Discussion :

[Aurélien]

Le skimming, une nouvelle technique utilisée par les cybercriminels pour cibler les sites e-commerce
pour voler les données de carte de crédit, selon un rapport d'IntSights

L'une des principales raisons pour lesquelles les cybercriminels ciblent les sites de commerce électronique est simplement parce que, ce sont des cibles attrayantes, selon le nouveau rapport d'IntSights. En effet, l'accès aux systèmes d'un site de commerce électronique peut fournir aux criminels une gamme de données précieuses, notamment l'accès aux informations personnelles et financières des clients, qui peuvent être lucratives pour les criminels en commettant une fraude d'identité ou en vendant les données sur le dark web, précise le rapport.

De plus, les sites de commerce électronique sont plus souvent piratés, parce qu'ils sont considérés comme des cibles plus faciles, car un nombre croissant de détaillants ne mettent pas régulièrement à jour, leurs systèmes CMS sous-jacents. C'est ainsi que la nouvelle étude menée par IntSights a relevé une augmentation des cyberattaques ciblant les sites de commerce électronique à l'aide de diverses méthodes d'attaque, telles que les attaques par skimming, les prises de contrôle de compte et les ransomwares. En effet, une nouvelle attaque par skimming, découverte fin juin 2020, consiste à dissimuler un « skimmer » de carte de crédit dans des fichiers images sur des sites de commerce électronique. Lorsqu'une victime visite le site concerné, le « skimmer » (script) vole ensuite le contenu des champs de saisie où les acheteurs en ligne saisissent le nom, l'adresse de facturation et les détails de la carte de crédit, puis les envoie à un serveur distant pour que les pirates les collectent.

Une autre attaque découverte en mai consiste à cacher le « skimmer » de carte de crédit, dans les fichiers favicon utilisés pour identifier les sites Web dans les onglets du navigateur. Lorsque les victimes visitent ces sites de commerce électronique, une option de paiement PayPal leur est présentée, mais le serveur malveillant renvoie un code JavaScript qui semble être un mode de paiement par carte de crédit authentique. Ce formulaire de paiement remplace donc, l'option de paiement PayPal avec son propre menu déroulant et les données sont renvoyées au fraudeur.

Les auteurs du rapport concluent : « garder une longueur d'avance sur les pirates informatiques est un élément de sécurité difficile, mais nécessaire pour les détaillants. Et même si, cela peut sembler décourageant, le fait de ne pas se conformer à la norme PCI (Payment Card Industry) DSS (Data Security Standard) en raison d'un contrôle de conformité invalide ou expiré ou d'une exigence de sécurité critique, pourrait être tout aussi préjudiciable à la réputation d'une marque si l'entreprise est sanctionnée par de lourdes amendes et pénalités de la part des régulateurs. Les informations externes sur les menaces permettent aux détaillants de faciliter la conformité continue PCI DSS en prenant en charge les contrôles d'audit appropriés, en évaluant en permanence les vulnérabilités, en responsabilisant, en accélérant le travail des QSA (Qualified Security Assessors), et en validant les contrôles de conformité PCI DSS. »

Source : IntSights

Et vous ?

Pourquoi selon vous, les cybercriminels ciblent-ils de plus en plus, les sites de commerce électronique ?
Le skimming est-elle vraiment une nouvelle technique comme le dit le rapport ?

Voir aussi

Les priorités des organisations en matière de cybersécurité au sortir des confinements changent

Étude : 77 % des organisations n'ont pas de plan de réponse aux incidents de cybersécurité

56 % des professionnels de la sécurité informatique admettent que leurs infrastructures présentent des lacunes

[Fagus]

Je pense que la loi devrait être modifiée pour que la fraude soit automatiquement remboursée par les banques car elles ne devraient pas déléguer à des tiers, une sécurité qu'elles facturent au client.

Après tout, quand on paie avec un lecteur de carte, celui-ci est un service bancaire et est sécurisé par la banque.
Que dirait-on si les TPE devraient acheter un lecteur de carte amateur ou le construire et maintenir elles-mêmes ?

Sur un site, la TPE gère elle-même la sécurité bancaire et les n° de carte. En fait, c'est ça la base du problème. Le numéro de carte ne devrait pas être communiqué au site tiers et et l'acheteur redirigé vers une page de la banque sécurisée par les moyens de la banque, avec une authentification forte à double facteur et sans communiquer le n° de carte (un peu comme comme paylib qui devrait être généralisé en fait...).

Sinon le vol de numéro de CB c'est vieux comme internet pour répondre à la question.

[tanaka59]

Bonjour,

Pourquoi selon vous, les cybercriminels ciblent-ils de plus en plus, les sites de commerce électronique ?

1) C'est très rentables pour eux de revendre ce qu'ils volent.

2) De plus en plus de petites sociétés de E-commerce avec e-shop , store ... la sécurité informatique pour ces boutiques c'est comme les lois ... nul n'est censé ignorer la loi ... Il y a du menfoutisme ou de la méconnaissance flagrante !

Le skimming est-elle vraiment une nouvelle technique comme le dit le rapport ?

Pour avoir taffé dans le milieu de la détection de fraude, je dirais même que c'est de pire en pire d'année en année ... L'un des exemples les plus flagrant c'est Target (hypermarché US en 2013-2014).

[onilink_]

Quelqu'un a compris comment cette attaque fonctionnait techniquement?
Je vois pas comment le script est injecté, à moins que le site soit de base compromis?

[tanaka59]

Bonsoir,

Quelqu'un a compris comment cette attaque fonctionnait techniquement?

Oui

Je vois pas comment le script est injecté, à moins que le site soit de base compromis?

Tu as

> Site A du commerçant avec paiement par Paypal/CB/autre solution monétique en ligne

> Site B de la banque acquisitrice du commerçant

L’intrus vient se glisser entre le site A et B en s'incrustant dans les serveurs du site A.

L'intrus peut alors : aspirer la data, snifer le trafic, écouter ou alors carrément rediriger le trafic vers un site miroir. Pour ce dernier cela est déjà plus compliqué.

Dans 99,9% des cas c'est les sites des commerçants qui sont attaqués.

[clorr]

J'arrive surtout pas à croire qu'en 2020 on utilise un système de paiement aussi moisi que le paiement par carte....

[Bob_Le_Moche]

L’intrus vient se glisser entre le site A et B en s'incrustant dans les serveurs du site A.

Du coup il est sur A, pas entre A et B, style man in the middle. Et quel est l’intérêt d'injecter un script dans une favicon ou autre si on a le contrôle du serveur?

[tanaka59]

Bonjour,

Du coup il est sur A, pas entre A et B, style man in the middle.

C'est cela.

Et quel est l’intérêt d'injecter un script dans une favicon ou autre si on a le contrôle du serveur?

L'idée est d'être le plus silencieux possible. Par exemple se mettre sur un répertoire peu ou pas utilisé. Une fois les données pompées, le pirate peut aussi lancer des attaques ransomware.

L'idée est de passer sous le coup des radars . Un serveur ou le pirate à 100% de droit cela pu et il se fait gauler direct.

En gros le pirate son but c'est un man in the middle via un back door ou un accès open bar.

[pemmore]

un site complètement raté ou pourri de location de voitures électriques, tout se fait par carte bleue, même Mozilla qui s'inquiète : site mal protégé!, et au moment de payer refus du crédit agricole de payer sans le code de sécurité, et eux qui n'on toujours pas malgré la demande installé la sécurité à double facteur.
Je vais leur envoyer un chèque pour solder,

[laurentSc]

J'arrive surtout pas à croire qu'en 2020 on utilise un système de paiement aussi moisi que le paiement par carte....

Désolé d'intervenir 2 ans après. Qu'est-ce qu'il a de moisi ce système de paiement ?