Les escrocs ont utilisé des comptes piratés de détaillants Kohls.com pour commander des marchandises volumineuses et chères qui sont ensuite expédiées au domicile de la victime. Bien que les escrocs ne récupèrent pas la marchandise volée, les achats non autorisés accumulent des crédits précieux appelés «l’argent de Kohl» que les voleurs échangent rapidement dans les magasins de Kohl contre des articles qui peuvent être revendus contre de l’argent ou retournés contre des cartes-cadeaux.
Lecteur BreachTrace Suzanne Perry, une « accro du shopping » autoproclamée de Gilbert, Penn., a déclaré qu’elle avait récemment reçu un e-mail de Kohls.com indiquant que l’adresse e-mail de son compte avait été modifiée. Reconnaissant cela comme un indicateur commun d’un compte compromis, Perry a déclaré qu’elle s’était immédiatement rendue sur Kohls.com, ce qui a confirmé ses craintes que son mot de passe ait été modifié.
Sur un coup de tête, Perry a déclaré qu’elle avait tenté de se connecter avec l’adresse e-mail « mise à jour » (celle utilisée par le voleur) ainsi que son mot de passe existant. Heureusement, les voleurs avaient été trop paresseux pour changer le mot de passe.
« Une fois connectée, j’ai vérifié l’historique de mes commandes pour déterminer si des commandes frauduleuses avaient été passées dans les 20 minutes suivant la réception de la notification », a-t-elle déclaré. « Je n’ai pas été surpris de voir deux commandes en ligne, totalisant près de 700 $ chacune, mais j’ai été très surpris de voir qu’elles étaient expédiées chez moi et non à une adresse dont je n’avais jamais entendu parler. »
Perry a déclaré qu’elle avait ensuite contacté Kohl’s et leur avait donné les deux numéros de commande et l’adresse e-mail frauduleuse.
« J’ai expliqué ce qui s’était passé, et ils ont été très utiles pour annuler les commandes, mettre à jour mon adresse e-mail et réinitialiser mon mot de passe », a-t-elle déclaré. « Je leur ai dit que je ne comprenais pas pourquoi quelqu’un piraterait mon compte juste pour faire expédier un tas de choses à ma propre adresse. J’essayais de comprendre ce que le criminel aurait éventuellement à gagner de cet effort, mais le représentant du service m’a informé que c’était en fait un événement très courant pour eux.
Il s’avère que le criminel n’était pas du tout après la marchandise. Au contraire, le but de changer son adresse e-mail était de vider l’argent de Kohl stocké sur le compte, une forme de remise que Kohl’s offre aux clients – actuellement 10 $ pour chaque 50 $ dépensés au magasin. Les deux commandes frauduleuses ont rapporté 220 $ au total en espèces de Kohl, qui est envoyé par e-mail une fois la commande confirmée (d’où la nécessité de changer l’adresse e-mail de la victime).
« Depuis que les commandes m’ont été expédiées, même si elles étaient au-dessus du seuil de mon comportement typique de dépenses en ligne, aucun signal d’alarme n’a été levé de leur côté », a déclaré Perry.
Plus intéressant encore, la quasi-totalité des marchandises que les voleurs ont commandées pour constituer le solde en espèces du compte Kohl étaient des articles volumineux : trois lits bébé, un système de poussette et un siège auto, et une baignoire pour bébé, entre autres articles. Perry a déclaré que Kohl’s lui avait dit que les voleurs le faisaient parce qu’ils savaient que les articles volumineux prenaient généralement plus de temps à être retournés, et comme Kohl’s révoquait les crédits en espèces de Kohl gagnés sur les articles qui sont ensuite retournés, les voleurs peuvent dépenser les crédits volés de Kohl tant que le propriétaire de le compte piraté ne renvoie pas les articles commandés frauduleusement.
« Le représentant m’a dit que lorsque ces types de transactions frauduleuses se produisent, la victime n’en est généralement pas consciente jusqu’à ce que les articles arrivent chez elle », a déclaré Perry à propos de sa conversation avec le représentant de Kohl. « Étant donné que les articles commandés ont tendance à être volumineux, il faut généralement plus de temps à un client pour pouvoir les rapporter pour un remboursement. Si je n’avais pas remis en question le changement d’adresse e-mail, les articles m’auraient été expédiés et les 220 $ en espèces de Kohl auraient été longtemps dépensés par le criminel avant que j’aie eu l’occasion de reprendre les articles et de rectifier la situation.
Perry a déclaré qu’elle était choquée par la complexité et le bon sens de l’arnaque.
« Les personnes derrière cela font clairement tout leur possible non seulement pour frauder un compte, mais aussi pour gêner autant que possible le client concerné », a-t-elle déclaré. «Je pense que Kohl a bien géré la situation dans l’ensemble; la notification par e-mail d’un changement de compte est plus que ce que j’obtiens de certains autres sites d’achat en ligne, et ils ont pu annuler l’argent de Kohl. Pourtant, je suis un peu surpris qu’ils ne fassent rien pour sensibiliser leur clientèle.
Contacté pour commenter la tendance à la fraude apparente, le porte-parole de Kohl Jen Johnson a déclaré que la société « est au courant d’un nombre limité de cas où des fraudeurs ont obtenu des informations de connexion de sources extérieures pour effectuer des achats afin de gagner de l’argent de Kohl ».
« Nous travaillons toujours pour protéger l’expérience d’achat de nos clients et continuerons à chercher des moyens de rendre la tâche plus difficile pour les fraudeurs à l’avenir », a écrit Johnson dans un communiqué envoyé par e-mail. « Le service client est une priorité absolue pour Kohl’s et, comme toujours, nous travaillerons avec tout client qui a eu une expérience moins qu’optimale. Comme bonne pratique, nous encourageons les clients à changer régulièrement leurs mots de passe et à ne pas utiliser le même mot de passe pour plusieurs comptes.
Ce type de fraude provient généralement du fait que les clients choisissent des mots de passe faibles ou réutilisent le même mot de passe sur plusieurs sites. Cependant, Perry a déclaré qu’elle était toujours perplexe quant à la façon dont les voleurs ont pu obtenir son mot de passe, qui, selon elle, était une phrase de 11 caractères et de trois mots qu’elle n’utilisait sur aucun autre site.
On ne sait pas combien est perdu chaque année à cause de la fraude aux points et récompenses, mais l’industrie est mûre pour la cueillette : les experts du programme de fidélité de Colloque.com a estimé en 2011 que quelque 2,6 milliards d’adhésions de fidélité ont généré 48 milliards de dollars en points et miles récompensés.
Avez-vous été victime d’une fraude similaire chez des marchands qui offrent des points de récompense ou de l’argent ? Sonnez dans les commentaires ci-dessous.