Comment les attaques de fraude de la ferme d'émulateurs exploitent les utilisateurs mobiles pour obtenir des résultats vertigineux

Nous hébergeons régulièrement des webémissions sur des sujets tels que la prévention de la fraude, l'authentification et les meilleures pratiques en matière de sécurité numérique. Si vous avez manqué notre récente webémission, Le drapeau rouge: ce que l'attaque de la ferme d'émulateurs signale pour la fraude mobile aux États-Unis hébergé par American Banker, voici le résumé de 5 minutes. L'intégralité de la présentation est disponible à la demande.

La pandémie a changé nos habitudes de multiples façons. Le secteur des services financiers ne fait pas exception, les clients se tournant de tout cœur vers la banque numérique et leurs appareils mobiles pour effectuer des transactions bancaires à distance. Cependant, cette augmentation de l'utilisation et du trafic sur le canal mobile n'est pas passée inaperçue par les escrocs, qui y voient une cible d'attaque de plus en plus lucrative.

Dans un récent sondage réalisé auprès de professionnels de la finance lors du webinaire, 77,3% ont confirmé une augmentation du nombre d'utilisateurs actifs mobiles au cours de la pandémie. Le même public a également signalé une augmentation de 47,5% de la fraude au sein de son organisation au cours de la dernière année. La ligne de tendance est claire - à mesure que la familiarité avec les applications bancaires mobiles continue de croître, le bassin de clients exposés et exposés au risque d'exploitation augmente parallèlement.

Anatomie d'une attaque de fraude mobile

Alors que le COVID-19 continuait de modifier le comportement des consommateurs, les cas globaux de fraude ont continué à augmenter. Les effectifs mondiaux se sont rapidement tournés vers le travail à distance pour maintenir la continuité des activités, ce qui a laissé les employés s'appuyer sur des appareils vulnérables et des réseaux personnels moins sécurisés pour s'acquitter de leurs tâches et exposer les données sensibles au risque d'être plus facilement compromises. Le vol d'identité était en hausse, ainsi que les attaques de phishing, les fraudes dans les applications et les factures et les attaques d'ingénierie sociale. Au cours de la dernière année seulement, la fraude par prise de contrôle de compte a connu une augmentation de 34% par rapport à 2019, représentant 54% de tous les événements liés à la fraude en 2020, selon un rapport récent .

En juin 2020, le FBI a émis un avertissement anticipant une augmentation du nombre d'attaques contre les clients des banques mobiles en raison de la flambée de l'utilisation des applications bancaires et du déclin de l'agence physique. Cet avertissement s'est concrétisé en décembre lorsqu'un énorme stratagème de fraude mobile connu sous le nom d '«attaque de ferme d'émulateur maléfique» a connu un niveau de succès sans précédent en raison de la vitesse et de l'ampleur incroyables de son fonctionnement. En utilisant un réseau d'émulateurs (technologie utilisée par les développeurs pour tester et interagir avec les applications via une simulation d'un appareil mobile), les pirates ont pu usurper des milliers d'appareils d'utilisateurs compromis et générer des transactions bancaires frauduleuses. Ils ont réussi à escroquer des millions de dollars auprès de titulaires de comptes bancaires aux États-Unis et à travers l'Europe en quelques jours.

Comment les appareils mobiles étaient vulnérables à l'attaque de la «ferme d'émulateurs maléfiques»

Les attaquants s'attaquent au fruit le plus bas. Étant donné que toutes les banques ne suivent pas les dernières tendances en matière de cybersécurité, les pirates savent qu'ils peuvent recycler les méthodes, la technologie et le format de leurs attaques tout en migrant d'une banque à l'autre.

Les escroqueries par hameçonnage et les logiciels malveillants sur les appareils infectés permettent aux pirates de récupérer le numéro de compte et les informations d'identification des titulaires de compte. Combinées avec des données sur les spécifications de l'appareil telles que la marque, le modèle et le système d'exploitation, ces informations sont introduites dans des émulateurs pour simuler avec succès un utilisateur légitime et y accéder. Les émulateurs étaient également capables d'automatiser le flux des interactions typiques des applications, d'intercepter les codes SMS pour l'autorisation et ainsi d'obtenir l'approbation de transaction pour dépouiller les comptes de leurs fonds.

Comment les SMS ont-ils contribué à cette attaque?

Bien que l'utilisation d'un mot de passe à usage unique (OTP) pour l'authentification par SMS soit meilleure que de se fier uniquement à des combinaisons de nom d'utilisateur et de mot de passe, il s'agit d'une forme d'authentification obsolète et peut présenter des risques. Le SMS est une technologie ancienne et envoyé via les ondes publiques. Il n'est ni sécurisé ni conçu pour être crypté et peut donc être facilement intercepté. L'équipement utilisé par les fraudeurs pour détourner les SMS est peu coûteux et facilement disponible, et les pirates peuvent exploiter des bases de données remplies de données récoltées. En outre, un utilisateur peut entrer son OTP dans une page Web en pensant authentifier une action réelle, mais au lieu de cela, il interagit avec un site de phishing. Ce manque d'informations contextuelles, lorsque les utilisateurs ne reçoivent pas de contexte expliquant pourquoi un code est généré, expose une autre vulnérabilité inhérente au fait de s'appuyer uniquement sur cette forme d'authentification.

Ce qui peut être fait? Solutions côté client et côté serveur

Étant donné que les fraudeurs tirent parti des données, les institutions financières devraient emboîter le pas en collectant le bon type de données et en les utilisant pour protéger leurs utilisateurs plutôt que d'en être victimes. Les banques ne peuvent plus se fier uniquement à une approche découplée de la surveillance de la fraude, comme les solutions de surveillance des appareils et des transactions, qui ne communiquent pas entre elles.

La connaissance de l'interaction ou la compréhension de la session est cruciale la collecte de données comportementales ou d'informations sur les parcours des utilisateurs et les chemins d'interaction typiques au sein d'une application bancaire ou d'un site Web devient particulièrement précieuse dans le contexte. Ces attributs, contrairement au type d'appareil et au système d'exploitation, ne peuvent pas être facilement vus ou volés par les fraudeurs. L'analyse continue côté serveur est un moyen de considérer chaque événement comme un flux ou un parcours de connexion, et pas seulement de manière isolée. Lors de l'utilisation de plusieurs appareils, il doit y avoir une corrélation entre l'appareil initiateur, par exemple un navigateur Web, et l'appareil d'authentification, souvent un téléphone mobile. S'agit-il des appareils normaux auxquels l'utilisateur a accédé dans le passé, ainsi que des comportements typiques au sein du canal? La surveillance continue des sessions garantit l'élimination de ces angles morts et diminue les risques d'abus.

Aller plus loin en matière de sécurité: protection des applications mobiles avec protection à l'exécution

Que devraient faire les banques en cas de manque de contrôle sur les appareils mobiles sur lesquels s'exécute leur application? Alors qu'une banque ne peut pas exiger que ses clients pratiquent une bonne hygiène de sécurité Internet ou leur interdire de télécharger par erreur des applications compromises, des défenses peuvent être mises en place. Le blindage proactif des applications mobiles protège les applications des environnements inconnus et potentiellement hostiles et offre une visibilité sur l'intégrité de l'application utilisée pour faciliter les transactions. La protection à l'exécution permet de surveiller et d'identifier en permanence les situations néfastes telles que les injections de logiciels malveillants et les superpositions d'écran, garantissant que l'application n'a pas été falsifiée et garantit que les données reçues d'un utilisateur sont exactes.

Conclusion

Alors que les cybercriminels continuent de tirer parti des progrès technologiques aux effets néfastes, les institutions financières qui cherchent à atténuer la fraude doivent adopter une approche dynamique et à plusieurs niveaux pour déjouer les attaques potentielles. L'intégration de la sécurité avancée des applications mobiles au moment de l'exécution pour détecter les émulateurs et d'autres outils d'attaquant peut atténuer le risque de stratagèmes avancés de fraude mobile, tels que l'attaque de la batterie d'émulateurs. En outre, des méthodes d'authentification modernes doivent être adoptées, et l'analyse continue des risques côté client et côté serveur et la surveillance des sessions peuvent fournir des niveaux supplémentaires de sécurité pour mieux protéger les clients et leurs données.

Pour en savoir plus sur les stratégies de sécurité mobile, veuillez regarder l'enregistrement de notre webinaire conjoint, Le drapeau rouge: ce que l'attaque de la ferme d'émulateurs signale pour la fraude mobile aux États-Unis . Pour en savoir plus sur la façon dont OneSpan peut être déployé pour atténuer les attaques frauduleuses, veuillez en savoir plus sur Protection des applications mobiles: comment réduire la fraude, économiser de l'argent et protéger les revenus .