[Tribune] Phishing dans le secteur du voyage : tactiques de cybercriminels à la loupe

Airbnb, Kayak, Expedia, Hilton, American Airlines... L'industrie mondiale du voyage est un marché colossal (devant peser près de 523 milliards de dollars en 2016), dont les principales marques sont devenues des cibles privilégiées pour les cybercriminels du monde entier. Chaque jour, des fraudeurs envoient des attaques de phishing ou de spoofing ciblant les marques les plus réputées, afin de dérober des données personnelles (cartes de crédit, numéros de passeport, contacts...), falsifier les points ou miles de programmes de fidélité ou encore piéger les consommateurs sur de faux sites de réservation. En 2015, plus de 20 sites du secteur du voyage ont subi des fuites de données, et 2,5 millions de réservations ont été effectuées sur de faux sites de voyage, représentant 220 millions de dollars partis aux mains de cybercriminels.

Pour lutter contre ces menaces grandissantes, il est important de les comprendre pour les reconnaître et agir en conséquence. Voici donc trois exemples concrets, illustrant les techniques de fraude e-mail parmi les plus couramment utilisées par les cybercriminels.

Usurpation d'identité dans l'objet d'e-mails: le cas American Airlines

American Airlines est l'une des marques à avoir subi une usurpation d'identité dans l'objet d'e-mails en 2015. Les destinataires ont reçu un message "Votre commande American Airlines a été validée", qui incluait même un logo, des contacts et un numéro de dossier convaincants.

Les marketers savent que la personnalisation des messages et les situations d'urgence sont les meilleurs moteurs de l'engagement e-mail. Les cybercriminels le savent également et s'appuient donc sur ces tactiques pour inciter les destinataires à ouvrir les messages frauduleux.

Usurpation d'identité dans le nom de l'expéditeur: le cas Airbnb

Airbnb a également été victime de phishing cette année, en se faisant piéger par l'une des techniques d'usurpation d'identité les plus populaires dans le secteur du voyage: l'usurpation du nom de l'expéditeur. Le nom d'expéditeur est le nom qui apparaît juste avant l'adresse e-mail; dans ce cas précis: Airbnb.

De nombreux e-mails malicieux usurpant le nom de l'expéditeur, incluant cet exemple Airbnb, sont envoyés depuis un domaine qui échappe au contrôle de la marque ciblée. Ainsi, les e-mails incriminés passent au travers des mailles du filet des protocoles d'authentification de la marque, et peuvent toucher simultanément plusieurs milliers de boîtes e-mail.

Cette tendance se vérifie malheureusement dans d'autres secteurs d'activité. En septembre, une de nos études a en effet analysé plus de 760000 menaces e-mail associées à 40 marques internationales, révélant que plus de la moitié de ces messages s'appuyaient sur la technique d'usurpation de nom de d'expéditeur.

Usurpation de nom de domaine: le cas Lufthansa

Les cybercriminels ciblant les acteurs du voyage utilisent également la technique d'usurpation des noms de domaines légitimes des marques. Lufthansa en a d'ailleurs fait l'expérience cette année en Allemagne. Les destinataires ont reçu un e-mail sur le programme de fidélité Miles&More de Lufthansa, de l'expéditeur lufthansa.de, alors même qu'il s'agissait d'une source malicieuse.

Les entreprises peuvent éviter des menaces comme celles-ci en mettant en place des protocoles d'authentification e-mail. Sur 46 des plus grandes marques de voyage analysées, nous avons constaté que seules 24% avaient implémenté un tel dispositif. Plus des trois quarts des marques analysées sont donc exposées à l'usurpation de nom de domaine!

Comment préserver l'intégrité de sa marque et protéger ses abonnés?

Les entreprises du secteur du voyage ne peuvent pas compter sur leurs abonnés pour signaler de tels e-mails frauduleux. En mai dernier, Intel Security a publié les résultats d'une étude révélant que 97% des gens à travers le monde ne savent pas reconnaître les messages usurpés. Néanmoins, certaines actions proactives peuvent être menées par les marques pour protéger leurs clients, leur réputation ainsi que leurs activités:

1. Éduquez vos clients: même si vous ne pouvez pas compter sur vos clients pour signaler de manière systématique les messages frauduleux qu'ils reçoivent, il est important de les sensibiliser à la chose. Vous pouvez, par exemple, créer des sites web pour poster des alertes sur de potentielles attaques, informer sur les communications légitimes incriminées en mettant des captures d'écran de ce à quoi ressemble le message frauduleux, permettant ainsi aux abonnés d'avoir une chance de pouvoir les identifier plus facilement. Par exemple British Airways propose d'intéressants contenus de sensibilisation au phishing pour ses abonnés.

2. Sensibilisez votre hiérarchie: avec des attaques en constante augmentation, les dirigeants du secteur du voyage doivent faire de la protection de leur marque une priorité. Une étude de Cloudmark révélait récemment que les consommateurs victimes de phishing ou spoofing étaient 42% moins enclins à interagir avec la marque visée.

3. Authentifiez vos messages sortants: implémenter des solutions d'authentification permet d'aider à bloquer les e-mails frauduleux qui usurpent vos noms de domaine légitimes, avant même qu'ils atteignent les boîtes de réception des abonnés. Vérifiez avec votre service IT que votre société fait tout ce qui est en son pouvoir pour prévenir des attaques de phishing ou de spoofing.

4. Identifiez toutes les menaces e-mail: vous ne pouvez contrôler ce que vous ne pouvez voir. Les tactiques des cybercriminels évoluent constamment. Il est donc critique de disposer de données fiables et à jour sur les menaces afin de vous assurer une visibilité en temps réel sur toutes les attaques qui ciblent votre marque.