BLOG

Vous pensez que les arnaques liées aux fêtes de fin d’année sont uniquement un problème de consommation ? Réfléchissez-y à deux fois !

Vignette de Jay Kelley
Jay Kelley
Publié le 09 novembre 2023

En Chine, la Journée des célibataires, la plus grande journée de shopping au monde, a lieu le 11 novembre.

Le Black Friday, le jour de shopping le plus important aux États-Unis, a lieu le 24 novembre.

Le Cyber Monday, probablement le plus grand jour de shopping en ligne, aura lieu le 27 novembre.

Alors, qu'ont en commun ces journées, à part un nombre incroyable d'offres, un entraînement intense pour de nombreuses personnes et leurs cartes de crédit, et des journées de soldes exceptionnelles pour les détaillants et les sites de commerce électronique ?

Ils constituent une véritable récompense pour les attaquants du monde entier.

Au lieu de profiter d’économies incroyables et d’acheter des articles spéciaux, les attaquants sont impatients de repartir avec un sac rempli de mots de passe volés, de numéros de cartes de crédit et bien plus encore. Oh, et n’oublions pas non plus les ransomwares !

Les attaquants et autres acteurs malveillants feront tout leur possible pour voler vos données et votre argent durement gagné. Par exemple, ils peuvent :

  • Inondez votre boîte de réception d'e-mails de phishing ou vos appareils mobiles de SMS contenant des liens malveillants qui utilisent les noms de détaillants, d'entreprises de commerce électronique ou de fabricants comme déguisement.
  • Bénéficiez d’économies incroyables grâce à de fausses publicités accessibles en un seul clic sur un lien et, bien sûr, sur votre numéro de carte de crédit.
  • Demandez vos informations d’identification sur des sites Web qui semblent légitimes, car il y a un cadenas dans l’URL, ce qui signifie généralement que le site est crypté et prétendument « sûr ».
  • Faire semblant de vous envoyer un e-mail ou un SMS de votre service de livraison habituel ou préféré avec un lien qui semble réel et qui permet de suivre votre commande, ou indiquant que votre commande ne peut pas être livrée tant que vous n'avez pas vérifié votre nom d'utilisateur et votre mot de passe ou vos informations personnelles.
  • Faites la promotion de produits « incontournables » qui semblent épuisés partout où vous effectuez une recherche, mais qui semblent disponibles pour une durée limitée uniquement sur un seul site Web et à un prix incroyable. (Alors ne le croyez pas.)

Maintenant, si vous travaillez dans le domaine de la sécurité des opérations, de l’informatique ou si vous êtes responsable de la sécurité des entreprises et des organisations, vous lisez probablement ceci et pensez : « Cela ressemble à un problème de niveau consommateur. Cela ne devrait pas m’affecter, ni affecter mon entreprise. De plus, nos employés et autres utilisateurs doivent suivre une formation et même signer un document attestant qu’ils comprennent qu’il leur est interdit d’utiliser l’équipement de l’organisation à des fins personnelles. Donc, ils ne feraient pas ça.

Ne pariez pas là-dessus. Selon une enquête récente, plus de 50 % des personnes interrogées ont déclaré avoir utilisé des appareils d'entreprise pour consulter leurs e-mails ou faire des achats, ou avoir permis à leurs amis ou à leur famille de faire de même, et plus de 20 % ont consulté leurs réseaux sociaux sur un appareil d'entreprise.

Il suffit qu’un employé ou un utilisateur ouvre un e-mail ou un SMS de phishing d’apparence authentique, provenant soi-disant d’un véritable détaillant, d’une entreprise de commerce électronique ou d’un fabricant, sur un appareil fourni par son travail, clique sur un lien pour lancer ce qui est censé être un site Web réel, et pouf, vous pourriez être attaqué par un ransomware, un malware et d’autres menaces dangereuses qui mettent en danger votre organisation, votre réseau, vos applications et vos données.

Voici donc quelques idées à utiliser pour aider à éduquer et à protéger vos employés, vos utilisateurs et votre organisation contre les attaques visant à détourner l’attention du Singles’ Day, du Black Friday, du Cyber Monday ou de toute autre fête commerciale :

  • Rappelez aux employés et aux utilisateurs que leurs appareils de travail ne doivent pas être utilisés à des fins personnelles, en particulier pour faire des achats.
  • Planifiez une formation de remise à niveau sur le phishing pour coïncider avec les prochaines vacances commerciales. Ou envoyez un rappel aux employés et aux utilisateurs de ne pas accéder aux e-mails ou aux SMS personnels sur les appareils de travail, et surtout de ne pas ouvrir les e-mails ou les SMS non sollicités, ni de cliquer sur les liens dans tout e-mail ou SMS, mais d'accéder directement à l'URL et au site Web de l'entreprise source.
  • Expliquez que, même si un site Web accessible via un lien dans un e-mail ou un SMS ou une publicité non sollicitée peut sembler légitime et crypté (et avoir le petit cadenas dans l’adresse URL), il peut s’agir d’un faux site Web de phishing. Ils ne doivent fournir aucune information d’identification, y compris des informations de connexion, ni des informations personnelles ou financières sur le site. Encore une fois, ils doivent accéder directement à l’URL et au site Web de l’entreprise source.
  • Avis aux employés et aux utilisateurs : un e-mail, un SMS ou une publicité faisant la promotion d’une offre qui semble trop belle pour être vraie n’est probablement pas vrai. Ils ne doivent donc pas cliquer sur le lien fourni, mais se rendre directement sur le site Web du détaillant, de l’entreprise de commerce électronique ou du fabricant pour trouver l’article.
  • Il en va de même pour les articles qui sont en rupture de stock sur un site Web, mais qui sont disponibles – et uniquement pour une durée limitée – auprès d’une seule source. Rappelez aux employés et aux utilisateurs de ne pas cliquer sur le lien !
  • Informez les employés et les utilisateurs s’ils reçoivent un e-mail ou un SMS concernant une livraison à venir qui inclut un lien pour suivre la commande, indique que la commande est perdue et fournit un lien pour la retracer, ou fournit tout autre lien, de ne pas cliquer sur le lien mais d’aller directement sur la page Web du fournisseur et de suivre ou de retracer leur commande à partir de là.
  • Rappelez également aux employés et aux utilisateurs que s’ils reçoivent un e-mail ou un SMS d’un service de livraison contenant des informations sur une commande à venir, mais indiquant que le service a besoin de leur carte de crédit ou d’autres informations personnelles ou financières pour livrer la commande, ils ne doivent pas fournir ces informations. Au lieu de cela, ils doivent se rendre directement sur la page Web du fournisseur pour suivre ou tracer leur commande.
  • Si un employé ou un utilisateur soupçonne qu'il se passe quelque chose de louche concernant un compte qu'il possède auprès d'un détaillant, d'un fournisseur de commerce électronique ou d'un fabricant, ou s'il a le sentiment qu'une fraude, un phishing ou une usurpation d'identité se produit, il doit le signaler directement au détaillant, au fournisseur ou au fabricant.

Mais même tous les rappels et avertissements peuvent ne pas être suffisants, car il suffit qu'un employé ou un utilisateur fasse une erreur et clique sur un lien, et votre entreprise peut en être affectée négativement. F5 peut aider.

F5 protège les applications et les API partout. De la protection contre les robots qui sécurise les applications Web et mobiles et les API contre les attaques automatisées qui peuvent rapidement dégénérer en une émulation avancée du comportement humain, à la défense de ce qui compte le plus (vos applications, vos API et votre infrastructure sous-jacente) avec une sécurité simple, cohérente et renommée, à la sécurisation de votre organisation contre les menaces cryptées telles que les ransomwares et plus encore, F5 vous protège, vous et votre réseau, vos applications et vos données, non seulement pour la Journée des célibataires, le Black Friday, le Cyber Monday ou tout autre jour férié, mais pour tous les jours.

Pour plus d'informations sur la manière dont F5 peut protéger votre organisation, vos applications et vos données, veuillez cliquer ici .