Le phishing ecommerce est une forme de détournement de fonds grâce à achats réalisés de façon frauduleuse. Il s'agit d'une technique dans laquelle des bandes organisées de criminels se font passer pour des sites d'ecommerce auprès des internautes pour les pousser à donner les informations permettant d'accéder aux comptes des internautes sur le site d'ecommerce de façon à réaliser des achats frauduleux.
Apparition: le phénomène existe depuis l'année 2000 et a connu une accélération significative depuis 2003.
Le criminel envoie un email en se faisant passer par le site d'ecommerce et demander de se connecter de façon à réactiver un compte ou compléter certaines informations.
L'internaute peut méfiant accepte de se connecter sur le site indiqué et donner au cybercriminel ses codes d'accès.
Le cybercriminel effectue des achat frauduleux en utilisant les informations récupérées illégalement.
Mise à jour 2013: les nouvelles formes de phishing dans l'ecommerce
On associe souvent le phishing aux banques ou système de paiement. Ce serait une erreur puisque maintenant les phishers ont inventé de nouveaux scénario autour de l'usurpation d'identité pour extorquer de l'argent.
Cela peut être le cas d'Amazon, par exemple.
Compte tenu du fait qu'Amazon compte des millions de clients en France, il est statitiquement probable qu'en envoyant 100 messages à 100 internautes pris au hasard, au moins 10 d'entre soient client d'Amazon et qu'ils croient que le message vienne vraiment d'Amazon. C'est le même calcul qu'avec les grandes banques françaises. Mais comment soustirer de l'argent en se faisant passer pour Amazon ? Tout simplement en faisant miroiter un gain aux destinataires : « Amazon vous offre 10€ en tant que client fidèle. Pour en profiter, il vous suffit de vous connecter en cliquant ici http:// ». Imaginons que l'internaute y croit. Il se connecte sur le site contrefait. Lorsqu'il arrive, il entre son login et mot de passe Amazon et se voit présenter un écran où on lui demande des informations financières afin de lui virer les 10 euros promis. La moitié des internautes s'arrêtent probablement ici, mais l'autre moitié croient peut être à la promesse et se risquent à rentrer leur donner. Malheureusement, ils ne verront jamais les 10 euros arriver sur leur compte. En revanche, quelques semaines plus tard, leur numéro de carte bleue sera probablement utilisé pour réaliser des achats à l'autre bout du monde.
Les grands sites comme Amazon sont donc les plus exposés, mais même les plus petits du spécialiste de la vente de coque iphones au petit fleuriste en ligne comme Lila Rose, peuvent être touchés par le phishing également. Mais, par une autre voie. Les phishers sont devenus des professionnels du piratage de comptes gmail ou hotmail. Ils testent en série des milliers de mots clés « probables » et finissent souvent par pénétrer un compte email. A partir de ce compte, ils peuvent retrouver la liste des sites marchands dont l'internaute piraté est client.
Ils leur restent alors à envoyer à l'internaute, un email en se faisant passer pour l'un de vos fournisseurs en ligne avec un titre du type « 10 € remboursés sur votre prochain bouquet de fleurs jusqu'au 15 février » pour sous tirer un numéro de carte bleue en suivant le même scénario que dans le cas du phishing Amazon.