Les pirates échangent votre pizza gratuite (et vos informations personnelles) sur le Dark Web
Si vous n'avez jamais mis à jour les informations de votre compte Domino's Pizza, vous souhaiterez peut-être le faire, et bientôt. Les pirates informatiques sont engagés dans une opération de credential stuffing en cours contre la célèbre marque internationale de pizza, leurs vues étant principalement tournées vers les clients de Domino's Pizza aux États-Unis. Après avoir parcouru des publications sur plus d'une douzaine de marchés du Dark Web, nous avons découvert que plus de 12 000 comptes Domino's Pizza avaient été vendus, et la plupart au cours des 12 derniers mois.
Pourquoi les pirates informatiques ciblent-ils les comptes Domino's Pizza ?
Même si cela peut sembler contre-intuitif, les pirates informatiques et leurs acheteurs ne recherchent pas immédiatement les informations de carte de crédit des acheteurs de Domino. Au lieu de cela, ils sont à la recherche de points de récompense et de pizzas gratuites.
Domino's Pizza propose un programme de récompenses qui offre aux acheteurs 10 points pour chaque commande. À 60 points (ou 6 achats), les clients peuvent échanger leurs points contre une pizza gratuite de taille moyenne à deux garnitures. Une pizza moyenne à deux garnitures de Domino's coûte normalement 12,99 $ lorsqu'elle est commandée individuellement sans aucune autre offre ni réduction.
Entre le 27 avril et le 5 mai 2020, nous avons recherché sur une douzaine de marchés du dark web des publications annonçant la vente de comptes d'utilisateurs Domino's Pizza. Toutes les ventes sur compte Domino’s se déroulaient sur 3 marchés différents. Environ 87 % de toutes les publications et 100 % des ventes ont transité par l'un des plus grands marchés que nous avons vérifiés. Nous avons enregistré 12 200 ventes sur les 58 publications distinctes que nous avons trouvées.
Une fois que quelqu’un achète un compte, le processus est simple. Les acheteurs se connecteront avec les informations de compte, échangeront les points et se feront livrer la pizza à l'endroit souhaité.
La majorité des ventes que nous avons constatées sur les différents marchés ont eu lieu au cours des 12 derniers mois. Cela signifie que la plupart des vendeurs à succès ont créé leurs publications en 2019.
Combien les pirates gagnent-ils grâce à la vente de comptes Domino's Pizza ?
La majorité des vendeurs de comptes ne gagnent probablement pas beaucoup d'argent en vendant des comptes Domino's Pizza. En fait, seul un petit nombre de publications de vendeurs ont généré des ventes. Et la plupart des publications indiquaient des prix compris entre 1 $ et 5 $.
Quelques articles avec un volume de ventes élevé présentaient des prix catalogue supérieurs à 1 000 $. Cependant, l’examen de leurs commentaires révèle que le prix de vente affiché n’est souvent pas celui payé par les acheteurs. Les prix de vente réels que nous avons identifiés variaient généralement entre 0,25 $ et 3,00 $.
Les pirates informatiques ont peut-être gagné collectivement entre 12 000 et 36 000 dollars grâce aux ventes de comptes Domino's Pizza au cours des 12 derniers mois. Ces revenus dérisoires pourraient ne pas en valoir la peine.
Cependant, la clé du succès et des efforts de bon nombre de ces vendeurs réside dans le volume de comptes qu’ils vendent. Et ce volume va au-delà de la simple vente de comptes Domino’s Pizza. Ils vendent également des comptes pour d'autres services et sites, notamment d'autres chaînes alimentaires telles que Jersey Mikes, et des comptes premium pour des services comme Sling TV, Hulu et Disney+.
Cependant, en ce qui concerne les restaurants, les vendeurs de comptes les plus performants sur différents marchés ont trouvé leur plus gros gain avec les comptes Domino's Pizza.
Combien d’argent les clients de Domino’s ont-ils perdu ?
Avec un prix non réduit de 12,99 $ pour une pizza moyenne à deux garnitures, les clients de Domino's ont perdu au moins 160 000 $ en pizza potentiellement gratuite au cours des 12 derniers mois.
Le chiffre de 160 000 $ est une estimation nettement inférieure. Il est fort possible que la valeur des pertes pour les clients de Domino soit bien supérieure à cela. De nombreux clients de Domino's Pizza ont accumulé plus de 60 points minimum pour une pizza gratuite. En fait, certains vendeurs du marché du dark web annonçaient des comptes avec 300 points ou plus.
L’impact sur les résultats de Domino’s Pizza pourrait également être assez important. Certains consommateurs qui ont posté sur divers forums ont noté que Domino's remplace les récompenses après que les utilisateurs ont déposé une plainte. Domino's pourrait livrer des centaines de milliers de dollars en pizza gratuite aux pirates et remplacer les points des utilisateurs par la suite, ce qui se traduirait par encore plus de pizza gratuite.
La menace peut paraître limitée, mais son impact va bien au-delà de quelques pizzas volées. Sur 80% des internautes utilisez le même mot de passe sur plusieurs sites Web. Les acheteurs pourraient également utiliser ces informations volées pour accéder à d’autres comptes.
Comment les pirates informatiques volent-ils les comptes Domino's Pizza ?
Les pirates informatiques pourraient voler les comptes Domino's Pizza de plusieurs manières, dont deux que nous avons confirmées.
La première méthode confirmée passe par attaques de phishing . Des attaques de phishing vérifiées contre des clients de Domino's Pizza ont circulé sur les réseaux sociaux pas plus tard qu'en avril 2020. Snopes a posté un article notant une campagne de phishing en cours le 8 avril.
L’autre méthode confirmée utilisée par les pirates pour voler des comptes est bourrage d'informations d'identification . Ce type de cyberattaque utilise des combinaisons de nom d’utilisateur et de mot de passe déjà acquis. Les pirates extraient ces données à l'aide d'un script qui les saisit automatiquement dans les formulaires de connexion du site Web.
Les succès et les échecs de connexion sont enregistrés, et les pirates informatiques puisent ensuite dans la liste des informations d'identification fonctionnelles. Ces types d’attaques peuvent également être exécutés de telle manière qu’ils semblent presque impossibles à distinguer des tentatives de connexion légitimes.
Nous avons identifié de nombreux articles sur le Dark Web vendant des fichiers de configuration Domino's Pizza pour l'outil de bourrage d'informations d'identification SNIPR. Les fichiers de configuration se vendent à seulement 0,99 $.
Comme pour tout credential stuffing, l’outil de credential stuffing SNIPR nécessite des combinaisons nom d’utilisateur/mot de passe pour fonctionner. Il est probable que les pirates obtiennent ces informations à partir de données piratées facilement disponibles, également en vente sur de nombreux marchés du dark web.
Les pirates peuvent effectivement acheter tout ce dont ils ont besoin pour voler des comptes Domino's Pizza sur le dark web pour seulement quelques dollars, puis effectuer une opération rapide pour réaliser un petit profit.
Les pirates informatiques vendent-ils les comptes d’autres chaînes de pizza ?
Bien que nous ayons trouvé quelques vendeurs faisant la publicité d’autres comptes de chaînes de pizza, la grande majorité concernait Domino’s Pizza. Mais pourquoi?
On pourrait penser à la grande taille de Domino’s Pizza. Il s'agit actuellement de la plus grande chaîne de livraison de pizzas aux États-Unis, avec ventes brutes de 13,5 milliards de dollars en 2018. Pizza Hut est un concurrent sérieux, avec des ventes brutes de 12,2 milliards de dollars cette année-là.
Pourtant, Domino's Pizza représente un nombre disproportionné de ventes de comptes sur le dark web, même avec sa place dans le classement national, ce qui rend cette explication difficile à justifier.
La raison la plus probable pour laquelle Domino's est si apprécié est le service Hotspot Delivery de l'entreprise.
Avec Hotspot Delivery, Domino's n'a pas besoin d'adresse physique pour effectuer les livraisons. Au lieu de cela, les acheteurs peuvent rencontrer le chauffeur-livreur de leur Domino’s dans l’un des milliers de lieux publics désignés, notamment des parcs et des monuments. Cette option facilite grandement le vol des points de récompense pizza gratuits d’un titulaire de compte sans laisser de trace.
Domino's Pizza a lancé son service Hotspot Delivery en avril 2018. La plupart des publications créées par les clients que vous trouverez lors d'une recherche sur le Web directement liées au terme de recherche « piratage de compte Domino » ont été créées après avril 2018.
Nous avons demandé à Domino's Pizza de fournir des éclaircissements supplémentaires concernant la protection de sa sécurité de compte et ses stratégies d'atténuation du piratage. Un porte-parole de l'entreprise a expliqué : « Nous prenons la sécurité Internet au sérieux ; cependant, nous ne discutons pas publiquement des contre-mesures des entreprises. Les clients ayant des inquiétudes concernant leurs comptes peuvent contacter le service client de Domino pour obtenir de l'aide.
Comment protéger votre compte Domino's Pizza
Les consommateurs affamés possédant Domino's Pizza ou d'autres comptes alimentaires en ligne devraient envisager de modifier leur approche en matière de sécurité des mots de passe. Cela dit, il existe certaines limites.
Au cours de nos recherches, nous avons découvert que Domino’spasproposer une authentification multifacteur pour aider à protéger les comptes. Papa Johns ou Pizza Hut non plus, les plus grands concurrents de l’entreprise. La société propose des alertes par SMS et par e-mail lorsqu'une commande de pizza a été effectuée, mais une fois que quelqu'un a piraté le compte Domino's, les informations de ce compte peuvent être modifiées.
Certains clients ont également déclaré que l'entreprise avait commencé à demander une vérification de leur compte après la commande d'une pizza, mais cette mise en œuvre ne semble pas être répandue.
Comment sécuriser votre compte Dominoes contre les pirates :
- Changez votre mot de passe immédiatement. Utilisez une phrase secrète forte et unique. Les recherches actuelles suggèrent une phrase secrète composée d'une chaîne de mots est plus sécurisée qu'un mot de passe utilisant des chiffres, des lettres et des symboles. (Essayez notre générateur de mot de passe)
- Enregistrez votre mot de passe dans un outil de gestion de mots de passe fiable (voir notre guide des meilleurs)
- Changer l'adresse email associée au compte
- Supprimez toutes les cartes de crédit enregistrées de votre compte
- Surveillez votre compte pour détecter toute activité suspecte
Nous vous recommandons également de vérifier quelles données vous concernant sont actuellement vendues sur le dark web. Des sites Web tels que Ai-je été pwned et Triple analyse du Dark Web d'Experian peut vous aider à déterminer si votre adresse e-mail a fait partie d'un piratage et quel type d'informations vous concernant peut circuler sur les marchés du dark web.
Comme Domino's Pizza l'a suggéré, si vous pensez que votre compte a été piraté, Contactez l'assistance clientèle .