Qu’est-ce que le skimming en cybersécurité ? Comment détecter et prévenir une attaque de skimming ?
Le skimming web est une technique utilisée par les hackers et fraudeurs pour voler des informations de carte bancaire sur les sites e-commerce en injectant du code malveillant. En plus des données de paiement, ces attaques peuvent également dérober des informations personnelles identifiables (PII) auprès de clients sans méfiance. Les cybercriminels exploitent ces données volées pour effectuer des achats non autorisés, usurper des identités ou les revendre sur le dark web.
Aussi appelé skimming numérique, online card skimming ou e-skimming, le skimming web est un cybercrime répandu. Aux États-Unis, les autorités estiment que les attaques de skimming web ont augmenté de 368 % entre 2021 et 2022.1 Ces attaques peuvent entraîner des pertes financières considérables pour les entreprises et nuire gravement à leur réputation. De grandes entreprises internationales, notamment dans les secteurs de l’aviation, de l’électronique et du commerce de détail, ont perdu des millions de dollars à cause du skimming web.2,3,4
Toute entreprise de e-commerce est potentiellement vulnérable à une attaque par skimming web. Dans cet article, nous expliquons comment fonctionne le skimming web et comment protéger votre entreprise contre ces attaques.
Qu’est-ce qu’une attaque par skimming ?
Le terme skimming désigne l’action de retirer une fine couche de matière d’une surface. Lorsqu’il est question de criminalité, le skimming est une métaphore pour décrire la manière dont les fraudeurs volent des informations confidentielles à des victimes inconscientes du danger.
L’adoption généralisée des distributeurs automatiques de billets (DAB) dans les années 1980 a conduit à l’essor des attaques par skimming. Les attaques physiques de skimming sont réalisées en fixant un dispositif à un lecteur de carte. Lorsque la carte est passée, l’appareil vole les données contenues sur la bande magnétique. En plus des DAB, des dispositifs de skimming peuvent être installés sur les pompes à essence et les terminaux de paiement.
Avec l’apparition des systèmes de paiement numérique, les criminels ont développé de nouvelles méthodes pour voler des informations de paiement et des données personnelles (PII) sur les sites de commerce en ligne via du code malveillant.
Qu’est-ce que le skimming en cybersécurité ?
Le skimming fonctionne de la même manière dans le monde numérique que dans le monde réel. Au lieu d’installer un dispositif de skimming physique, les cybercriminels utilisent des injections de code malveillant sophistiquées pour collecter les données de paiement à partir des formulaires de paiement en ligne. Souvent, le propriétaire du site ne se rend pas compte que son site de e-commerce est infecté.
Dans de nombreux cas, une attaque par skimming fait partie d’une arnaque de phishing élaborée. Des utilisateurs inconscients du danger reçoivent des e-mails contenant des liens les dirigeant vers de faux sites e-commerce avec des champs de paiement conçus pour capturer et stocker leurs données. Ces faux sites sont appelés sites usurpés (spoofed websites). Ils peuvent ressembler de manière frappante à des sites légitimes, mais au lieu de fournir un service, ils ont pour but de voler des informations sensibles.
Le skimming web est également appelé attaque Magecart. Ce nom a été inventé car les sites e-commerce hébergés sur la plateforme Magento étaient des cibles fréquentes pour les groupes de hackers spécialisés dans le web skimming. Bien que ces attaques se produisent aujourd’hui sur un large éventail de plateformes, le terme attaque Magecart est toujours utilisé.
Toutes les formes de skimming web reposent sur l’utilisation de code sophistiqué. Malheureusement, ces attaques sont devenues plus courantes, car les fraudeurs et les hackers n’ont plus besoin de savoir coder un script de e-skimming de zéro. Les avancées en apprentissage automatique et en intelligence artificielle ont facilité l’acquisition et la mise en œuvre d’une attaque par skimming. Les cybercriminels peuvent acheter des kits de skimming prêts à l’emploi, exploiter des scripts malveillants existants ou utiliser des outils automatisés pour injecter des malwares dans des sites vulnérables.
Comment fonctionne le skimming web ?
Une attaque de skimming web est réalisée en infectant un site e-commerce avec du code malveillant, soit via un malware, soit en exploitant des vulnérabilités de sécurité. Les cybercriminels ciblent les vulnérabilités présentes dans les scripts tiers (souvent du code écrit en JavaScript) utilisés par le site web. Ces scripts externes sont généralement liés au site de e-commerce via une page distincte de traitement des paiements par carte de crédit ou intégrés à la page de paiement.
Du code malveillant de skimming peut également être injecté via des conteneurs de stockage cloud, comme des Amazon S3 buckets mal configurés et accessibles publiquement. Les dépôts GitHub offrent aussi fréquemment aux hackers et fraudeurs des moyens d’accéder à des clés d’API et des identifiants exposés.
Ces vulnérabilités permettent aux cybercriminels d’injecter du code malveillant qui collecte les données en temps réel. Alors que les utilisateurs saisissent inconsciemment leurs informations de paiement dans des champs de paiement en apparence normaux, les scripts de skimming capturent les détails de la carte et les transmettent immédiatement à des serveurs contrôlés par les attaquants.
Quel est l’impact des attaques de skimming web ?
Le skimming web permet aux cybercriminels d’accéder aux informations des cartes de débit et de crédit, qu’ils peuvent utiliser pour effectuer des achats en ligne non autorisés et des transactions frauduleuses. Les données volées des cartes sont également souvent revendues à d’autres cybercriminels via des marketplaces hébergées sur le dark web.
Cependant, contrairement au skimming physique des cartes bancaires, les fraudeurs et hackers spécialisés dans l’e-skimming peuvent obtenir bien plus que des numéros de carte. Les violations de données causées par le skimming numérique donnent aussi aux cybercriminels un accès à des données personnelles (PII) et à des informations sensibles. Ces données peuvent être utilisées pour commettre des vols d’identité ou être revendues sur le dark web.
En 2022, les attaques d’e-skimming ont conduit à la mise en vente de 45,6 millions d’enregistrements de cartes de paiement sur des plateformes du dark web.5 On estime qu’en moyenne, 185 cartes ont été compromises par incident de skimming.6 Bien qu’il soit difficile d’évaluer le coût exact du skimming web, le FBI a signalé que les escroqueries par e-skimming entraînent des pertes annuelles dépassant 1 milliard de dollars pour les titulaires de cartes et les institutions financières.7
Une entreprise ciblée par une attaque de skimming web subit également de graves dommages en termes de réputation. Les clients dont les données ou les PII ont été volées seront moins enclins à faire confiance à l’entreprise à l’avenir. Cela peut entraîner une baisse des ventes et même des conséquences juridiques potentielles. Une attaque de skimming peut en effet entraîner des violations des réglementations sur la protection des données, telles que le Règlement général sur la protection des données (RGPD) ou le California Consumer Privacy Act (CCPA).
Les attaques de skimming web sont-elles difficiles à détecter ?
Les attaques d’e-skimming peuvent être très difficiles à détecter. Elles ont lieu en temps réel et ne laissent aucune trace évidente. Le skimming web s’effectue côté client, ce qui signifie que les cybercriminels n’ont pas besoin de s’introduire dans les serveurs ni de pénétrer les couches profondes de sécurité.
Les cybercriminels utilisent également diverses techniques pour masquer leurs activités. Le JavaScript malveillant peut être dissimulé dans des scripts légitimes, ce qui lui donne l’apparence d’une fonctionnalité normale du site web. Les sites e-commerce comportent des centaines de lignes de code, ce qui facilite énormément le camouflage des quelques lignes nécessaires aux skimmers.
Comment protéger votre entreprise contre les attaques de skimming ?
Bien que les attaques de skimming soient courantes et difficiles à détecter, il existe des mesures que vous pouvez prendre pour protéger votre entreprise :
- effectuez des audits réguliers de votre site web et maintenez un inventaire à jour de vos actifs web ;
- scannez régulièrement les applications côté client afin d’identifier toute anomalie ;
- assurez-vous que vos bibliothèques JavaScript sont mises à jour, corrigées et qu’elles ne figurent sur aucune liste noire ;
- n’utilisez que des plug-ins, widgets, extensions ou scripts tiers provenant de sources réputées.
Il est recommandé aux entreprises d’adopter des mesures de sécurité proactives telles que les Content Security Policies (CSP), Subresource Integrity (SRI), les audits de sécurité réguliers et la détection basée sur le comportement. Ces mesures permettent d’identifier les attaques de skimming web avant qu’elles ne causent des dommages.
L’un des moyens les plus efficaces pour protéger votre site contre les cybercriminels est d’utiliser un programme automatisé de détection des fraudes au paiement afin de surveiller et analyser en continu votre site. DataDome Page Protect vous offre une surveillance continue des scripts, une détection des menaces et des alertes en cas d’anomalies. Page Protect vous aide à éviter des violations de sécurité coûteuses, protège les données des titulaires de cartes et préserve la confiance de vos clients. Vous pouvez ainsi protéger votre entreprise et vos clients contre les attaques d’e-skimming et les cas de fraude aux API.
Si vous exploitez un site de e-commerce, vous devrez vous conformer aux nouvelles exigences de la norme PCI DSS 4.0 d’ici fin mars 2025. Ces normes imposent aux entreprises de mettre en place une surveillance continue, un inventaire et des contrôles de sécurité pour toutes les pages de paiement. Page Protect garantit la conformité avec toutes les exigences client-side des normes PCI DSS 6.4.3 et 11.6.1.
FAQ sur le skimming en cybersécurité
En cybersécurité, le skimming désigne le vol de données de paiement et d’informations personnelles. Les cybercriminels dissimulent du code malveillant sur des sites web afin de dérober les informations de cartes de crédit. Les données volées sont ensuite utilisées ou revendues à des fins frauduleuses.
Le VDI (Virtual Desktop Infrastructure) permet un accès à distance sécurisé à un environnement de bureau centralisé. Il aide à protéger les données sensibles en les conservant sur un serveur sécurisé, réduisant ainsi les risques de malware et de fuites de données.
La meilleure façon de protéger un site de e-commerce contre les attaques de skimming est de surveiller en continu les scripts côté client. DataDome Page Protect vous offre une surveillance continue des scripts, une détection des menaces et des alertes en cas d’anomalies. Page Protect vous avertit de toute activité suspecte et garantit également la conformité de votre site aux nouvelles exigences de la norme PCI DSS 4.0.
Sources
1 https://www.fico.com/blogs/us-card-skimming-grew-nearly-5x-2022-new-fico-data-shows
2 https://www.bbc.com/news/technology-45481976
3 https://www.infosecurity-magazine.com/news/casio-magento-web-skimmer-campaign/
5 https://therecord.media/europol-identifies-hundreds-ecommerce-skimmers
6 https://www.usccreditunion.org/learn/blog/guide-to-combat-card-skimming
7 https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-frauds-and-scams/skimming
