Vos informations de carte de crédit privée peuvent être attaquées

Au lieu de compromettre des comptes individuels, les pirates ont changé de cap et s'attaquent maintenant au filon mère, en installant des écumeurs de cartes sur les boutiques en ligne.

Le 8 février 2022, des chercheurs en sécurité détails partagés à propos d'une brèche massive dans plus de 500 magasins en ligne exécutant la plate-forme de commerce électronique Magento. Les attaquants ont chargé un écumeur de carte de paiement sur tous les magasins, dans ce qu'on appelle une attaque magecart. Bien que la solution réside dans les magasins en ligne, les cibles sont les utilisateurs finaux qui, selon les experts, devraient également être plus vigilants lorsqu'ils effectuent des transactions en ligne.

"[Cette] attaque récente devrait être un rappel brutal à tous les clients en ligne [qu'] ils ont le devoir de se protéger en plus de ce que vous attendez de votre fournisseur de boutique en ligne", Ron Bradley, vice-président de Évaluations partagées, a déclaré à Lifewire par e-mail.

Écrémage numérique

Gustave Palazolo, ingénieur de recherche sur les menaces du personnel à Netscope, a déclaré à Lifewire par e-mail que Magento est l'une des plates-formes de commerce électronique populaires ciblées par les attaquants, car de nombreux magasins sont obsolètes instances du logiciel, tandis que d'autres utilisent des plugins tiers qui contiennent parfois des failles de sécurité non corrigées qui permettent aux attaquants d'implanter numérique écumeurs.

Il a déclaré que s'il n'est pas simple de vérifier si le site Web sur lequel vous magasinez a été la cible d'une campagne magecart, il existe quelques mesures que les utilisateurs peuvent suivre pour renforcer leur sécurité en ligne.

Palazolo a recommandé d'utiliser des extensions de navigateur capables de bloquer les scripts inconnus, tels que Aucun script pour Firefox. Il a également préconisé l'utilisation de solutions antivirus qui fournissent des extensions de navigateur car elles peuvent scanner le site Web visité et bloquer les scripts malveillants.

Il a ajouté qu'Adobe ne prend plus en charge Magento v1, mais en raison de sa popularité, il existe plusieurs correctifs de sécurité fournis par la communauté pour aider à sécuriser cette version. Cependant, il suggère aux utilisateurs d'éviter d'effectuer des transactions sur des sites Web alimentés par cette plate-forme non prise en charge.

Pour vérifier si le site Web sur lequel vous magasinez exécute la dernière version de Magento v2, Palazolo a pointé le Wappalyzer pour Chrome et Firefox, qui peut détecter la technologie derrière une page Web.

"Si l'installation d'une extension de navigateur n'est pas une option, les outils en ligne peuvent être un bon choix pour vérifier les détails de Magento, tels que MageReport, qui peut vous montrer non seulement la version, mais également des informations sur les vulnérabilités de sécurité trouvées sur le site Web que vous êtes sur le point d'acheter », a conseillé Palazolo.

Soyez votre propre pare-feu

Bradley a déclaré que les acheteurs en ligne n'ont pas besoin d'être des experts en cybersécurité pour se protéger, mais doivent avoir une mentalité de défense approfondie pour éviter de devenir une victime.

"La cybersécurité est comme un oignon [composé] de plusieurs couches. Il est important de définir votre périmètre et de mettre en place des mesures de sécurité pour vous protéger", a déclaré Bradley. "Commencez par votre banque ou l'émetteur de votre carte de crédit. Activez toutes les alertes que vous pouvez, au point que c'est ennuyeux et que vous devez revenir en arrière et la composer."

Il suggère également d'activer l'authentification multifacteur dans la mesure du possible et déconseille l'utilisation de cartes de débit, tout en profitant de la facilité de gel du crédit, qui ne coûte rien et aide à protéger les clients contre l'identité vols.

Palazolo a déclaré que les utilisateurs devraient profiter de la possibilité de générer des numéros de carte numériques uniques et temporaires pour les achats en ligne. Même si le site Web est infecté, cette option garantira que les détails de la carte volée ne seront d'aucune utilité pour les attaquants.

Yeux grands ouverts

Eric Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, a suggéré aux acheteurs de consulter régulièrement leur carte de crédit et leurs relevés bancaires, en gardant l'œil ouvert pour détecter des frais ou des achats inhabituels.

"Bien trop souvent, les frais sont simplement ajoutés au solde de la carte de crédit sans que la victime ne s'en aperçoive. Même de petites charges, un dollar ou deux à la fois, qui peuvent être utilisées pour confirmer au cybercriminel que le carte est toujours valide, peut être un signe que la carte a été compromise », a partagé Kron avec Lifewire via e-mail.

Il a également suggéré que les utilisateurs comprennent les protections offertes par leurs cartes de crédit et soient conscients de toutes les options qui s'offrent à eux pour signaler rapidement les frais suspects.

Cependant, en fin de compte, il incombe aux propriétaires de sites Web de commerce électronique de s'assurer qu'ils gèrent un navire sécurisé, a souligné Kunal Modasiya, directeur principal de la gestion des produits dans une entreprise de cybersécurité PérimètreX. Il a déclaré que les actions des consommateurs étant limitées, les propriétaires de sites Web de commerce électronique doivent utiliser des solutions qui offrent une visibilité continue sur les actions qui se déroulent sur leurs sites Web.

"Les entreprises de commerce électronique devraient utiliser une solution de défense en profondeur multicouche qui aide à protéger les informations de compte et d'identité des utilisateurs tout au long de leur parcours numérique."