BBVA Mexico : Comment protéger les entreprises clientes contre l'ingénierie sociale et d'autres attaques

Nous avons récemment rejoint BBVA Mexico pour discuter de la technologie de sécurité qu'elle utilise pour protéger ses clients des services bancaires aux entreprises contre les escroqueries par hameçonnage et d'autres types d'attaques frauduleuses.

BBVA est l'une des plus grandes institutions financières au monde avec des opérations dans le monde entier, y compris en Amérique latine. En 2020, BBVA a été désignée comme la meilleure banque d'Amérique latine par le magazine Euromoney. BBVA est également la plus grande banque du Mexique, où notre invité, Omar Bolaños, est basé. M. Bolaños est vice-président de la gestion de trésorerie chez Corporate & Investment Banking (CIB) pour BBVA México.

Au cours de la discussion, M. Bolaños a expliqué comment BBVA s'attache à rendre les services bancaires numériques sûrs et pratiques pour ses clients commerciaux, en particulier contre l'ingénierie sociale et les attaques de type "person-in-the-middle" (également appelées "attaques de l'homme du milieu" ). Si vous avez manqué cette présentation très appréciée, vous trouverez ci-dessous un résumé de 5 minutes. Vous pouvez également accéder à la présentation complète à la demande. (en espagnol uniquement)

Qu'est-ce que l'ingénierie sociale ?

Lorsque des cybercriminels manipulent des personnes afin de voler des informations précieuses et sensibles, on parle d'attaque par ingénierie sociale. Presque tous les types d'attaques de cybersécurité contiennent une forme ou une autre de tactique d'ingénierie sociale.
Voici quelques-uns des types d'attaques d'ingénierie sociale les plus courants :

Les attaques par hameçonnage

L'une des attaques d'ingénierie sociale les plus courantes est le phishing. Il s'agit d'une technique d'ingénierie sociale utilisée pour escroquer les informations financières ou les identifiants de connexion d'un titulaire de compte en ligne en se faisant passer pour une personne de confiance telle qu'une banque.

Le phishing est une forme d'ingénierie sociale qui exploite la tendance naturelle de l'être humain à faire confiance. Les escroqueries par hameçonnage usurpent souvent l'identité de marques connues et de personnes de confiance, paraissant trompeusement légitimes lorsqu'elles sont exécutées avec soin. Le phishing est pratiqué de différentes manières, notamment par le biais de messages SMS (smishing), d'escroqueries verbales (vishing, c'est-à-dire par le biais d'appels téléphoniques), de services de messagerie tels que Skype et de messages sur les médias sociaux.

La forme la plus courante d'attaque par hameçonnage est le courrier électronique. Un courriel de phishing vise à créer un sentiment d'urgence, souvent en alertant l'utilisateur que son compte est en danger. Les destinataires sont alors persuadés de cliquer sur des liens qui :

• Qui les redirigent vers un faux site web bancaire conçu pour capturer leurs identifiants de connexion, ou
• Leur demandent d'ouvrir une pièce jointe qui, en réalité, installera un logiciel malveillant permettant de récupérer les informations d'identification. (Dans le cas des utilisateurs mobiles, il n'est même pas nécessaire de télécharger une pièce jointe. Au lieu de cela, un lien malveillant dans un message texte peut diriger un utilisateur vers une page web qui télécharge automatiquement un logiciel malveillant sur son appareil)

Les logiciels malveillants peuvent également écouter les communications entre le client et la banque et les renvoyer à l'attaquant afin d'organiser une cyberattaque.

Attaques par appât

L'appât est un autre exemple d'ingénierie sociale. Comme son nom l'indique, l'appât utilise une fausse promesse pour attirer la curiosité de la victime. Les formes d'appât en ligne consistent en des publicités séduisantes qui mènent à des sites web malveillants ou qui encouragent les utilisateurs à télécharger un logiciel ou une application malveillante.

Attaques par faux-semblant

Le pretexting utilise une identité trompeuse pour établir la confiance avec la victime en se faisant passer pour des collègues, des policiers, des fonctionnaires ou d'autres personnes qui ont le droit de savoir. Des données personnelles et des informations confidentielles (numéros de sécurité sociale, adresses personnelles, informations sur les cartes de crédit ou les comptes bancaires, etc.) sont alors recueillies pour être utilisées à mauvais escient.

Attaques par filature

L'attaque par filature est une technique d'ingénierie sociale utilisée par les cybercriminels pour obtenir un accès non autorisé à une zone restreinte ou protégée par un mot de passe en suivant une personne ayant un accès autorisé.

Comment prévenir l'ingénierie sociale

Les transactions effectuées par les clients des services bancaires aux entreprises sont généralement beaucoup plus importantes et plus fréquentes que celles des clients des services bancaires aux particuliers. Cela a conduit à une augmentation du spear phishing, qui est une forme plus ciblée d'hameçonnage qui vise des cibles spécifiques de grande valeur, plutôt que des individus au hasard.

La plupart des banques s'appuient sur des applications et des dispositifs d'authentification à deux facteurs (2FA) pour l'authentification de l'utilisateur lors de la connexion ainsi que pour l'autorisation de transactions telles que les paiements et les transferts d'argent. Les codes de passe à usage unique émis par une application d'authentification ou un dispositif d'authentification matériel comme Digipass sont également utilisés pour repousser les attaques d'ingénierie sociale. Les filtres anti-spam, les pare-feu ou les logiciels antivirus sont également utilisés pour se protéger contre les cyber-attaques.

La technologie Cronto de OneSpan va plus loin, sans compromettre la commodité. Les codes Cronto sont similaires aux codes QR et contiennent des données cryptées spécifiques à chaque transaction. Lorsque les codes Cronto sont affichés sur le portail en ligne d'une banque, le client les scanne à l'aide de son Digipass OneSpan ou d'un smartphone de confiance vérifié, ce qui déverrouille un code d'accès à usage unique qui ne peut être lu que par ce client spécifique sur son téléphone spécifique. Le code autorise alors le paiement, le transfert d'argent ou toute autre transaction financière.

La technologie Cronto fournit également une couche de sécurité supplémentaire contre les attaques de type "person-in-the-middle". Dans ces attaques, les cybercriminels interceptent les transactions numériques à l'aide de logiciels malveillants ou en installant des points d'accès Wi-Fi malveillants. Dans les deux cas, les données qu'ils transfèrent peuvent être compromises, voire modifiées de manière malveillante.

Comment Cronto aide-t-il à se défendre contre ce scénario ? Si les données de la transaction ont été modifiées par un attaquant (appelé la personne au milieu parce que l'attaquant s'est injecté dans la communication entre le client et la banque à leur insu), elles ne correspondront pas au code Cronto et il ne sera pas possible d'autoriser cette transaction.

Les solutions Cronto créent une signature bancaire numérique unique pour chaque transaction, en utilisant des détails tels que le numéro de compte, le montant de la transaction ou tout autre texte ou message que la banque souhaite envoyer. Cette signature préserve l'intégrité des données et garantit l'authenticité. Cela signifie que si un acteur malveillant intercepte une transaction financière pendant qu'elle passe de l'ordinateur du client au serveur de la banque - et modifie les détails de la transaction pour augmenter le montant et réacheminer les fonds vers un autre compte - il ne sera pas possible d'autoriser la transaction et la banque l'annulera donc.

En déployant les solutions Cronto de OneSpan, la banque est en charge du processus d'autorisation de la transaction. Seule la banque peut initier la création d'un code Cronto, et seul l'appareil du destinataire peut scanner le code. Toutes les données sont cryptées et la communication entre le client et la banque est sécurisée.

Ce que les entreprises clientes de BBVA pensent de la technologie Cronto

BBVA a adopté les authentificateurs Digipass 760 et 785 avec la technologie Cronto pour deux raisons.

"Premièrement, il est très important pour nous d'utiliser les dernières technologies. Chez BBVA, nous investissons continuellement dans la sécurité et l'innovation. Ensuite, parce que Cronto est très visuel. Ce que vous voyez est ce que vous signez. Nos clients peuvent voir leur transaction à l'écran et confirmer qu'elle correspond à ce qui se trouve sur leur dispositif d'authentification", explique M. Bolaños.

Le code de type QR peut même transmettre des messages supplémentaires au client. Par exemple, supposons que le trésorier d'une organisation transfère de l'argent sur le compte d'un fournisseur. Si la banque a déjà identifié ce compte comme un compte mule, elle peut utiliser la technologie Cronto pour avertir le client dans un message lui demandant d'être prudent car le compte sur lequel il veut transférer de l'argent a été identifié comme un compte associé à des fraudes antérieures.

Les professionnels de la finance d'entreprise clients de BBVA ont expliqué comment la simplicité et la sécurité offertes par la technologie de OneSpan ont contribué à renforcer la fidélité à BBVA. Un trésorier mexicain a mentionné à quel point il est plus rapide d'utiliser un authentificateur Digipass pour autoriser une transaction - expliquant que c'est plus rapide que les processus utilisés par d'autres banques.

En outre, ils ont constaté que la technologie Cronto de OneSpan était très facile à utiliser. L'approche visuelle de Cronto pour l'autorisation des transactions simplifie l'expérience car elle réduit l'interaction de l'utilisateur nécessaire pour vérifier les détails de la transaction. Les clients n'ont qu'à pointer leur dispositif d'authentification Digipass (ou leur smartphone de confiance vérifié) vers l'écran et à saisir un code de réponse dans le navigateur. Tous les détails de la transaction cryptée peuvent ainsi être communiqués entre la banque et le client sans risque d'interception ou de falsification par des pirates informatiques.

Le résultat

Cette présentation a mis en évidence la façon dont les dispositifs Digipass de OneSpan, associés à la technologie brevetée Cronto de OneSpan, aident les banques - et leurs clients - à garder une longueur d'avance sur les cybercriminels qui utilisent des techniques d'ingénierie sociale pour compromettre les individus et les organisations. Les clients de BBVA ont exprimé leur confiance et leur satisfaction à l'égard des technologies et des politiques de sécurité robustes mises en place par BBVA, et ont indiqué qu'ils avaient l'intention de faire appel à BBVA plus souvent à l'avenir.

Pour en savoir plus sur le partenariat entre OneSpan et BBVA et sur la façon dont la technologie est utilisée pour protéger les personnes contre les attaques frauduleuses et les violations de données, regardez le webinaire à la demande. (en espagnol uniquement)