IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le skimming, une nouvelle technique utilisée par les cybercriminels pour cibler les sites e-commerce


Sujet :

Sécurité

  1. #1
    Membre éprouvé

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juillet 2020
    Messages
    18
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2020
    Messages : 18
    Points : 1 144
    Points
    1 144
    Par défaut Le skimming, une nouvelle technique utilisée par les cybercriminels pour cibler les sites e-commerce
    Le skimming, une nouvelle technique utilisée par les cybercriminels pour cibler les sites e-commerce
    pour voler les données de carte de crédit, selon un rapport d'IntSights

    L'une des principales raisons pour lesquelles les cybercriminels ciblent les sites de commerce électronique est simplement parce que, ce sont des cibles attrayantes, selon le nouveau rapport d'IntSights. En effet, l'accès aux systèmes d'un site de commerce électronique peut fournir aux criminels une gamme de données précieuses, notamment l'accès aux informations personnelles et financières des clients, qui peuvent être lucratives pour les criminels en commettant une fraude d'identité ou en vendant les données sur le dark web, précise le rapport.

    De plus, les sites de commerce électronique sont plus souvent piratés, parce qu'ils sont considérés comme des cibles plus faciles, car un nombre croissant de détaillants ne mettent pas régulièrement à jour, leurs systèmes CMS sous-jacents. C'est ainsi que la nouvelle étude menée par IntSights a relevé une augmentation des cyberattaques ciblant les sites de commerce électronique à l'aide de diverses méthodes d'attaque, telles que les attaques par skimming, les prises de contrôle de compte et les ransomwares. En effet, une nouvelle attaque par skimming, découverte fin juin 2020, consiste à dissimuler un « skimmer » de carte de crédit dans des fichiers images sur des sites de commerce électronique. Lorsqu'une victime visite le site concerné, le « skimmer » (script) vole ensuite le contenu des champs de saisie où les acheteurs en ligne saisissent le nom, l'adresse de facturation et les détails de la carte de crédit, puis les envoie à un serveur distant pour que les pirates les collectent.

    Une autre attaque découverte en mai consiste à cacher le « skimmer » de carte de crédit, dans les fichiers favicon utilisés pour identifier les sites Web dans les onglets du navigateur. Lorsque les victimes visitent ces sites de commerce électronique, une option de paiement PayPal leur est présentée, mais le serveur malveillant renvoie un code JavaScript qui semble être un mode de paiement par carte de crédit authentique. Ce formulaire de paiement remplace donc, l'option de paiement PayPal avec son propre menu déroulant et les données sont renvoyées au fraudeur.

    Nom : skimming.JPG
Affichages : 26537
Taille : 69,0 Ko

    Les auteurs du rapport concluent : « garder une longueur d'avance sur les pirates informatiques est un élément de sécurité difficile, mais nécessaire pour les détaillants. Et même si, cela peut sembler décourageant, le fait de ne pas se conformer à la norme PCI (Payment Card Industry) DSS (Data Security Standard) en raison d'un contrôle de conformité invalide ou expiré ou d'une exigence de sécurité critique, pourrait être tout aussi préjudiciable à la réputation d'une marque si l'entreprise est sanctionnée par de lourdes amendes et pénalités de la part des régulateurs. Les informations externes sur les menaces permettent aux détaillants de faciliter la conformité continue PCI DSS en prenant en charge les contrôles d'audit appropriés, en évaluant en permanence les vulnérabilités, en responsabilisant, en accélérant le travail des QSA (Qualified Security Assessors), et en validant les contrôles de conformité PCI DSS. »

    Source : IntSights

    Et vous ?

    Pourquoi selon vous, les cybercriminels ciblent-ils de plus en plus, les sites de commerce électronique ?
    Le skimming est-elle vraiment une nouvelle technique comme le dit le rapport ?

    Voir aussi

    Les priorités des organisations en matière de cybersécurité au sortir des confinements changent

    Étude : 77 % des organisations n'ont pas de plan de réponse aux incidents de cybersécurité

    56 % des professionnels de la sécurité informatique admettent que leurs infrastructures présentent des lacunes
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Profil pro
    programmeur du dimanche
    Inscrit en
    novembre 2003
    Messages
    298
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : novembre 2003
    Messages : 298
    Points : 1 056
    Points
    1 056
    Par défaut
    Je pense que la loi devrait être modifiée pour que la fraude soit automatiquement remboursée par les banques car elles ne devraient pas déléguer à des tiers, une sécurité qu'elles facturent au client.

    Après tout, quand on paie avec un lecteur de carte, celui-ci est un service bancaire et est sécurisé par la banque.
    Que dirait-on si les TPE devraient acheter un lecteur de carte amateur ou le construire et maintenir elles-mêmes ?

    Sur un site, la TPE gère elle-même la sécurité bancaire et les n° de carte. En fait, c'est ça la base du problème. Le numéro de carte ne devrait pas être communiqué au site tiers et et l'acheteur redirigé vers une page de la banque sécurisée par les moyens de la banque, avec une authentification forte à double facteur et sans communiquer le n° de carte (un peu comme comme paylib qui devrait être généralisé en fait...).

    Sinon le vol de numéro de CB c'est vieux comme internet pour répondre à la question.

  3. #3
    Inactif  

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 064
    Points : 4 377
    Points
    4 377
    Par défaut
    Bonjour,

    Pourquoi selon vous, les cybercriminels ciblent-ils de plus en plus, les sites de commerce électronique ?
    1) C'est très rentables pour eux de revendre ce qu'ils volent.

    2) De plus en plus de petites sociétés de E-commerce avec e-shop , store ... la sécurité informatique pour ces boutiques c'est comme les lois ... nul n'est censé ignorer la loi ... Il y a du menfoutisme ou de la méconnaissance flagrante !

    Le skimming est-elle vraiment une nouvelle technique comme le dit le rapport ?
    Pour avoir taffé dans le milieu de la détection de fraude, je dirais même que c'est de pire en pire d'année en année ... L'un des exemples les plus flagrant c'est Target (hypermarché US en 2013-2014).

  4. #4
    Membre chevronné Avatar de onilink_
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    487
    Détails du profil
    Informations personnelles :
    Âge : 30
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 487
    Points : 1 983
    Points
    1 983
    Par défaut
    Quelqu'un a compris comment cette attaque fonctionnait techniquement?
    Je vois pas comment le script est injecté, à moins que le site soit de base compromis?
    Circuits intégrés mis à nu: https://twitter.com/TICS_Game

  5. #5
    Inactif  

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 064
    Points : 4 377
    Points
    4 377
    Par défaut
    Bonsoir,

    Citation Envoyé par onilink_ Voir le message
    Quelqu'un a compris comment cette attaque fonctionnait techniquement?
    Oui

    Citation Envoyé par onilink_ Voir le message
    Je vois pas comment le script est injecté, à moins que le site soit de base compromis?
    Tu as

    > Site A du commerçant avec paiement par Paypal/CB/autre solution monétique en ligne

    > Site B de la banque acquisitrice du commerçant

    L’intrus vient se glisser entre le site A et B en s'incrustant dans les serveurs du site A.

    L'intrus peut alors : aspirer la data, snifer le trafic, écouter ou alors carrément rediriger le trafic vers un site miroir. Pour ce dernier cela est déjà plus compliqué.

    Dans 99,9% des cas c'est les sites des commerçants qui sont attaqués.

  6. #6
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 013
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 013
    Points : 22 975
    Points
    22 975
    Par défaut
    Le skimming, une nouvelle technique vieille de plusieurs décennies...

  7. #7
    Membre actif
    Profil pro
    Développeur Full Stack
    Inscrit en
    janvier 2012
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Full Stack

    Informations forums :
    Inscription : janvier 2012
    Messages : 66
    Points : 290
    Points
    290
    Par défaut
    J'arrive surtout pas à croire qu'en 2020 on utilise un système de paiement aussi moisi que le paiement par carte....

  8. #8
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur .NET
    Inscrit en
    août 2020
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : août 2020
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    L’intrus vient se glisser entre le site A et B en s'incrustant dans les serveurs du site A.
    Du coup il est sur A, pas entre A et B, style man in the middle. Et quel est l’intérêt d'injecter un script dans une favicon ou autre si on a le contrôle du serveur?

  9. #9
    Inactif  

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 064
    Points : 4 377
    Points
    4 377
    Par défaut
    Bonjour,

    Citation Envoyé par Bob_Le_Moche Voir le message
    Du coup il est sur A, pas entre A et B, style man in the middle.
    C'est cela.

    Citation Envoyé par Bob_Le_Moche Voir le message
    Et quel est l’intérêt d'injecter un script dans une favicon ou autre si on a le contrôle du serveur?
    L'idée est d'être le plus silencieux possible. Par exemple se mettre sur un répertoire peu ou pas utilisé. Une fois les données pompées, le pirate peut aussi lancer des attaques ransomware.

    L'idée est de passer sous le coup des radars . Un serveur ou le pirate à 100% de droit cela pu et il se fait gauler direct.

    En gros le pirate son but c'est un man in the middle via un back door ou un accès open bar.

  10. #10
    Membre actif
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    novembre 2019
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : Industrie

    Informations forums :
    Inscription : novembre 2019
    Messages : 144
    Points : 259
    Points
    259
    Par défaut Ben la j'ai un cas un peu inverse,
    un site complètement raté ou pourri de location de voitures électriques, tout se fait par carte bleue, même Mozilla qui s'inquiète : site mal protégé!, et au moment de payer refus du crédit agricole de payer sans le code de sécurité, et eux qui n'on toujours pas malgré la demande installé la sécurité à double facteur.
    Je vais leur envoyer un chèque pour solder,

Discussions similaires

  1. Réponses: 13
    Dernier message: 14/11/2016, 19h24
  2. Utiliser ASP.NET MVC pour un petit site web de 2-3 pages
    Par etiennegaloup dans le forum ASP.NET MVC
    Réponses: 7
    Dernier message: 06/12/2011, 11h35
  3. Utiliser Python et PostGresql pour créer un site Web
    Par rvweb dans le forum Réseau/Web
    Réponses: 8
    Dernier message: 22/10/2006, 21h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo