Crédit : Photo par Dimitri Karastelev sur Unsplash
L’authentification à deux facteurs (2FA) a en fait été largement adopté par les services en ligne au cours des dernières années et l’activer est probablement la meilleure chose que les utilisateurs puissent faire pour la sécurité de leur compte en ligne. Confrontés à cette difficulté supplémentaire qui leur évite d’utiliser des mots de passe volés, les cybercriminels ont également dû s’adapter et développer des moyens innovants pour extraire des codes d’authentification à usage unique des utilisateurs.
Selon un nouveau rapport de la société de renseignement sur la cybercriminalité Intel 471, le développement le plus récent dans le contournement 2FA implique l’utilisation d’appels automatisés avec des messages interactifs qui sont indiqués pour tromper les utilisateurs en leur faisant remettre leurs mots de passe à usage unique (OTP) en temps réel alors que les ennemis tentent d’accéder leurs comptes. Tout cela est automatisé et géré à l’aide de robots basés sur Telegram, de la même manière que les équipes des organisations utilisent des robots Slack pour automatiser les flux de travail.
» Tous les services observés par Intel 471, qui n’ont fonctionné que depuis juin, soit exécuté via un bot Telegram, soit fourni une assistance aux consommateurs via un canal Telegram », ont déclaré les scientifiques. » Dans ces canaux d’assistance, les utilisateurs partagent généralement leur succès en utilisant le bot, gagnant généralement d’innombrables dollars sur les comptes des victimes. »
Ingénierie sociale automatisée par des bots
Il s’agit essentiellement d’attaques d’ingénierie sociale avec un haut niveau d’automatisation. Dans le passé, un opposant appelait manuellement une victime pour obtenir ses informations ou la ligne d’assistance clientèle d’une banque ou d’un fournisseur de services pour obtenir un accès non autorisé à un compte ; cela est maintenant passé à des appels scriptés effectués par des robots basés sur des commandes données dans un chat Telegram.
Les services vus par Intel 471 ont en fait des « modes » prédéfinis ou des scripts pour usurper l’identité de différentes banques populaires, ainsi que le paiement en ligne services tels que Google Pay, Apple Pay, PayPal et les fournisseurs de téléphonie mobile. Étant donné qu’ils ont commencé à vérifier cela, les chercheurs ont en fait vu un service appelé SMS Buster qui peut passer des appels en anglais et en français utilisé pour accéder illégalement à des comptes dans 8 banques différentes basées au Canada.
Un autre service appelé SMSRanger déclare un taux de réussite d’environ 80% si la victime répond à l’appel et que l’agresseur a fourni au bot des informations personnelles précises et actualisées sur les victimes. Compris comme « fullz » dans les cercles de la cybercriminalité, ces ensembles d’informations peuvent être obtenus auprès de divers forums et marchés souterrains.
Les robots imitent efficacement le fournisseur des victimes
Le taux de réussite élevé est plutôt inattendu. Habituellement, avec les plans 2FA ou OTP utilisés pour l’authentification de compte ou l’autorisation de transaction dans l’espace bancaire, l’utilisateur peut être appelé par un service automatisé au moyen d’un appel pour se voir offrir son code à usage unique unique. Néanmoins, ces services de cybercriminalité le font à l’envers : ils contactent les victimes pour leur demander de saisir les OTP qu’ils viennent de recevoir par SMS ou par d’autres moyens de leur véritable fournisseur de services.
Cela devrait être un demande et procédure inhabituelles pour la plupart des utilisateurs qui devraient déclencher des drapeaux rouges. Néanmoins, ces robots font un excellent travail en se faisant passer pour le fournisseur de la victime. Beaucoup ont des capacités d’usurpation de numéro de téléphone et l’attaquant peut définir le numéro de téléphone qu’il souhaite que le bot utilise lorsqu’il appelle la victime. Il s’agira généralement d’un numéro lié à la banque ou à l’opérateur de la victime.
Si les téléphones des victimes affichent un identifiant d’appelant auquel les victimes ont confiance et qu’elles identifient, il est plus probable qu’elles se conforment à la demande. De plus, le robot disposera d’informations individuelles à leur sujet que l’agresseur a emballées, y compris une autre couche de fiabilité.
En plus des appels automatisés, certains de ces services peuvent également automatiser les attaques par e-mail ou SMS et traiter le phishing des panneaux qui ciblent les comptes de réseaux sociaux comme Facebook, Instagram et Snapchat ; des services financiers comme PayPal et Venmo ; ou des applications d’investissement financier comme Robinhood ou Coinbase. Les cybercriminels paient des frais mensuels réguliers allant de 10 s à plusieurs dollars pour utiliser les robots, ce qui est un petit prix, sachant que chaque attaque efficace peut entraîner le vol d’innombrables dollars.
Les types 2FA robustes offrent plus de sécurité
» En général, les bots révèlent que certains types d’authentification à deux facteurs peuvent avoir leurs propres dangers pour la sécurité « , ont déclaré les chercheurs d’Intel 471. » Alors que les services OTP basés sur les SMS et les appels téléphoniques sont bien mieux que rien, les méchants ont trouvé des méthodes pour concevoir socialement leur méthode autour des sauvegardes. Des types plus robustes de 2FA – consistant en un mot de passe à usage unique basé sur le temps (TOTP ) provenant d’applications d’authentification, de codes basés sur des notifications push ou d’une clé de sécurité FIDO – offrent un degré de sécurité plus élevé que les alternatives basées sur les SMS ou les appels téléphoniques. «
Les utilisateurs doivent se méfier de tout appel téléphonique où l’appelant, qu’il soit un robot ou un humain, leur demande des informations personnelles, financières ou d’authentification. Avec 2FA largement déployé pour SaaS et d’autres comptes fournis par des entreprises aux membres du personnel, ces services représentent également un risque pour les organisations, pas seulement pour les consommateurs.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
