Les petits e-commerçants sont une cible de choix pour les escrocs en ligne : comme tous les e-commerçants, ils reçoivent de l’argent en ligne, mais ils sont bien plus nombreux que les gros e-commerçants, et bien plus vulnérables. Toutes les conditions sont donc remplies pour qu’une campagne de phishing soit rentable.

L’attaque que nous avons détecté le 26 septembre 2019 cible spécifiquement les e-commerçants proposant leur produits sur la place de marché Amazon Marketplace, quel que soit le pays.

La place de marché Amazon Marketplace permet aux e-commerçants de mettre leurs produits en vente sur les sites d’Amazon (Amazon.com, Amazon.fr, Amazon.de…). Leurs produits sont vendus au même titre que les produits Amazon, et c’est Amazon qui se charge de la relation client, y compris l’encaissement du produit des ventes.

Le principal risque pour un vendeur sur une place de marché, c’est de voir son compte suspendu : outre l’impossibilité de poursuivre les ventes, la suspension du compte bloque également les fonds encaissés par la place de marché pour le compte de l’e-commerçant. Et il est bien connu que la trésorerie est le talon d’Achille des commerçants.

C’est donc un mail de « notification de risque de suspension de compte revendeur Amazon » (« your account is at risk of suspension » dans le texte) que les escrocs en ligne ont choisi d’imiter pour hameçonner leurs futurs victimes. Le motif choisi est crédible : une plainte pour violation de de propriété intellectuelle (« alleged intellectual property infringement from rights owners » dans le texte). Ce motif est pris très au sérieux par les vendeurs sur Amazon Market Place : nombre de comptes ont été fermés (parfois à tord, mais c’est un autre sujet) suite à ce type de plaintes.

Pris par l’urgence, le destinataire aura donc tendance à cliquer sur la pièce jointe, et sera redirigé vers un faux site Amazon sans s’en rendre compte. Il saisira ses identifiants de vendeur, qui seront capturés par l’escroc en ligne. Outre récupérer les fonds à la place du e-commerçant, l’escroc pourra effectuer toutes sortes de malversations (fausses ventes, chantage, connexion sur d’autres sites liés au compte Amzon…).

Pour déjouer la vigilance des e-commerçants, plutôt aguerris à déjouer les arnaques en ligne, l’escroc joue sur un levier particulièrement efficace : le choc émotionnel. Imaginez : votre business est menacé à cause d’une plainte injustifiée. Il y a urgence à agir, vous êtes fébrile, et ne doutez pas une seconde de la véracité du message. D’autant qu’il est similaire (voir identique) aux vrais mails envoyés par Amazon dans une situation semblable.

Pourtant, les signaux d’alerte habituels sont là :

  • Un survol sur le nom de l’expéditeur montre que L’expéditeur n’est pas celui qu’il prétend être : info@microhome.pl pour « Amazon Marketplace »,
  • Présence d’une pièce jointe « à cliquer », contraire aux usages (pour prévenir le phishing justement),
  • Si vous avez appliqué nos conseils prodigués dans notre dossier gratuit « prévenir le spam et le phishing » (disponible sur simple demande), l’adresse de réception ne correspondra pas non plus à celle configurée dans votre compte vendeur Amazon…

Werner KLINGER
Ingénieur Conseil Web & NTIC.