Amazon a averti des centaines de millions d'utilisateurs d'une montée des escroqueries d'usurpation d'identité et de phishing sur le thème du Black Friday, qui imitent les alertes de livraison, les notifications du navigateur et les sites des détaillants. Les sociétés de sécurité qui suivent le trafic des fêtes déclarent que des milliers de domaines frauduleux et de pages factices sont créés pour récolter des identifiants et des données de paiement.

Amazon a publié un large avis avant le Black Friday après que des chercheurs en sécurité et la société ont observé une nette augmentation des attaques d’usurpation d’identité ciblant la période des fêtes. Des acteurs malveillants déploient de fausses notifications de livraison, des invites de notifications malveillantes du navigateur et des vitrines clonées reprenant l’identité visuelle d’Amazon pour tromper les consommateurs et leur soutirer identifiants, numéros de carte bancaire et mots de passe à usage unique. Les analystes signalent des milliers de nouveaux domaines et des pages de destination « empoisonnées » par le SEO calées sur le trafic promotionnel ; nombreuses sont les pages qui capturent des formulaires ou poussent les visiteurs à installer des extensions de navigateur malveillantes. Le message d’Amazon insistait pour que les utilisateurs ignorent les messages non sollicités concernant des problèmes de colis, vérifient les URL et utilisent l’application officielle ou des favoris pour se connecter. Les sociétés de sécurité recommandent d’activer une MFA résistante au phishing (tokens matériels ou basés sur une application), d’éviter la réutilisation des mots de passe et de signaler les pages suspectes aux bureaux d’enregistrement de domaines et à Amazon. L’avis invitait également les fournisseurs de messagerie et de services de messagerie à bloquer les expéditeurs malveillants connus et demandait aux consommateurs de valider les sollicitations de paiement via le tableau de bord officiel de leur compte plutôt que de cliquer sur des publicités ou des messages privés.