5 types de fraude aux coupons et comment protéger les sites et applications de coupons
Le couponing digital est un secteur en pleine croissance. Les sites et applications de coupons offrent à leurs partenaires des outils marketing et promotionnels exclusifs, tout en permettant aux consommateurs de réaliser des économies et de découvrir de nouvelles marques.
Qu’est-ce que la fraude aux coupons ?
La fraude aux coupons désigne l’utilisation abusive de coupons et/ou des plateformes de couponing. Les types de fraude sont variés, allant du coupon glittering aux attaques d’account takeover qui ciblent les sites, applications et API de coupons.
Pourquoi les sites de coupons attirent-ils les bots malveillants ? Partout où il y a de l’argent à se faire, les cybercriminels sont à l’affût. En plus d’attirer les chasseurs de bonnes affaires, les sites et applications de coupons populaires deviennent des cibles pour les fraudeurs souhaitant exploiter les plateformes pour leur propre bénéfice.
Explorons les cinq types de fraude aux coupons les plus courants (et les plus néfastes), dans lesquels des bots malveillants ciblent les sites et applications de coupons. Nous aborderons également pourquoi les outils de sécurité traditionnels s’avèrent souvent inefficaces face aux attaquants modernes, et quelles mesures les propriétaires de sites de coupons devraient prendre pour limiter leurs risques.
5 Types Courants de Fraude aux Coupons & Attaques de Bots
Les bots malveillants exploitent les sites de couponing en lançant différentes attaques, notamment :
- Extraction de coupons (Coupon Scraping)
- Fraude publicitaire (Ad Fraud)
- Attaques DDoS de niveau 7
- Account Takeover
- Scan de vulnérabilités
Continuez votre lecture pour en savoir plus sur chaque type d’attaque par bot et les méthodes pour contrer ces menaces afin de protéger votre entreprise, vos partenaires et vos clients.
1. Extraction de coupons (Coupon Scraping)
La menace de bot la plus courante pour les sites de coupons est le web scraping, souvent orchestré par des entreprises concurrentes. Les attaquants utilisent des bots pour extraire (ou, en d’autres termes, voler) les coupons de votre site, remplacer vos liens affiliés par les leurs, et republier ce contenu sur leurs propres plateformes.
Pour un coût dérisoire, les administrateurs de sites de coupons peu scrupuleux peuvent se procurer facilement des logiciels d’extraction ou des services de scraping de coupons qui leur permettent de copier le contenu de votre site. Les projets de scraping de coupons apparaissent également régulièrement sur les plateformes de freelance.
Les dommages causés par le scraping vont bien au-delà du vol de commissions d’affiliation : les bots de scraping nuisent également à la performance de votre site. Les bots les plus agressifs peuvent consulter des centaines de milliers de pages par jour, surchargent vos serveurs et ralentissent le chargement des pages pour vos utilisateurs légitimes, qui finissent par se tourner vers d’autres options.
En 2019, le site de coupons CouponCabin a intenté un procès à son concurrent PriceTrace devant un tribunal de l’Illinois pour web scraping non autorisé. CouponCabin affirmait que PriceTrace utilisait des techniques de scraping invasives pour obtenir et republier les codes de réduction sur son propre site.
Le tribunal a cependant rejeté la plainte de CouponCabin, qui affirmait que PriceTrace violait le Computer Fraud and Abuse Act (CFAA) par le web scraping, au motif que CouponCabin n’avait pas pu quantifier les dommages causés par cette activité.
L’applicabilité de clauses anti-scraping dans les conditions d’utilisation reste incertaine après cette affaire, ce qui montre à quel point il est difficile d’obtenir une indemnisation pour les dommages causés par le scraping. L’exemple de CouponCabin illustre pourquoi il est essentiel de bloquer les bots de scraping dès le départ.
En savoir plus : Comment protéger votre site contre le scraping intensif.
2. Fraude Publicitaire (Ad Fraud)
La fraude publicitaire est une attaque de bots qui manipule artificiellement le nombre de clics ou d’affichages d’une publicité.
Des concurrents peu scrupuleux ou des vandales exploitent la fraude publicitaire pour affaiblir votre relation avec vos partenaires affiliés (de la même manière que les liens spammeurs dégradent vos résultats de recherche sur Google) ou pour générer des revenus publicitaires frauduleux à leur propre profit.
Certains sites vont jusqu’à publier des coupons invalides ou fictifs pour toucher des commissions, obtenant ainsi un avantage déloyal par rapport aux entreprises de coupons honnêtes qui ne diffusent que des codes valides pour des marques consentantes.
Dans une étude de 2018, 90 % des 1 051 codes promotionnels proposés sur un site de coupons sur une période de deux mois se sont révélés faux, expirés ou invalides. Ce site a également promu des codes pour 28 annonceurs affiliés qui ne proposent même pas de codes promo.
Des fraudeurs créent parfois des sites temporaires remplis de faux codes de réduction pour percevoir des commissions, portant atteinte à la réputation de tout le secteur du couponing.
Cas d’usage : Diwanee lutte contre la fraude publicitaire avec DataDome
3. Attaques DoS de niveau 7
Les attaques de denial of service (DoS) peuvent inonder votre site de coupons d’un trafic massif, entraînant des ralentissements importants pour les visiteurs, voire une interruption complète du site.
Les attaques DDoS (distributed denial of service) de niveau 7 ciblent la couche « applicative » (L7) dans le modèle OSI, aussi appelée couche utilisateur. Contrairement aux attaques ciblant la couche réseau, les attaques DDoS de niveau 7 sont souvent menées de manière lente et discrète, rendant leur détection plus difficile. Pour les entreprises dont les revenus dépendent de la disponibilité en ligne, ces attaques peuvent entraîner des perturbations majeures.
Dans le secteur des coupons, les attaques DDoS de niveau 7 peuvent être lancées par des concurrents ou des cybercriminels cherchant à nuire à la disponibilité de votre site et à l’expérience utilisateur.
En savoir plus : Protection contre les attaques DDoS de niveau 7 : Comment stopper les bots malveillants.
4. Account Takeover
L’Account takeover (ATO) consiste en l’accès non autorisé aux comptes utilisateur pour réaliser diverses fraudes.
Les cybercriminels se procurent des listes d’identifiants de comptes clients via le dark web ou grâce à des attaques de phishing, puis utilisent ces identifiants pour accéder aux comptes membres des sites de coupons.
Une fois dans le compte, un attaquant peut effectuer des transactions non autorisées, voire revendre les informations de paiement et d’identification à d’autres criminels sur des marchés souterrains.
Une attaque réussie d’account takeover peut nuire gravement à votre réputation, éloigner vos clients et vous exposer à des pénalités importantes en vertu du RGPD ou du CCPA.
En savoir plus : Attaques par Credential Stuffing et méthodes de prévention
5. Vulnerability Scanning
Le vulnerability scanning consiste à utiliser des bots pour identifier des failles de sécurité sur votre site de coupons. Les cybercriminels exploitent ensuite les vulnérabilités détectées pour orchestrer des attaques ciblées.
Par exemple, après avoir scanné votre site, des hackers pourraient découvrir une vulnérabilité de type SQL injection. Ils pourraient alors insérer des requêtes SQL dans le champ de code promo au moment du paiement pour révéler des codes de réduction valides ou accéder à l’ensemble de votre base de données de codes promo.
En savoir plus : Attaques de scanning malveillant : protéger vos sites web, applications mobiles et APIs.
Comment les sites de coupons tentent de lutter contre les bots malveillants :
Les entreprises de couponing tentent souvent de se défendre contre les menaces de bots malveillants en adoptant les stratégies suivantes :
- Afficher les codes uniquement pour les utilisateurs vérifiés au lieu de les inclure dans le code HTML facilement accessible.
- Limiter le nombre de consultations de codes promo valides par utilisateur.
- Se protéger contre les tentatives de SQL injection par la validation des saisies.
- Activer l’authentification à deux facteurs ou la vérification d’identité pour les comptes utilisateurs.
- Créer une liste de blocage pour interdire les récidivistes identifiés comme des bots.
Bien que ces tactiques de défense puissent réduire l’impact des attaques, elles présentent également certains défis : elles peuvent ajouter de la friction pour les clients légitimes, sont souvent difficiles à gérer, ou ne sont mises en place qu’après que le dommage soit déjà fait.
Pour éliminer définitivement les risques de sécurité liés aux bots, la solution la plus efficace reste la mise en œuvre d’une solution de protection contre les bots performante.
Protection en temps réel pour les sites de coupons, applications et APIs :
DataDome est une véritable solution SaaS qui détecte et bloque 100 % des menaces automatisées classées OWASP, y compris le coupon scraping, les attaques DDoS de niveau 7, et toutes les autres menaces mentionnées ci-dessus.
Notre moteur de détection de bots compare chaque requête sur votre site avec une vaste base de données de modèles en mémoire, en utilisant l’IA et le machine learning pour déterminer, en moins de 2 millisecondes, si le visiteur est un utilisateur légitime ou un bot.
DataDome fonctionne en mode autopilote, bloquant les menaces connues et nouvelles sans nécessiter d’intervention de votre équipe.
Profitez de notre essai gratuit ou demandez une démo pour découvrir comment DataDome peut protéger votre entreprise de couponing contre les attaques automatisées de bots.
Articles liés
Salles d'attente virtuelles : la faille que les bots exploitent
En savoir plus
Comment choisir un système de gestion de file d'attente en ligne
En savoir plus
Qu'est-ce qu'une salle d'attente virtuelle ? Guide de gestion des files d'attentes en ligne
En savoir plus
Les 10 questions à poser à un fournisseur de gestion de la confiance des bots et des agents
En savoir plus
