Que sont les attaques par cardage et comment les prévenir
Publié: 2022-11-29La croissance rapide de l'industrie du commerce électronique a introduit de nouvelles menaces de sécurité, le vol d'informations sur les cartes de crédit et les attaques par carte étant parmi les plus dommageables pour les entreprises en ligne et leurs clients.
Des études ont montré que d'ici 2024, la fraude aux paiements en ligne coûtera aux entreprises de commerce électronique plus de 25 milliards de dollars de pertes par an. Il est clair que les anciennes approches de la cybersécurité ne sont plus efficaces et que vous ne pouvez pas compter sur une technologie obsolète pour protéger votre entreprise de commerce électronique.
Dans ce guide, iThemes se penche en profondeur sur les attaques par carte, expliquant pourquoi la fraude aux paiements par bot est en augmentation et ce que vous pouvez faire aujourd'hui pour réduire son impact sur votre boutique en ligne. Vous apprendrez également à vérifier si votre boutique en ligne est exempte de tout code malveillant volant les détails de la carte de vos clients et à sécuriser l'expérience d'achat de vos clients.
Pourquoi le commerce électronique est-il une cible privilégiée pour les pirates ?
Le commerce électronique a toujours été une cible de choix pour les cyberattaques en raison de la grande quantité d'informations sensibles que chaque boutique en ligne doit collecter et traiter. Cela inclut les informations personnelles des clients, les détails des cartes de crédit et de débit et toute autre donnée critique requise pour l'achat de biens et de services en ligne.
La nécessité de stocker des informations sensibles oblige les propriétaires d'entreprise à utiliser un large éventail de mesures de sécurité pour offrir une expérience d'expédition sécurisée. Cependant, il devient de plus en plus difficile de résister aux cyberattaques en constante évolution menées par des robots qui s'étendent souvent sur des milliers de sites Web.
Des petites boutiques en ligne aux grandes places de marché internationales, toutes les entreprises doivent subir les conséquences des violations de données. Et comme les pirates ne choisissent tout simplement pas le site Web sur lequel s'introduire, l'importance de la cybersécurité ne peut être surestimée, en particulier lorsqu'il s'agit de commerce électronique.
Fraude au paiement en ligne : du vol d'informations sur les cartes aux attaques par carte
De toutes les menaces à la cybersécurité, la fraude au paiement est particulièrement répandue dans le secteur du commerce électronique. En perturbant totalement une expérience d'achat sécurisée, le vol des détails de la carte de crédit inflige des dommages considérables à la fois à l'acheteur et au vendeur, entraînant des pertes financières et des atteintes à la réputation.
La fraude au paiement en ligne peut être définie comme le type d'activité criminelle qui consiste à voler des informations de paiement critiques dans le but de les revendre sur le marché noir ou d'effectuer des transactions non autorisées.
La plupart du temps, après que les détails de la carte de crédit ont été exposés à la suite d'une violation de données, ces informations sont vendues sur le soi-disant web profond. Cela aide le cybercriminel à éviter d'être traqué tout en tirant profit de l'activité illégale.
Comme la validité des informations de carte de crédit volées doit être déterminée avant de tenter des transactions plus importantes, les criminels effectuent alors ce que l'on appelle des attaques par carte.
Comment les pirates volent-ils les informations de carte de crédit
Les détails de la carte de crédit ou de débit peuvent être exposés à un criminel à n'importe quelle étape du traitement du paiement. Cela inclut le vol d'informations de paiement sur la page de paiement d'un magasin ou leur obtention en usurpant l'identité d'un service de confiance à l'aide d'une page de phishing.
Ce qui fait le succès de la fraude aux paiements en ligne, c'est le large éventail d'activités malveillantes facilitant les violations de données. La bonne combinaison d'ingénierie sociale et de vulnérabilités du système exploitées est la clé pour obtenir un accès non autorisé aux informations de paiement critiques.
Attaques de reniflage JavaScript : vol d'informations de paiement à la caisse
L'une des cyberattaques les plus courantes qui ciblent les sites Web de commerce électronique est l'injection de code malveillant visant à voler les détails de la carte de crédit ou de débit de la page de paiement de la boutique en ligne. Ceci est également connu sous le nom d'attaques de reniflage JavaScript.
Celles-ci se présentent souvent sous l'une des deux formes suivantes : injecter du code JavaScript malveillant dans le site Web lui-même ou charger un script malveillant à partir d'une source externe. Ce dernier est souvent réalisé au moyen d'une injection SQL, ce qui peut expliquer comment les sites Web sont piratés la plupart du temps.
Travaillant en étroite collaboration avec Nexcess, l'équipe d'iThemes a observé une augmentation du nombre de boutiques en ligne touchées par les attaques de sniffing JavaScript. Magento et WooCommerce restent parmi les plateformes de commerce électronique les plus ciblées.
Si vous êtes propriétaire d'un site Web WooCommerce, prenez un moment pour analyser votre base de données WordPress à la recherche de tout signe de fichiers JavaScript malveillants chargés. Si vous êtes déjà confronté à une infection par un logiciel malveillant, ne sautez pas cette étape : nettoyer un site Web piraté.
Lancez phpMyAdmin, choisissez la base de données utilisée par votre site Web et ouvrez l'interface de recherche à partir du menu horizontal principal. La recherche de tous les tableaux par le fort ci-dessous permet d'identifier tous les fichiers JavaScript chargés sur votre site Web.
%script%src=%.js%script%
Analysez tous les résultats de recherche pour vous assurer qu'aucun code malveillant n'exécute des attaques de détection de JavaScript. Vous pouvez utiliser des outils en ligne tels que VirusTotal pour déterminer si un script chargé à partir d'une source externe constitue une menace pour la sécurité.
La même approche peut être utilisée si vous exploitez une boutique Magento. La plupart du temps, les fichiers JavaScript malveillants seront chargés à partir de la table core_config_data.
Qu'est-ce qu'une Carding Attack ?
Pour vérifier les informations de paiement volées, les criminels utilisent des tests de carte automatisés, également connus sous le nom d'attaques par carte ou de bourrage de carte de crédit. Il s'agit de la prochaine étape qu'un criminel franchirait après avoir volé les détails d'une carte de crédit ou de débit ou les avoir achetés sur un forum de cartes spécialisé.
Une attaque par carte est une cyberattaque automatisée, ou pilotée par un bot, réalisée dans le but de valider les informations de carte de crédit volées. Les attaques par carding sont menées contre les systèmes de traitement des paiements utilisés par les magasins en ligne.
Il est important de noter que les sites Web de commerce électronique ciblés par les attaques par carding sont choisis au hasard et ne sont pas nécessairement utilisés pour voler des informations de paiement. Cela met en évidence le fait que la fraude aux paiements en ligne en général, et les attaques par carte en particulier, infligent des dommages à tous les acteurs clés du commerce électronique, y compris les commerçants, les acheteurs et les systèmes de traitement des paiements.
Comment fonctionnent les attaques par carding ?
Les attaques par cardage sont hautement automatisées. Un criminel déploie un bot, ou un réseau de bots également appelé botnet. Le réseau de bots effectuera de nombreuses tentatives parallèles pour valider les informations de paiement volées et obtenir les détails manquants, tels que les codes CVV ou les dates d'expiration.
Cela peut prendre l'une des deux formes principales suivantes :
- Autorisations . Les autorisations de carte aident le criminel à vérifier les détails de la carte sans être découvert. Les autorisations n'apparaîtront pas sur les relevés des titulaires de carte, ce qui rendra moins probable que le titulaire légitime de la carte remarque et signale l'activité frauduleuse.
- Transactions . Les attaquants peuvent également effectuer de petits paiements afin de valider les informations d'identification volées. C'est pourquoi les entreprises qui facilitent les achats de faible valeur sont les parfaites victimes de ce type d'attaque par carding.
Comme les informations de carte de crédit sont souvent volées en masse, il peut falloir des milliers de tentatives de validation pour identifier des informations de paiement valides. Les attaques par carding sont hautement distribuées, les bots ciblant un grand nombre de sites Web de commerce électronique à la fois.
Les robots aident à simplifier et à accélérer le processus et à éviter d'être détectés par les solutions de sécurité des sites Web ciblés, y compris les pare-feu d'applications Web et les systèmes de détection de fraude. Avoir tout un réseau d'ordinateurs compromis permet de changer rapidement l'adresse IP d'origine pour contourner les règles de pare-feu existantes.
Les 3 principales conséquences négatives des attaques par cardage pour votre entreprise de commerce électronique
La fraude aux paiements et les attaques par carte sont une partie inévitable du commerce numérique qui a un impact négatif sur l'industrie et l'ensemble de l'écosystème de paiement. Bien qu'il semble que le vol des détails de la carte de crédit fasse des ravages sur les acheteurs, les commerçants et les processeurs de paiement souffrent de pertes financières et d'importants dommages à leur réputation.
Selon des études récentes, les entreprises de commerce électronique perdent 4 $ supplémentaires pour chaque 1 $ de transactions frauduleuses, et ce nombre devrait augmenter dans les années à venir. Le fichage a de nombreux impacts négatifs, qui s'accumulent au fil du temps si aucune mesure de sécurité substantielle n'est mise en œuvre en temps opportun.
Les conséquences les plus dommageables incluent :
- Atteinte à la réputation . Les taux de refus élevés causés par les attaques par carte portent gravement atteinte à la réputation de votre entreprise auprès de vos clients et des processeurs de paiement. Une mauvaise réputation rend toutes les transactions plus risquées et entraîne un taux de refus accru pour les paiements légitimes.
- Perte financière . Lorsque le titulaire de la carte remarque et signale les transactions frauduleuses, les rétrofacturations sont le principal outil utilisé pour résoudre les litiges de paiement. Conséquence de la fraude au paiement, les rétrofacturations constituent une menace majeure pour les revenus et la pérennité de l'entreprise. Le test des cartes peut également entraîner des frais de traitement supplémentaires et une perte de produit.
- Charge d'infrastructure . Les tests de cartes entraînent une augmentation du nombre de requêtes Web qui peuvent surcharger votre infrastructure de serveur et perturber l'activité légitime.
La fraude aux paiements entraîne inévitablement une perte de revenus et perturbe le fonctionnement normal de l'industrie du commerce électronique, c'est pourquoi sa gestion s'est transformée en un effort de collaboration des commerçants et des systèmes de traitement des paiements.
Comment détecter une attaque par carding ?
La détection d'une attaque par carding est possible en utilisant une combinaison de surveillance côté serveur et de suivi de métriques spécialisées, telles que les taux d'échec d'autorisation de paiement.
Indicateurs côté serveur
Comme pour tout autre type de cyberattaque menée par un bot, vous verrez un nombre étonnamment élevé de demandes provenant de certaines adresses IP qui révéleront la nature automatisée de l'attaque. Vous remarquerez peut-être que votre site Web répond plus lentement que d'habitude et que le serveur qui l'héberge est soumis à une charge élevée, votre serveur Web mettant en file d'attente les requêtes HTTP.
Indicateurs de traitement des achats et des paiements
Lors d'une attaque par carding et même après qu'elle a été atténuée, vous pouvez voir les signes suivants indiquant que votre boutique en ligne souffre d'un test de carte :
- Une augmentation significative du nombre d'autorisations de paiement échouées.
- Augmentation des rétrofacturations.
- Taux d'abandon de panier élevé.
- Tailles de panier inférieures à la moyenne.
- Un grand nombre de tentatives de paiement infructueuses à partir de la même adresse IP, plage d'adresses IP ou compte d'utilisateur.
Atténuer une attaque par cardage en 3 étapes
Une atténuation réussie des attaques par carding comprend trois étapes principales : l'identification du trafic de robots malveillants, la mise en œuvre de règles de pare-feu plus agressives et la limitation du débit, et le blocage de toutes les requêtes Web frauduleuses résiduelles. Le processus d'atténuation implique une réponse rapide aux incidents signalés par les systèmes de surveillance et le renforcement de la sécurité du site Web pour protéger votre boutique de toute activité malveillante.
Étape 1. Identifiez le trafic de robots malveillants
Si vous soupçonnez qu'une attaque par cardage cible activement votre entreprise à un certain moment, analysez le trafic provenant de votre site Web. Il peut être préférable de demander l'aide de votre fournisseur d'hébergement à cet égard. Un administrateur système peut rapidement identifier une activité frauduleuse en effectuant une analyse des fichiers journaux conservés par votre serveur Web.
Si vous utilisez un réseau de diffusion de contenu avec un pare-feu d'application Web intégré (par exemple, Cloudflare WAF), il conservera également des journaux qui vous aideront à identifier le trafic de robots malveillants arrivant sur votre site Web. L'objectif principal ici est de trouver certains modèles - d'où vient l'attaque et quelles plages IP sont impliquées.
Étape 2. Appliquer des règles de pare-feu plus agressives et une limitation de débit
Pour atténuer avec succès une attaque par cardage en cours, renforcez la sécurité globale du système. Cela peut inclure la mise en place de règles de pare-feu plus strictes et la limitation du débit, ce qui entraînerait une réponse plus rapide à toute activité anormale.
Utiliser Cloudflare pour atténuer une attaque par carding
Cloudflare propose le mode dit « sous attaque » qui invoquera des mesures supplémentaires pour l'analyse du trafic et présentera au navigateur de chaque visiteur un défi JavaScript. Son utilisation nuit à l'expérience utilisateur globale, mais vous aidera à atténuer assez rapidement l'attaque par cardage.
Cloudflare vous permet également de bloquer les requêtes Web en fonction des scores de réputation IP, qui sont collectés à partir de Project Honey Pot. Définissez le niveau de sécurité sur Élevé depuis la page Sécurité > Paramètres de votre tableau de bord Cloudflare pour bloquer toutes les demandes avec un score de menace supérieur à 0.
Il est important de noter que les règles de pare-feu agressives et la limitation du débit entraîneront presque inévitablement le blocage du trafic Web légitime. C'est pourquoi ces mesures ne doivent être utilisées que lorsque votre boutique en ligne est victime d'une attaque et doivent être désactivées peu de temps après une atténuation réussie.
Étape 3. Bloquer manuellement le trafic de robots malveillants
Une excellente combinaison d'atténuation manuelle et d'outils automatisés donne d'excellents résultats dans la gestion du trafic de bots malveillants. Avec tous les avantages, les systèmes de détection de fraude ne sont pas idéaux et l'intervention humaine peut être très bénéfique.
Après l'analyse initiale du trafic, vous devez identifier les adresses IP ou les plages IP à partir desquelles l'attaque est effectuée. Vérifiez leur emplacement et leur abus, ou leur réputation, leur score, pour bloquer les robots malveillants.
Si vous avez déjà activé des mesures de sécurité supplémentaires offertes par votre CDN, la majorité du trafic malveillant sera filtré avant qu'il ne puisse atteindre le serveur d'origine qui héberge votre site Web. Ainsi, la surveillance du trafic Web entrant sur le serveur vous aidera à vous assurer qu'aucune demande malveillante n'arrive.
Trois aspects principaux de la protection de votre site Web de commerce électronique contre les attaques par carte et la fraude aux paiements
La sécurité du commerce électronique est multidimensionnelle et doit être abordée comme un système. Plutôt que de trouver des solutions spécifiques pour protéger votre boutique en ligne contre un certain type d'attaque, vous devez assurer une protection adéquate contre la force motrice derrière la plupart des cyberattaques modernes - les robots malveillants et les botnets.
Vous devez mettre en place un système qui identifierait avec succès les acteurs malveillants et empêcherait tout type d'activité frauduleuse de se produire en premier lieu. De cette façon, la protection de votre entreprise de commerce électronique contre les fraudes de paiement et les attaques par carte implique trois aspects principaux :
- Sécurité adéquate de la couche application.
- Analyse avancée du trafic Web et gestion des bots.
- Restrictions de commande et de paiement.
Sécurité de la couche application
Chaque site Web de commerce électronique doit mettre en œuvre des solutions de sécurité de couche d'application robustes qui filtreront tout trafic Web suspect avant qu'il ne puisse atteindre votre boutique en ligne. Idéalement, cela devrait inclure une combinaison de pare-feu d'applications Web basés sur le cloud et sur l'hôte.
Les ensembles de règles gérés et les règles personnalisées analyseront chaque requête HTTP arrivant sur votre site Web, y compris l'adresse IP source, son emplacement, l'agent utilisateur et un certain nombre d'autres aspects, et la compareront à la liste des règles configurées. Tout trafic Web suspect sera immédiatement bloqué, ne donnant aucune chance aux robots malveillants.
Vous pouvez installer et déployer un certain nombre d'ensembles de règles gérés fournis par des fournisseurs de sécurité et créer vos propres règles, mieux adaptées à votre activité de commerce électronique. L'objectif principal est de présenter une première ligne de défense solide.
Protégez votre boutique WooCommerce avec iThemes Security Pro et BackupBuddy
En tant que solution de sécurité de couche application robuste pour WordPress, iThemes Security Pro fournit une expérience de sécurité de premier ordre pour les magasins WooCommerce depuis des années. Avec plus de 50 façons de protéger les zones critiques de votre site Web, iThemes Security Pro peut réduire considérablement la surface d'attaque et combattre le trafic de robots malveillants.
La combinaison de la puissance d'iThemes Security Pro avec BackupBuddy, un plugin WordPress primé pour la protection et la récupération des données, vous permet de sauvegarder régulièrement les informations de vos clients et de stocker la sécurité à distance. Les restaurations en un clic et les calendriers de sauvegarde flexibles garantissent que votre magasin est toujours là pour vos clients.
Analyse avancée du trafic Web et gestion des bots
La plupart du trafic de robots malveillants peut être rapidement et efficacement identifié et bloqué par les pare-feu d'applications Web en fonction de l'emplacement IP, du score de réputation et d'un certain nombre d'autres facteurs. Cependant, les pirates améliorent constamment les attaques menées par des bots, créant des bots capables de se faire passer pour des clients légitimes.
C'est pourquoi vous avez besoin de systèmes avancés d'analyse du trafic Web et de gestion des robots qui distingueront les robots des humains. Les CAPTCHA traditionnels étaient la première étape pour défier le trafic des bots, mais ils deviennent progressivement une chose du passé.
Depuis lors, les entreprises ont mis au point des solutions innovantes qui promettent d'avoir peu ou pas d'impact sur l'expérience utilisateur, tout en offrant une protection robuste contre les robots malveillants. Les systèmes de gestion des robots et de détection des fraudes analysent le comportement des utilisateurs et suivent toute anomalie dans le trafic Web.
L'une des solutions avancées que vous pouvez mettre en œuvre aujourd'hui est Cloudflare Turnstile, même sans utiliser Cloudflare CDN sur votre site Web de commerce électronique. Le système exécutera un certain nombre de défis non interactifs qui recueilleront des informations sur l'environnement et le comportement du visiteur.
Les systèmes de gestion de robots recueilleront des signaux et compareront le comportement du visiteur à ce qui est généralement affiché par les clients légitimes du commerce électronique. Cela aidera à bloquer les acteurs malveillants qui ont pu contourner les vérifications initiales - les règles de pare-feu des applications Web.
Restrictions de commande et de paiement
Un autre aspect de la protection contre la fraude aux paiements et les attaques par carte comprend la mise en place de politiques d'achat et de paiement spécifiques qui imposeront des restrictions sur le comportement des acheteurs, par exemple :
- Augmentation de la taille minimale de commande.
- Nécessite une inscription pour effectuer un achat.
- Limitation du nombre de comptes utilisateurs créés à partir d'une seule adresse IP.
- Limiter le nombre de cartes de crédit/débit pouvant être ajoutées par un utilisateur ou utilisées pour effectuer un achat.
- Limiter le nombre d'échecs d'autorisations de paiement par une adresse IP ou un compte utilisateur pendant une certaine période.
Cela inclut également l'externalisation complète de tous les aspects des paiements vers des processeurs équipés pour faire face aux attaques par cardage. L'un des processeurs de paiement les plus populaires - Stripe - utilise une détection avancée de la fraude pour empêcher les paiements frauduleux.
Les processeurs de paiement mettent également en œuvre la vérification d'adresse (AVS). AVS effectue des vérifications pour déterminer si l'adresse fournie correspond à l'adresse de facturation enregistrée auprès de l'émetteur de la carte.
Autres moyens de protéger votre site Web de commerce électronique et d'offrir une expérience d'achat sécurisée
La protection de votre site Web de commerce électronique contre diverses menaces de sécurité contribue également à offrir une expérience d'achat plus pratique et plus sûre. Cela comprend une grande variété de mesures, et nous énumérons ci-dessous l'une des plus importantes d'entre elles.
- Choisissez un hébergement conforme PCI . Toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit doivent maintenir un environnement sécurisé en se soumettant à un ensemble de normes de sécurité strictes, connues sous le nom de PCI DSS. L'hébergement conforme à la norme PCI aide les commerçants à se conformer à la norme de sécurité des données de l'industrie des cartes de paiement. Liquid Web et Nexcess proposent une infrastructure d'hébergement conforme à la norme PCI optimisée pour WooCommerce.
- Configurez le renouvellement automatique du certificat SSL/TLS . Assurez-vous que tout le trafic échangé entre votre magasin et vos clients est crypté, ce qui est particulièrement important pour le commerce électronique. Pour éviter toute interruption d'une expérience d'achat sécurisée, ne laissez pas votre certificat SSL/TLS expirer.
- Appliquez une authentification multifacteur ou sans mot de passe . Les mots de passe sont cassés. L'utilisation de l'authentification par mot de passe sur votre boutique de commerce électronique l'expose à des menaces de sécurité majeures. L'authentification multifacteur vous aide à éloigner les pirates, réduisant considérablement la possibilité d'une violation de données. Si vous voulez aller plus loin, iThemes peut vous aider à abandonner complètement les mots de passe.
Dites adieu aux mots de passe avec iThemes Security Pro
En analysant les dernières vulnérabilités par lesquelles les sites Web WordPress sont affectés, iThemes s'est efforcé de rendre la plate-forme plus sécurisée et fiable pour tous les propriétaires d'entreprise, en particulier en ce qui concerne le commerce électronique. L'avenir est sans mot de passe et iThemes apporte des clés de passe à l'authentification WordPress.
Apportez la technologie de pointe à votre entreprise en ligne en activant l'authentification sans mot de passe sur votre site Web WordPress. Désormais pris en charge par tous les principaux navigateurs et systèmes d'exploitation, les connexions biométriques pourraient bientôt devenir une nouvelle norme d'authentification.
Si vous exploitez plusieurs sites Web WordPress ou magasins WooCommerce, iThemes Sync Pro peut devenir votre assistant personnel de site Web. Profitez de la gestion de tous les aspects de l'administration du site Web à partir d'un tableau de bord central, avec une surveillance avancée de la disponibilité et des mises à jour en un clic.
Emballer
La fraude aux paiements et les attaques par carte coûtent aux entreprises de commerce électronique des milliards de dollars par an, ce qui perturbe l'ensemble de l'industrie et de l'écosystème de paiement. Avec l'évolution constante des cyberattaques menées par des bots, aucune entreprise n'est à l'abri des pertes financières et des atteintes à la réputation qui s'ensuivent.
Protéger votre entreprise contre la fraude aux paiements et garantir une expérience d'achat sécurisée à vos clients nécessite d'adopter une approche proactive en matière de sécurité de votre site Web. Les pare-feux d'applications Web et les systèmes de détection de fraude peuvent vous aider à identifier et à bloquer avec succès le trafic Web malveillant avant qu'il ne puisse nuire à votre site Web de commerce électronique et à ses visiteurs.
Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress
WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.
Kiki possède un baccalauréat en gestion des systèmes d'information et plus de deux ans d'expérience sous Linux et WordPress. Elle travaille actuellement comme spécialiste de la sécurité pour Liquid Web et Nexcess. Avant cela, Kiki faisait partie de l'équipe de support de Liquid Web Managed Hosting où elle a aidé des centaines de propriétaires de sites Web WordPress et a appris les problèmes techniques qu'ils rencontrent souvent. Sa passion pour l'écriture lui permet de partager ses connaissances et son expérience pour aider les gens. Outre la technologie, Kiki aime apprendre sur l'espace et écouter de vrais podcasts sur le crime.