Saisir son numéro de carte bancaire sur un site e-commerce peut-être risqué, comme le prouve cette nouvelle étude réalisée par le chercheur en sécurité Max Kersten. En s’appuyant sur des outils automatisés et des recherches effectuées par des confrères, il a réussi à compiler une liste de 1 236 sites de vente en ligne qui étaient infectés par un « skimmer » entre 2018 et 2020. Un code Javascript s’exécute alors au moment du paiement pour envoyer les données de la carte bancaire vers un serveur pirate, à l’insu total du marchand et du consommateur. Ce dernier est généralement victime d’une fraude par la suite, sans qu’il puisse connaître son origine.
Parmi tous les pays affectés, les États-Unis trônent en tête de cette liste, avec plus de 300 sites marchands infectés. La France arrive en 8e place, avec 34 sites infectés, dont 16 avec un nom de domaine en .fr : philippelebac.fr, shop.bellablue.fr, lepage.fr, clotures-electriques.fr, cupidonlingerie.fr, hardshot.fr, cadresrobain.fr, tresorsdesoceans.fr, codiliam.fr, deezcard.fr, sukhi.fr, savannah.fr, gouttiere-expert.fr, mignon-paris.fr, pharmaciedesgrandshommes.fr, et airsus.fr.
La totalité de la liste est disponible en ligne, à la fin de la note de blog du chercheur. Pour chaque site, elle indique la période pendant laquelle il était infecté. Il peut être intéressant d’y jeter un œil pour vérifier si l’on ne fait pas partie des victimes potentielles et, le cas échéant, pour bloquer sa carte. A noter, enfin, que ce type de piratage continue de faire des ravages, surtout en cette période de Covid-19. Selon MalwareBytes, le skimming a augmenté de 26 % en mars dernier.
Source: Note de blog