NCSC émet une alerte de sécurité au détail avant les ventes du Black Friday

Le National Cyber Security Centre (NCSC) du Royaume-Uni a publié des directives de sécurité actualisée s’adressent aux acheteurs en ligne avant les événements de vente au détail du Black Friday et du Cyber Monday.

Black Friday, un jour férié initialement composé par les détaillants américains pour attirer les acheteurs avides de bonnes affaires à ses centres commerciaux au cours de la fin de Novembre long week-end de Thanksgiving, est devenu mondial dans les années 2000 à côté de la propagation de l’Internet, et il est maintenant également accompagné par l’événement de vente Cyber Monday.

Naturellement, comme avec tout événement de haut niveau, les cybercriminels seront en attente d’encaisser, anticipant que les consommateurs baisseront la garde pendant la ruée pour saisir les meilleures offres, a déclaré la NCSC. Ses nouvelles orientations visent à aider les consommateurs avant, pendant et après le processus de vente en ligne, et comprend des conseils couvrant les paiements sécurisés, et des mesures à prendre si quelque chose ne va pas.

Ses orientations accompagnent une campagne plus large de fraude à l’action, #FraudFreeXmas, qui vient de lancer à la suite d’une vague de rapports de fraude en ligne. Pauline Smith, d’Action Fraud, a déclaré que l’an dernier, lors d’événements festifs de vente avant Noël, les consommateurs britanniques ont perdu plus de 3 millions de livres sterling au nom des criminels, la plupart des escroqueries au détail impliquant des téléphones mobiles et d’autres appareils électroniques.

« À cette période de l’année, nos boîtes de réception se remplissent de courriels promotionnels promettant des offres incroyables, ce qui rend difficile de raconter de véritables aubaines à la recherche d’escroqueries », a déclaré Sarah Lyons, directrice adjointe de la NCSC pour l’économie et la société.

« Nous voulons que les acheteurs en ligne soient convaincus qu’ils font les bons choix, et suivre nos conseils réduira le risque de faire un cadeau précoce aux cybercriminels. Si vous repéz un courriel suspect, signalez-le-nous ou si vous pensez avoir été victime d’une escroquerie, signalez les détails à Action Fraud et communiquez avec votre banque dès que possible.

Helen Dickinson, directrice générale du British Retail Consortium (BRC), a ajouté : « Avec de plus en plus d’entre nous qui naviguent et magasinons en ligne, les détaillants ont investi dans des systèmes et une expertise de pointe pour protéger leurs clients contre les cybermenaces, et le CRB a récemment publié une trousse d’outils sur la cyberrésasécurité pour obtenir un soutien supplémentaire afin de rendre l’industrie plus sûre.

« Toutefois, en tant que clients, nous avons également un rôle à jouer et nous devrions suivre les conseils utiles de la CCSN pour rester en sécurité en ligne. »

Les conseils de la CCSN, qui peuvent être consultés en ligne sur son site Web, comprennent un certain nombre de conseils, y compris le fait d’être sélectif quant à l’endroit où vous magasinez, de ne fournir que les renseignements nécessaires, d’utiliser des paiements sécurisés et protégés, de sécuriser les comptes en ligne, d’identifier les tentatives potentielles d’hameçonnage et de traiter tout problème.

Carl Wearn, responsable de la lutte contre la criminalité électronique chez Mimecast, a commenté : « Certaines des principales choses à prendre en attention incluent les courriels d’hameçonnage et l’usurpation de marque, car nous sommes susceptibles de voir une augmentation des deux. Les consommateurs devraient également se méfier de toute messagerie les pressant de prendre des décisions d’achat rapides, telles que les ventes flash ou les offres de prix en cliquant sur un lien, par exemple, car il s’agit très souvent d’escroqueries.

« Les ventes et les offres sont généralement bien annoncées, et il est toujours utile de naviguer vers le site web principal d’un détaillant via votre navigateur pour vérifier qu’une offre est légitime. Veuillez noter qu’une série déconcertante de fraudes peut être entreprise en ce moment, et s’il vous plaît envisager la sécurité de tous les appareils si vous achetez des appareils connectables cette saison.

Wearn a ajouté: « Lors de l’achat en ligne, assurez-vous d’utiliser une carte de crédit si possible, car vous êtes susceptible de trouver plus facile de remplacer et d’obtenir un remboursement si elle est par la suite mal utilisée. Beaucoup offrent également une assurance protection d’achat pour plus de tranquillité d’esprit. Comme toujours, mais surtout à cette période de l’année où nous sommes après les éléments incontournables pour la famille et les amis, si quelque chose semble bon d’être vrai, alors il est souvent.

Matt Cooke, stratégiste cybersécurité pour l’EMEA chez Proofpoint, a déclaré : « Nos recherches ont montré que les détaillants britanniques peuvent s’exposer eux-mêmes et leurs clients à des cybercriminels à la recherche de données personnelles et financières, en ne mettant pas en œuvre des pratiques exemplaires simples, mais efficaces en matière d’authentification par courriel. Le courrier électronique continue d’être le vecteur de choix pour les cybercriminels et l’industrie de la vente au détail demeure une cible clé.

« Les organisations de tous les secteurs devraient chercher à déployer des protocoles d’authentification, tels que Dmarc, pour renforcer leurs défenses en matière de fraude par courriel. Les cybercriminels tireront toujours parti des événements clés pour générer des attaques ciblées en utilisant des techniques d’ingénierie sociale telles que l’usurpation d’identité, et les détaillants ne font pas exception à cette règle.

« Avant le Black Friday, les consommateurs doivent être vigilants pour vérifier la validité de tous les courriels, surtout le jour où les gardes sont à terre, et les attentions se concentrent sur l’accaparement des bonnes affaires saisonnières. »

Ilia Kolochenko, fOunder et PDG d’ImmuniWeb, a déclaré que les risques d’achats en ligne ont été augmentés cette année en raison de la pandémie Covid-19.

« Pendant la pandémie, de nombreux petits magasins locaux se sont déplacés en ligne, sans aucune précaution en termes de sécurité ou de confidentialité, sans parler de la conformité », a-t-il dit.

« Sur le dark web, nous observons un nombre croissant de propositions diversifiées offrant l’accès à des centaines de petits sites de commerce électronique franchisés et détournés, qui peuvent être vendus aussi bon marché que plusieurs dollars par site Web.

« Les propriétaires de sites Web n’en sont manifestement pas conscients. En outre, de nombreux cyber-gangs corriger les vulnérabilités qu’ils exploitaient pour entrer, empêchant ainsi leurs concurrents criminels de prendre en charge la victime involontaire.

« Ainsi, les acheteurs en ligne ne peuvent malheureusement pas faire grand-chose pour se sécuriser lorsque la boutique en ligne est déjà compromise. »

L’un des vecteurs d’exploitation post-compromis les plus répandus et les plus connus est Magecart, un écumoire de carte de crédit injecté dans des sites Web qui sangsues les détails de la carte de crédit des victimes involontaires à vendre dans les forums clandestins de cybercriminalité.

Malheureusement, a déclaré Kolochenko, les acheteurs en ligne devraient donc éviter les vendeurs inconnus ou petits à moins qu’ils ne puissent démontrer de manière convaincante leur sécurité, et effectuer toutes les transactions en ligne avec une carte de crédit dédiée avec une limite de crédit aussi petite que vous pouvez supporter.