Comment arrêter les attaques de reprise de compte avec une surveillance continue et une authentification multifacteur adaptative

Les institutions financières investissent des millions chaque année dans la protection de leurs clients contre les escroqueries et les attaques frauduleuses. Malgré cet investissement, les pertes dues aux attaques frauduleuses continuent d'augmenter.

Pour protéger les clients contre la fraude numérique, les institutions financières (IF) authentifient généralement les utilisateurs lors de la connexion. Aux États-Unis, une enquête de 2019 a révélé que 96% des organisations interrogées a utilisé une forme de nom d'utilisateur et de mot de passe pour authentifier les utilisateurs, ainsi que d'autres méthodes d'authentification telles que l'authentification basée sur les connaissances (65%) et les mots de passe à usage unique (OPT) (50%). En Europe, l'authentification forte est mandatée par PSD2.

Cependant, les noms d'utilisateur, les mots de passe, les réponses secrètes et même authentification à deux facteurs (2FA), peuvent être vulnérables aux attaques d'accès non autorisées par hameçonnage, attaques par superposition et logiciels malveillants. Dans son article sur comment les attaquants contournent la 2FA moderne à l'aide d'outils de phishing et d'imitation de navigateur avancés , Ben Balthazar illustre comment les attaques de phishing peuvent être modernisées pour vaincre l'authentification à deux facteurs lors de la connexion, affirmant que «la mise en œuvre de 2FA à elle seule n'offre pas une protection complète contre le phishing.»  

Les consommateurs et les régulateurs poussent désormais les IF à adopter des méthodes d'authentification plus solides et sans mot de passe pour la connexion afin d'améliorer la sécurité des comptes et l'expérience utilisateur. Dans une récente enquête Visa auprès de 1000 États-Unis les consommateurs, 52% ont déclaré qu'ils changeraient de banque si leur banque n'offrait pas d'authentification biométrique A l'avenir.

Alors que les méthodes d'authentification sans mot de passe telles que la biométrie peuvent aider à arrêter les attaquants au point d'accès, l'apprentissage automatique et la surveillance continue de la fraude peuvent aider les IF à détecter et à arrêter les attaques de prise de contrôle de compte même lorsque les méthodes d'authentification sécurisées telles que 2FA ont été contournées. Cela peut être réalisé grâce à une sécurité renforcée et à une adaptation contextuelle authentification multifacteur (AMF).

La surveillance continue de la fraude permet également aux IF de connaître le contexte (raison) derrière chaque demande d'authentification. Cela leur permet de déterminer non seulement si les informations d'authentification sont correctes, mais également si le contexte de chaque authentification demandée est authentique ou suspect. Cela crée des barrières supplémentaires pour les fraudeurs tout en protégeant l'utilisateur.

État actuel de la fraude par reprise de compte

En 2020, la Federal Trade Commission (FTC) des États-Unis a signalé que les consommateurs américains avaient souffert 1,9 milliard de dollars de pertes dues à la fraude en 2019 - une augmentation de 293 millions de dollars par rapport à 2018. Dans un rapport commandé par l'Union européenne, les analystes ont estimé que environ 24 milliards EUR de pertes financières auraient pu être encourues par la population adulte de l'UE à la suite d'escroqueries et de fraudes entre 2018 et 2020.

La fraude par prise de contrôle (ATO) est l'une des principales causes de pertes dues à la fraude pour les banques et les institutions financières. Dans une vidéo 2019 , Julie Conroy, directrice de recherche chez Aite Group, explique que «la prise de contrôle de compte est l’une des préoccupations majeures dans pratiquement toutes les conversations que nous avons avec les institutions financières, les FinTech et les commerçants en ligne.»

Greg Hancell, expert en fraude chez OneSpan, est d'accord: «La prise de contrôle de compte augmente car la manière dont les acteurs malveillants peuvent accéder aux informations personnelles est beaucoup plus rapide maintenant. L'année dernière et l'année précédente, environ 3,2 milliards d'enregistrements de données personnelles ont été compromis. Notre identité n'est pas la nôtre. Si vous êtes un attaquant, vous pouvez très facilement obtenir des informations personnelles et effectuer une attaque de prise de contrôle de compte. »

Une reprise de compte se produit lorsque le compte bancaire d'un client est «cambriolé» numériquement et agi par un attaquant. Les méthodes et les stratagèmes utilisés par les attaquants pour obtenir frauduleusement l'accès aux informations d'identification du compte d'un client évoluent continuellement. Celles-ci incluent l'obtention de données à partir de violations de données, de logiciels malveillants, de phishing et d'autres attaques d'ingénierie sociale telles que les escroqueries téléphoniques ( en savoir plus sur les schémas de fraude courants ).

Pour le client attaqué, ces attaques peuvent entraîner des paiements frauduleux aux nouveaux bénéficiaires ajoutés, ou l'attaquant peut demander un nouveau produit en utilisant les informations d'identification du client. Certaines attaques de prise de contrôle de compte entraînent le verrouillage complet du client de son compte et la modification ou la compromission de son adresse e-mail de récupération et de son numéro de téléphone.

Pour les IF, l'impact des attaques de prise de contrôle de compte peut aller bien au-delà des pertes financières. Ils peuvent amener les clients à perdre confiance dans la banque et peuvent avoir un impact sur la confiance et la croissance des consommateurs. Le temps et les efforts humains nécessaires pour récupérer, arrêter et enquêter sur l'attaque peuvent également être importants. 

Comment les banques peuvent mieux détecter et prévenir les attaques de reprise de compte

Les attaques de prise de contrôle de compte coûtent des milliards aux banques et aux assureurs en paiements et en compensation aux clients. Pour réduire ces pertes, les IF doivent trouver des moyens de détecter quand un attaquant tente d'accéder à un compte, et quand un attaquant tente d'effectuer une action ou des transactions frauduleusement à l'intérieur du compte d'un client. Ils doivent également empêcher que cela se produise.

En bref, ils doivent aborder la question de la confiance - quand peuvent-ils avoir confiance qu'un utilisateur authentique accède et utilise leur compte, et comment peuvent-ils déterminer quand une attaque est en cours? Pour résoudre ce problème, les IF ont besoin d'une approche profondément innovante - une approche qui permet la collecte et l'analyse de vastes données cross-canal pour détecter la fraude en temps réel.

Greg Hancell explique comment les IF peuvent détecter la fraude par prise de contrôle de compte grâce à une surveillance continue et à l'apprentissage automatique:

«Dans le passé, la façon dont nous authentifiions les utilisateurs pouvait être lors de la connexion ou d'une transaction. Alors que maintenant, nous avons une abondance de données parce que les utilisateurs accèdent à leur compte via le Web ou les services bancaires mobiles, et il y a des événements qui sont constamment diffusés vers les institutions financières au fur et à mesure qu'un utilisateur progresse dans son parcours utilisateur.

Ce passage à la banque numérique se prête bien à une surveillance continue, la capacité de surveiller tous les événements qui se produisent - pas seulement la connexion et la transaction, mais aussi la demande d'un solde ou la création d'un nouveau bénéficiaire et / ou la création d'un utilisateur ou changer d'utilisateurs. »

Hancell poursuit en expliquant comment la surveillance continue et l'apprentissage automatique peuvent être utilisés pour analyser le comportement `` normal '' de l'utilisateur - comme la façon dont il interagit avec l'appareil, comment il tape, glisse et glisse sur une page, et comment ils généralement établir et interagir avec les sessions. Cela crée un profil de leur comportement normal.

L'apprentissage automatique peut ensuite être utilisé pour opposer le comportement normal de l'utilisateur à un comportement suspect, tel que le comportement d'un bot ou d'un attaquant. Lorsqu'un comportement suspect est détecté, les institutions financières peuvent demander une authentification supplémentaire à l'utilisateur pour contester l'accès ou les transactions en cours. Si l'utilisateur peut passer l'obstacle de sécurité et s'authentifier, il peut continuer. S'ils ne le peuvent pas, le processus est arrêté et la fraude est évitée.

Pourquoi les institutions financières doivent faire de la prévention des ATO une priorité

En mars 2019, un enquête a révélé que 90% des banques interrogées retardé dans leur capacité à authentifier les clients et à renforcer la sécurité en fonction du risque d'une action ou d'une transaction. Le plus grand défi pour détecter et prévenir la fraude grâce à l'authentification et à la sécurité renforcée était une dépendance excessive aux informations d'identification telles que les noms d'utilisateur et les mots de passe. L'enquête a également révélé que 44% des répondants étaient confrontés à l'utilisation d'informations d'identification légitimes exposées dans des violations de données et des programmes d'ingénierie sociale dans le cadre de tentatives d'authentification de prise de contrôle de compte.

Les informations d'identification statiques telles que les noms d'utilisateur, les adresses e-mail et les réponses secrètes sont vulnérables aux attaques, car les utilisateurs ont tendance à répéter les informations d'identification sur plusieurs sites Web, profils de réseaux sociaux et comptes d'inscription. Une fois qu'un site Web est compromis, les attaquants ont accès aux autres comptes de l'utilisateur. Greg Hancell explique que «les utilisateurs ont tendance à avoir un seul point de compte de reprise après panne (c'est-à-dire un compte de messagerie). Une fois ce problème résolu, vous pouvez consulter leurs e-mails précédents et effectuer une reprise de compte sur tous les comptes qui y sont associés.

Julie Conroy explique comment les noms d'utilisateur et les mots de passe sont vulnérables aux attaques frauduleuses :

«Les consommateurs sont vraiment paresseux d'utiliser le nom d'utilisateur et les mots de passe de manière appropriée, et nous avons donc plusieurs enquêtes qui montrent que la majorité des consommateurs utilisent la même poignée de nom d'utilisateur et de mots de passe dans toutes leurs relations en ligne. Les méchants le savent aussi, et ils exploitent la technologie pour perpétrer et automatiser les attaques de bourrage d'informations d'identification.

Depuis le début de la pandémie de COVID-19, les attaquants ont lancé un afflux d'attaques de phishing conçu pour capturer les informations d'identification des consommateurs et d'autres informations personnelles. Une fois que les informations d'identification sont violées, les attaquants peuvent automatiser les attaques de bourrage d'informations d'identification pour voir dans combien de comptes de commerce électronique ou de comptes bancaires différents les informations d'identification violées les introduiront. »

Authentifier les utilisateurs lors de la connexion et utiliser uniquement les informations d'identification n'est plus une option. Cabinet d'analystes KuppingerCole soutiennent "Le seul besoin d'un nom d'utilisateur / mot de passe pour accéder aux systèmes bancaires en ligne ou mobiles est largement insuffisant pour la sécurité du compte." Les institutions financières doivent surveiller en permanence les actions et le comportement de l'utilisateur pour détecter les acteurs suspects et contester la sécurité de la configuration lorsqu'un risque est détecté.

Une banque commerciale de premier plan utilise la surveillance de la fraude pour détecter la fraude

Avec l'augmentation spectaculaire des stratagèmes de fraude sophistiqués, une banque commerciale de premier plan avait besoin de la capacité d'analyser les transactions et le comportement des clients au sein d'une plateforme centralisée de gestion de la fraude. La Banque se tourne vers la surveillance continue de la fraude et l'analyse des risques basée sur l'apprentissage automatique pour détecter un large éventail de fraudes, y compris les tentatives de connexion non autorisées, les transferts d'argent suspects, etc., le tout en temps réel.

Comment la technologie d'authentification adaptative intelligente peut empêcher les reprises de comptes

Dans son article `` Résoudre le problème de la prévention de la fraude de plusieurs milliards de dollars '', le directeur du marketing des produits de sécurité de OneSpan, David Vergara, explique comment authentification adaptative intelligente La technologie peut être utilisée avec une surveillance continue et un apprentissage automatique pour fournir le niveau précis de sécurité au bon moment pour chaque transaction. La technologie utilise une analyse des risques en temps réel pour déterminer la ou les méthodes d'authentification les plus appropriées en fonction du niveau de risque.

En adaptant le flux d’authentification à chaque transaction unique, il est plus difficile pour les fraudeurs de prévoir et de planifier leurs attaques. Cette imprévisibilité contrecarre la tentative d'un fraudeur de prendre le contrôle d'un compte et de réaliser un profit. À mesure que les modèles contextuels et les circonstances propres à l'utilisateur évoluent, la technologie est suffisamment intelligente pour reconnaître ces changements et s'adapter.

Utilisé ensemble, analyse des risques et authentification adaptative peut être efficace pour atténuer le risque d'attaques de prise de contrôle de compte. La technologie a été reconnue par des cabinets d'analystes tels que KuppingerCole , Gartner, ISMG et Forrester, en tant que technologie de pointe pour les institutions financières qui cherchent à relever les défis liés à l'avancement des stratégies de cybercriminalité et à l'évolution de la législation tout en protégeant les actifs financiers.

Les violations de données, le phishing et les attaques ATO sont en constante évolution

La fraude par prise de contrôle est une cause majeure de pertes financières pour les institutions financières. Dans une enquête menée par Aite Group, 89% des dirigeants d'institutions financières ont indiqué que la fraude par prise de contrôle cause la plus fréquente de pertes dans le canal numérique .

Pour réduire les pertes de fraude dues à la reprise de compte, les institutions financières doivent adopter une technologie qui s'appuie sur l'apprentissage automatique pour surveiller et analyser en permanence le comportement de chaque utilisateur afin de détecter les activités suspectes et renforcer la sécurité avec un défi d'authentification lorsqu'un risque est détecté.

Comme Trace Fooshee, analyste senior chez Aite Group conclut ses recherches sur Tendances de prise de contrôle de compte 2019 , «L'ère des attaques ATO à l'échelle industrielle est arrivée, et les enjeux pour les IF de rester compétitifs pour se défendre contre le paysage des menaces en constante évolution sont en augmentation.»