Comment un site d'e-commerce peut se protéger du phishing

Avec l'avancement d'Internet à pas de géant s'ajoute l'essor du e-commerce qui constitue la cible des activités cybercriminelles de plus en plus effrénées, en particulier des tentatives de phishing. Bien qu'il soit impossible d'arrêter ces attaques, il est tout à fait possible de les rendre inefficaces en prenant une série de précautions.

Mettre en place un dispositif d'authentification supplémentaire

Sur certains sites marchands en ligne comme Fnac Spectacles, les fraudeurs ne peuvent pas se contenter uniquement d'acquérir les données de la carte de crédit de la victime. Le système 3D Secure, un protocole de paiement sécurisé sur la toile, exige l'authentification du porteur grâce à l'envoi, par exemple, d'un code de confirmation par le biais d'un SMS. Cette étape de validation supplémentaire intervenant dans les transactions financières certifie que l'achat en question est bien demandé par le porteur de la carte.

 Solliciter la prestation d'un service de veille sur l'hameçonnage

Travailler en partenariat avec une solution de détection de phishing permet au commerçant d'améliorer la confiance des clients dans l'utilisation de sa plateforme. Cette mesure de sécurité fournit des informations cruciales visant à les protéger contre les sites qui tentent d'usurper leurs identités. Les renseignements obtenus sur les attaques de phishing confirmées sont ensuite transmis à leurs fournisseurs de messagerie électronique. Ces données alimentent finalement la liste des sites frauduleux des filtres anti-phishing. Ainsi, la majorité des courriels d'hameçonnage sont interceptés avant d'aboutir dans la boîte de réception de l'usager. C'est une solution adaptée aux petits sites indépendants cpmme Petite Frimousse (vêtements et meubles pour bébé : table à langer, salopette...) et pour les sites plus importants comme Chevignon (blouson en cuir , doudoune pour homme, accessoires).

Lancer une campagne d'information auprès des consommateurs

Parallèlement à ces méthodes visant à se protéger du phishing, un message comportant des conseils et astuces pour reconnaître un e-mail malveillant doit être périodiquement envoyé à la clientèle comme le fait La Redoute sur ses différents sites Européens, tous potentiellement exposés aux attaques des phishers. Une fois identifié, les utilisateurs peuvent le signaler par un simple transfert via une adresse de courriel mise à leur disposition à cet effet. Le webmestre de la boutique en ligne peut dès lors intervenir afin de recueillir les noms de domaine suspects et de les dénoncer sur des sites similaires à phishing-initiative ou PHAROS. En cas de fraude avérée, ces organismes prennent le relais en demandant aux différents navigateurs de bloquer l'accès aux sites frauduleux.

Renforcer la confidentialité des données

Crypter les adresses de courriel communiqués par les clients, avant de les stocker dans la base de données, permet de prévenir leur utilisation dans une opération d'hameçonnage. Il convient également d'accompagner le chiffrement par l'affectation de noms non explicites aux tables ou champs qui contiennent ces informations. Pour davantage de précaution, les emails peuvent être répartis sur plusieurs bases de données dont l'accès est réalisé au moyen d'un système de filtrage par adresse IP.

A qui appartient réellement ce site douteux ?

Rentrer le nom de domaine suspect sans les "www"

Exemple: raphaelrichard.net