Le form-jacking, indédectable ?

Une escroquerie presque impossible à détecter qui alimente le commerce (illégal) de données personnelles

Prudence sur internet ! Une nouvelle escroquerie, cette fois quasi-indétectable circule sur la toile. Il s’agit de l’arnaque au formjacking, traduite en français par « vol de formulaire ».

L’arnaque au formjacking, est invisible mais bien réelle. Des hackers s’infiltrent dans le code de sites d’e-commerce afin de dérober les données personnelles des visiteurs. Lorsqu’un internaute entre ses coordonnées pour procéder à un paiement en ligne, ses informations (nom, adresse, coordonnées bancaires…) sont aspirées en direct lors de l’opération d’achat par le programme malveillant, qui enregistre les touches frappées. Comme il est d’usage dans ce domaine de la cybercriminalité, les malfrats revendent à des tiers les informations personnelles qu’ils ont récoltés.

Or, cette arnaque est indétectable : le consommateur finalise sa commande, sans moyen de déceler le piratage, qui ne laisse aucune trace. Seuls des débits frauduleux sur le relevé de compte le révèleront enfin, mais il est alors trop tard.

Les dommages causés par ce type de vol sont donc rarement immédiats. Une fois les informations récoltées, les hackers les vendent à des réseaux mafieux, qui vont ensuite s’en servir pour effectuer des achats frauduleux ou mener des campagnes de phishing. Le remboursement ne sera pas automatique. La banque ne peut pas plaider la négligence du consommateur qui se verrait dérober de l’argent, car le piratage s’effectue en sous-marin lors d’un véritable achat. Mais de son côté, l’internaute ne peut pas prouver qu’il s’est fait aspirer ses données.

Le RGPD oblige cependant les sites à informer leurs visiteurs victimes de toute « violation de données à caractère personnel » qui comporte un risque (article 34). Averti, le client peut notamment prévenir sa banque, qui peut à son tour surveiller les mouvements suspects sur son compte et remplacer la carte bancaire

La seule solution viable pour le moment est de préférer les systèmes de paiement avec authentification forte avec, par exemple, l’envoi d’un code par SMS pour pouvoir valider l’achat.

Abonnez-vous à ce blog

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 8 autres abonnés

Catégories