Certains arnaqueurs gèrent leurs propres « agences de voyage » sur le Dark Web, en utilisant abusivement des points de fidélité et des numéros de cartes de crédit volés.
Par Benoit Grunemwald, Expert en Cyber sécurité chez ESET France
Les secteurs de l’hôtellerie, du voyage et du commerce de détail, qui ont été particulièrement touchés par la pandémie de Covid-19, sont également de plus en plus pris pour cible par les cybercriminels qui cherchent à tirer profit de cette situation désastreuse, selon un rapport.
« Pendant les fermetures du premier trimestre 2020, les criminels ont fait circuler des dizaines de listes de mots de passe et ont ciblé chacun des secteurs particuliers du commerce. C’est pendant cette période que les criminels ont commencé à faire circuler d’anciennes listes de mots de passe afin d’identifier de nouveaux comptes vulnérables, ce qui a entraîné une hausse des ventes liées aux programmes de fidélité », peut-on lire dans le rapport Loyalty for Sale – Retail and Hospitality Fraud, produit par Akamai.
Ces développements ont contribué au total à plus de 100 milliards d’attaques par « bourrage de cartes » qu’Akamai a détectées entre juillet 2018 et juillet 2020. Pas moins de 63 milliards d’entre elles visaient les secteurs du commerce de détail, du voyage et de l’hôtellerie. Le détaillant britannique de produits de santé et de beauté Boots figure au nombre des victimes.
Le « bourrage d’identifiants » (credential stuffing) est une attaque automatisée de vol de comptes au cours de laquelle des robots martelent des sites web avec des tentatives de connexion, en utilisant des identifiants d’accès volés ou ayant fait l’objet d’une fuite. Une fois qu’ils trouvent un site web où les identifiants volés fonctionnent, ils peuvent exploiter les données personnelles des victimes.
Les programmes de fidélisation des clients s’avèrent être une cible juteuse pour les pirates, car les comptes ne sont pas perçus comme étant à haut risque par leurs détenteurs, à l’inverse d’autres comptes en ligne qui, selon eux, contiennent des données plus sensibles. Un tel laxisme pourrait se matérialiser sous la forme d’un recyclage des mots de passe ou d’autres erreurs courantes que les gens ont tendance à commettre.
Toutefois, la perception selon laquelle les programmes de fidélisation ne présentent pas de risque élevé n’est pas strictement vraie. « De nos jours, les profils de vente au détail et de fidélité contiennent pléthore d’informations personnelles et, dans certains cas, d’informations financières. Toutes ces données peuvent être collectées, vendues et échangées ou même compilées pour établir des profils détaillés qui peuvent ensuite être utilisés pour des crimes tels que l’usurpation d’identité », peut-on lire dans le rapport.
Le rapport présente également un certain nombre d’exemples d’abus de comptes de cartes de fidélité compromis. Les points de récompense des hôtels, par exemple, sont considérés comme une denrée très prisée, car ils peuvent être utilisés pour réserver des séjours, pour obtenir un sur-classement dans de meilleures chambres ou pour accéder à diverses activités. Selon le nombre de points accumulés et la chaîne hôtelière, les comptes de fidélité peuvent être vendus sur des forums de cybercriminalité pour un montant pouvant aller jusqu’à 850 dollars.
Certains cybercriminels vont même plus loin et exploitent leurs propres « agences de voyage » sur le Dark Web, en utilisant une combinaison de cartes de crédit volées et de programmes de fidélité des compagnies aériennes et des hôtels. « De nombreuses listes de voyages sur le Dark Net font payer un pourcentage du coût total du voyage, entre 25 et 35% - ce qui signifie qu’une réservation de 2 000 dollars sur un site web de comparaison et de réservation de voyages bien connu coûterait environ 700 dollars sur le Dark Net », indique le rapport.
Au-delà des attaques par « bourrage » (Credential Stuffing), les cybercriminels ont également utilisé des attaques par injection SQL et par inclusion de fichiers locaux pour cibler les secteurs du commerce de détail, de l’hôtellerie et du voyage. Akamai a enregistré près de 4,4 milliards d’attaques web ciblant ces secteurs, ce qui représente 41% des attaques globales contre l’ensemble des industries. Les cybercriminels ont également déployé des attaques par déni de service distribué (DDoS), avec une moyenne de 125 attaques ciblant le secteur du commerce chaque semaine entre juillet 2019 et juillet 2020.