généreuse.

Méfiez-vous des offres qui semblent trop belles pour être vraies

Si une offre semble trop belle pour être vraie, elle l’est probablement. Les cybercriminels utilisent souvent des offres alléchantes pour attirer les consommateurs vers des sites Web frauduleux ou des applications frauduleuses.

Vérifiez attentivement vos relevés bancaires

Signalez immédiatement toute transaction frauduleuse à votre banque ou à votre société de carte de crédit.

Soyez prudent lorsque vous partagez des informations personnelles en ligne

Ne partagez jamais vos informations personnelles, telles que votre numéro de sécurité sociale ou vos informations de compte bancaire, sur un site Web que vous n’êtes pas sûr de connaître et de faire confiance.

Utilisez un antivirus et un pare-feu.

Un antivirus et un pare-feu peuvent vous aider à protéger votre ordinateur des logiciels malveillants et des pirates informatiques.

Soyez prudent lorsque vous utilisez les réseaux Wi-Fi publics

Les réseaux Wi-Fi publics ne sont pas sécurisés et peuvent être utilisés par les cybercriminels pour voler vos données.

Évitez d’effectuer des transactions financières ou d’accéder à des informations sensibles sur un réseau Wi-Fi public.

Les conseils Cybersécurité pour les entreprises

Éduquez vos employés sur les risques cybersécurité

Assurez-vous que vos employés connaissent les risques cybersécurité et savent comment se protéger. Sensibilisez tous vos collaborateurs aux enjeux, menaces et risques de la sécurité informatique. Délivrez-leur toutes les méthodes de protection qui font la différence en cas de cyberattaque.

Mettez en place des politiques de sécurité strictes

Assurez-vous que vos employés suivent des politiques de sécurité strictes, telles que l’utilisation de mots de passe forts et l’activation de l’authentification à deux facteurs.

Vérifiez les vulnérabilités de vos systèmes informatiques

Faites régulièrement vérifier vos systèmes informatiques par des experts en sécurité pour identifier et corriger les vulnérabilités.

Pour cela, nous vous recommandons de réaliser, une fois par an, un pentest, ou test d’intrusion. Un test d’intrusion permet d’identifier les vulnérabilités d’un système informatique comme le ferait des hackers.

Nous recommandons très fortement également de disposer d’un scanner de vulnérabilités, il permet de détecter automatiquement les failles de sécurité sur les sites web et les applications web.

Mettez en place un plan de réponse aux incidents

Ayez un plan en place pour répondre aux incidents de cybersécurité. Nous vous recommandons de vous aider d’une équipe Incident Response qui vous accompagnera dans ce parcours.

De la détection de la menace jusqu’à sa remédiation, la Ziwit Incident Response Team vous accompagne durant tout le processus de sorte à vous garantir une sécurité maximale et prolongée.