Comment arrêter les attaques de prise de contrôle des comptes avec une surveillance continue et une authentification multifacteur adaptative

Sarah Dixon, mai 14, 2020
How to Stop Account Takeover Attacks with Continuous Monitoring and Adaptive Multi-Factor Authentication

Les institutions financières investissent des millions chaque année pour protéger leurs clients contre les escroqueries et les fraudes. Malgré cet investissement, les pertes dues aux attaques de fraude continuent d’augmenter.

Pour protéger les clients contre la fraude numérique, les institutions financières (FI) authentifient généralement les utilisateurs sur la connexion. Aux États-Unis, une enquête menée en 2019 a révélé que 96 % des organisations interrogées utilisaient une forme quelconque de nom d’utilisateur et de mot de passe pour authentifier les utilisateurs, ainsi que d’autres méthodes d’authentification telles que l’authentification fondée sur le savoir (65 %) et les mots de passe ponctuaux (OPT) (50 %). En Europe, une forte authentification est obligatoire par PSD2.

Cependant, les noms d’utilisateur, mots de passe, réponses secrètes et même -ERR:REF-NOT-FOUND-l’authentification à deux facteurs (2FA) peuvent être vulnérables aux attaques d’accès non autorisées par le phishing, les attaques de superposition et les logiciels malveillants. Dans son article sur -ERR:REF-NOT-FOUND-la façon dont les attaquants contournent 2FA moderne à l’aide d’outils avancés d’hameçonnage et d’imitation de navigateur avancé,Ben Balthazar illustre comment les attaques de phishing peuvent être modernisées pour vaincre l’authentification à deux facteurs à la connexion, déclarant que « la mise en œuvre de 2FA seule n’offre pas une protection complète contre l’hameçonnage. »  

Les consommateurs et les régulateurs poussent maintenant les IPP à adopter des méthodes d’authentification plus fortes et sans mot de passe pour la connexion afin d’améliorer la sécurité des comptes et l’expérience utilisateur. Dans une récente enquête sur les visas menée auprès de 1 000 consommateurs, -ERR:REF-NOT-FOUND-52 % ont affirmé qu’ils changeraient de banque si leur banque n’offrait pas d’authentification biométrique à l’avenir.

Bien que les méthodes d’authentification sans mot de passe telles que la biométrie puissent aider à arrêter les attaquants au point d’accès, l’apprentissage automatique et la surveillance continue de la fraude peuvent aider les FA à détecter et à arrêter les attaques de prise de contrôle de compte, même lorsque des méthodes d’authentification sécurisées telles que 2FA ont été contournées. Cela peut être réalisé grâce à des défis de sécurité et -ERR:REF-NOT-FOUND-d’authentification multifacteur adaptatif contextuelle (AMF).

La surveillance continue de la fraude permet également aux FI de connaître le contexte (raison) derrière chaque demande d’authentification. Cela leur permet de déterminer non seulement si les informations d’authentification sont correctes, mais aussi si le contexte de chaque authentification demandée est authentique ou suspect. Cela crée des obstacles supplémentaires pour les fraudeurs tout en protégeant l’utilisateur.

Fraude actuelle à la prise de contrôle de compte

En 2020, la Federal Trade Commission (FTC) des États-Unis a signalé que les consommateurs américains avaient subi -ERR:REF-NOT-FOUND-des pertes de fraude de 1,9 milliard de dollars en 2019, soit une augmentation de 293 millions de dollars par rapport à 2018. Dans un rapport commandé par l’Union européenne, les analystes estiment -ERR:REF-NOT-FOUND-qu’environ 24 milliards d’euros de pertes financières auraient pu être encourues par la population adulte de l’UE à la suite d’escroqueries et de fraudes entre 2018 et 2020.

La fraude à la prise de contrôle de compte (ATO) est l’une des principales causes de pertes de fraude pour les banques et les institutions financières. Dans -ERR:REF-NOT-FOUND-une vidéo de 2019, Julie Conroy, directrice de recherche chez Aite Group, explique que « la prise de contrôle des comptes apparaît comme l’une des préoccupations numéro un dans à peu près toutes les conversations que nous avons avec les institutions financières, les FinTech et les marchands de commerce électronique. »

Greg Hancell, expert en fraude chez OneSpan, abonde dans le même sens : « La prise de contrôle des comptes augmente parce que la façon dont les acteurs malveillants peuvent arriver à des renseignements personnels est beaucoup plus rapide maintenant. L’année dernière et l’année précédente, environ 3,2 milliards de données personnelles ont été compromises. Notre identité n’est pas la nôtre. Si vous êtes un attaquant, vous pouvez très facilement obtenir des informations personnelles et effectuer une attaque de prise de contrôle de compte.

Une prise de contrôle de compte se produit lorsque le compte bancaire d’un client est numériquement «brisé» et agi par un attaquant. Les méthodes et les stratagèmes utilisés par les attaquants pour obtenir frauduleusement l’accès aux informations d’identification du compte d’un client sont en constante évolution. Il s’agit notamment d’obtenir des données à partir de violations de données, de logiciels malveillants, d’hameçonnage et d’autres attaques d’ingénierie sociale telles que les escroqueries téléphoniques-ERR:REF-NOT-FOUND-(lire la suite sur les stratagèmes de fraude courants).

Pour le client attaqué, ces attaques peuvent entraîner des paiements frauduleux aux bénéficiaires nouvellement ajoutés, ou l’attaquant peut demander un nouveau produit en utilisant les informations d’identification du client. Certaines attaques de prise de contrôle de compte ont pour résultat que le client est complètement exclu de son compte et que son e-mail de récupération et son numéro de téléphone sont modifiés ou compromis.

Pour les IA, l’impact des attaques de prise de contrôle de compte peut aller bien au-delà des pertes financières. Ils peuvent amener les clients à perdre confiance dans la banque et peuvent avoir un impact sur la confiance et la croissance des consommateurs. Le temps et les efforts humains déployés pour récupérer, arrêter et enquêter sur l’attaque peuvent également être importants. 

Comment les banques peuvent mieux détecter et prévenir les attaques de prise de contrôle de compte

Les attaques à la prise de contrôle de compte ont coûté des milliards de dollars aux banques et aux assureurs en paiements et en compensations aux clients. Pour réduire ces pertes, les UI doivent trouver des moyens de détecter lorsqu’un attaquant tente d’obtenir l’accès à un compte, et lorsqu’un attaquant tente d’effectuer une action ou des transactions frauduleusement à l’intérieur du compte d’un client. Ils doivent également éviter que cela n’ait lieu.

En bref, ils doivent aborder la question de la confiance - quand peuvent-ils croire qu’un véritable utilisateur accède et utilise son compte, et comment peut-il déterminer quand une attaque est en cours? Pour résoudre ce problème, les FI ont besoin d’une approche profondément innovante - qui permet la collecte et l’analyse de vastes données transcanal pour détecter la fraude en temps réel.

Greg Hancell explique comment les FI pourraient détecter la fraude par prise de contrôle de compte par la surveillance continue et l’apprentissage automatique :

« Dans le passé, la façon dont nous authentifions les utilisateurs pourrait être pendant la connexion ou une transaction. Alors que maintenant, nous avons une abondance de données parce que les utilisateurs accèdent à leur compte via le web ou les services bancaires mobiles, et il ya des événements qui sont constamment en streaming vers les institutions financières comme un utilisateur progresse à travers leur voyage utilisateur.

Ce passage à la banque numérique se prête bien à une surveillance continue, à la capacité de surveiller tous les événements qui se produisent - non seulement la connexion et la transaction, mais aussi à demander un équilibre ou à créer un nouveau bénéficiaire et/ou à créer un utilisateur ou à changer d’utilisateur.

Hancell poursuit en expliquant comment la surveillance continue et l’apprentissage automatique peuvent être utilisés pour analyser le comportement «normal» de l’utilisateur - comme la façon dont ils interagissent avec l’appareil, comment ils tapent, glisser et glisser à travers une page, et comment ils établissent et interagissent généralement avec les sessions. Cela crée un profil de leur comportement normal.

L’apprentissage automatique peut alors être utilisé pour comparer le comportement normal de l’utilisateur contre un comportement suspect, comme le comportement d’un bot ou d’un attaquant. Lorsque un comportement suspect est détecté, les institutions financières peuvent -ERR:REF-NOT-FOUND-demander à l’utilisateur une authentification supplémentaire pour contester l’accès ou les transactions en cours. Si l’utilisateur peut passer l’obstacle de sécurité et authentifier, il peut procéder. S’ils ne le peuvent pas, le processus est arrêté et la fraude est évitée.

Pourquoi les institutions financières doivent faire de la prévention de l’ATO une priorité

En mars 2019, une enquête américaine -ERR:REF-NOT-FOUND-a révélé que 90 % des banques interrogées étaient en retard dans leur capacité à authentifier leurs clients et à renforcer la sécurité en fonction du risque d’action ou de transaction. Les plus grands défis à relever pour détecter et prévenir la fraude par l’authentification et la sécurité progressive était une dépendance excessive à l’égard des informations d’identification telles que les noms d’utilisateur et les mots de passe. L’enquête a également révélé que 44 % des répondants ont été mis au défi par l’utilisation d’informations d’identification légitimes exposées dans les violations de données et les systèmes d’ingénierie sociale dans le cas d’authentification des tentatives de prise de contrôle de compte.

Les informations d’identification statiques telles que les noms d’utilisateur, les adresses e-mail et les réponses secrètes sont vulnérables aux attaques, car les utilisateurs ont tendance à répéter leurs informations d’identification sur plusieurs sites Web, profils de médias sociaux et comptes d’inscription. Une fois qu’un site Web est compromis, les attaquants ont accès aux autres comptes de l’utilisateur. Greg Hancell explique que « les utilisateurs ont tendance à avoir un seul compte de récupération de points d’échec (c.-à-d. un compte de messagerie). Une fois cela surmonté, vous pouvez revoir leurs e-mails antérieurs et effectuer la prise de contrôle de compte contre tous les comptes qui y sont liés.

Julie Conroy explique -ERR:REF-NOT-FOUND-comment les noms d’utilisateur et les mots de passe sont vulnérables aux attaques de fraude:

« Les consommateurs sont vraiment paresseux à l’égard de l’utilisation du nom d’utilisateur et des mots de passe de façon appropriée, et nous avons donc plusieurs enquêtes qui montrent que la majorité des consommateurs utilisent la même poignée de noms d’utilisateur et de mots de passe dans toutes leurs relations en ligne. Les méchants le savent aussi, et ils tirent parti de la technologie pour perpétrer et automatiser les attaques de farce d’identification.

Depuis le début de la pandémie coVID-19, les attaquants ont lancé un -ERR:REF-NOT-FOUND-afflux d’attaques d’hameçonnage conçues pour capturer les informations d’identification des consommateurs et d’autres renseignements personnels. Une fois les informations d’identification violées, les attaquants peuvent automatiser les attaques de farce d’identification pour voir combien de comptes de commerce électronique ou de comptes bancaires différents les informations d’identification violées les intégreront.

L’authentification des utilisateurs à la connexion et à l’utilisation d’informations d’identification seules n’est plus une option. Le cabinet d’analystes -ERR:REF-NOT-FOUND-KuppingerCole soutient que « le fait d’exiger un nom d’utilisateur/mot de passe pour accéder à des systèmes bancaires en ligne ou mobiles est nettement insuffisant pour la sécurité des comptes ». Les institutions financières doivent surveiller en permanence les actions et le comportement de l’utilisateur afin de détecter les acteurs suspects et de contester la sécurité de configuration lorsque le risque est détecté.

Une banque commerciale de premier plan utilise la surveillance de la fraude pour détecter la fraude

Avec l’augmentation spectaculaire des stratagèmes de fraude sophistiqués, une banque commerciale de premier plan avait besoin de la capacité d’analyser les transactions et le comportement des clients au sein d’une plate-forme centralisée de gestion de la fraude. La banque -ERR:REF-NOT-FOUND-se tourne vers la surveillance continue de la fraude et l’analyse des risques à la machine pour détecter un large éventail de fraudes, y compris les tentatives de connexion non autorisées, les transferts d’argent suspects et plus encore, le tout en temps réel.

Comment la technologie d’authentification adaptative intelligente peut arrêter les prises de contrôle de compte

Dans son article 'Solving the Multi-billion Dollar Fraud Prevention Problem', OneSpan Director of Security Product Marketing David Vergara explique comment la technologie -ERR:REF-NOT-FOUND-intelligente d’authentification adaptative peut être utilisée avec une surveillance continue et l’apprentissage automatique pour fournir le niveau précis de sécurité au bon moment pour chaque transaction. La technologie utilise l’analyse des risques en temps réel pour déterminer la méthode d’authentification la plus appropriée(s) en fonction du niveau de risque.

L'adaptation du flux d'authentification à chaque transaction unique rend plus difficile pour les fraudeurs de prévoir et de planifier leurs attaques. Cette imprévisibilité contrecarre la tentative d’un fraudeur de prendre la charge d’un compte et de réaliser un profit. Au fur et à mesure que les modèles et les circonstances contextuels particuliers de l’utilisateur évoluent, la technologie est suffisamment intelligente pour reconnaître ces changements et s’adapter.

Utilisés ensemble, -ERR:REF-NOT-FOUND-l’analyse des risques et -ERR:REF-NOT-FOUND-l’authentification adaptative peuvent être mis en évidence efficace pour atténuer le risque d’attaques de prise de contrôle de compte. La technologie a été reconnue par des cabinets d’analystes tels que -ERR:REF-NOT-FOUND-KuppingerCole, -ERR:REF-NOT-FOUND-Gartner, -ERR:REF-NOT-FOUND-ISMG et Forrester, comme une technologie de premier plan pour les institutions financières qui cherchent à relever les défis de l’avancement des stratégies de cybercriminalité et l’évolution de la législation tout en protégeant les actifs financiers.

Les violations de données, l’hameçonnage et les attaques aTO sont en constante évolution

La fraude aux prises de contrôle de comptes est l’une des principales causes de pertes financières pour les institutions financières. Dans une enquête réalisée par Aite Group, 89% des dirigeants d’institutions financières ont indiqué que la fraude aux prises de contrôle des comptes était la cause la -ERR:REF-NOT-FOUND-plus fréquente de pertes dans le canal numérique.

Pour réduire les pertes de fraude dues à la prise de contrôle de compte, les institutions financières doivent adopter une technologie qui tire parti de l’apprentissage automatique pour surveiller et analyser en permanence le comportement de chaque utilisateur afin de détecter les activités suspectes et d’intensifier la sécurité avec un défi d’authentification lorsque le risque est détecté.

Comme le conclut Trace Fooshee, analyste senior chez Aite Group dans ses recherches sur les tendances des prises de contrôle des -ERR:REF-NOT-FOUND-comptes en 2019, « l’ère des attaques ATO à l’échelle industrielle est là, et les enjeux de table pour que les IS restent compétitifs dans la défense contre le paysage des menaces en constante évolution sont en augmentation. »

Couverture ebook
E-book

Piratage de compte : Garantir la protection de ses clients et de son activité

Luttez contre le piratage de compte et protégez vos clients à chaque étape de leur parcours numérique.

Télécharger

Sarah est une experte en marketing technologique avec plus de 9 ans d'expérience en marketing dans le B2B SaaS à croissance rapide et les sociétés de services professionnels dans les services financiers et le droit.