Essai gratuit

Au-delà de l'authentification : Pourquoi les dispositifs et l'intelligence comportementale sont désormais non négociables pour les banques

Sécurité des applications mobiles
Brian Pratama,
Mobile device risk intelligence and behavioral analytics detecting digital banking fraud patterns for online payment security

Sur le papier, les banques ont pris les mesures nécessaires pour lutter contre la fraude aux paiements dans la banque numérique : authentification multifactorielle (MFA), règles de surveillance des transactions qui signalent les paiements importants ou inhabituels, empreintes digitales des appareils et contrôles des risques de base exécutés en arrière-plan. Pourtant, les dépenses des institutions financières en matière de détection et de prévention des fraudes devraient augmenter de 85 % d'ici à 2030, passant de 21 milliards de dollars en 2025 à 39 milliards de dollars en 2030.

Cette évolution n'est pas surprenante au vu des derniers chiffres :

  • Lafraude par paiement push autorisé (APP) devrait entraîner des pertes mondiales de 331 milliards de dollars d' ici 2027. Au Royaume-Uni, 77 % des cas de fraude par APP ont commencé en ligne et 17 % par le biais de réseaux de télécommunications.
  • Lesescroqueries à l'investissement constituent la catégorie de fraude à la consommation la plus importante en termes de pertes, avec 5,7 milliards de dollars de pertes déclarées pour la seule année 2024, soit une hausse de 25 % d'une année sur l'autre.
  • Les pertes liées à l'usurpation d'identité et aux escroqueries au "compte sécurisé" ciblant les adultes américains plus âgés sont montées en flèche, passant de 55 millions de dollars en 2020 à 445 millions de dollars en 2024.

La vérité est que ces attaques passent souvent inaperçues aux yeux des contrôles traditionnels de détection des fraudes, simplement parce qu'elles ne ressemblent pas à une fraude du point de vue de la transaction.

Le problème principal n'est pas un mystère, il est structurel. La plupart des contrôles sont encore conçus pour arrêter les imposteurs, alors que la fraude moderne consiste de plus en plus à manipuler de vrais clients et à compromettre de vrais appareils.

Cela a créé une nouvelle réalité dans laquelle la frontière entre les transactions authentiques et frauduleuses s'est estompée.

Les banques doivent désormais adopter un point de vue plus large pour avoir une visibilité sur l'ensemble du parcours de l'utilisateur. Les banques doivent comprendre comment l'utilisateur se comporte, ce qui se passe sur l'appareil et si la transaction correspond à une intention légitime - et pas seulement qui est l'utilisateur et ce qu'il essaie de faire.

Principaux enseignements :

  • La fraude moderne manipule le comportement et les systèmes des clients : L'authentification forte du client (SCA) et le contrôle des transactions sont nécessaires. Toutefois, elles ne suffisent pas à mettre un terme à la fraude APP, qui consiste à contraindre des clients légitimes à autoriser des virements.
  • Les renseignements sur les risques liés aux appareils et aux logiciels malveillants sont essentiels : La compromission des appareils étant l'un des moyens préférés pour commettre des fraudes ces dernières années, les banques doivent adopter des contrôles de sécurité adéquats pour les atténuer.
  • Les analyses comportementales ne sont plus facultatives : Les banques doivent surveiller les comportements des utilisateurs tout au long des sessions de transaction afin d'identifier les déviations qui pourraient indiquer des tentatives de fraude. Cela permet de prévenir la fraude et de répondre aux exigences réglementaires qui imposent de plus en plus une approche comportementale de la détection des fraudes.
Pourquoi les banques ont-elles besoin de renseignements sur les appareils et les comportements ? Parce que les mesures de sécurité traditionnelles ne peuvent pas empêcher la fraude lorsque des clients légitimes sont manipulés pour autoriser des paiements. Les banques ont besoin de l'intelligence comportementale et de l'intelligence des appareils pour détecter les signaux cachés que l'authentification traditionnelle et les contrôles basés sur des règles ne peuvent pas voir.

Lorsque des utilisateurs légitimes deviennent des vecteurs : Comprendre les schémas de fraude modernes

La fraude par APP est plus qu'une simple attaque monolithique.

Alors qu'elle est souvent traitée comme une menace unique, la réalité est plus nuancée. La fraude APP est un terme générique désignant tout paiement push autorisé frauduleux, c'est-à-dire tout paiement pour lequel le client s'authentifie et autorise lui-même la transaction, mais le fait par tromperie, sous un faux prétexte ou sous la contrainte.

Il existe de nombreux modus operandi différents, mais ce qui les relie tous, c'est ceci : Les fraudeurs n'ont plus besoin d'être le client ; il leur suffit de l'influencer ou de compromettre son appareil.

Pour mieux comprendre ces schémas de fraude, ce blog explore deux exemples d'escroqueries par usurpation d'identité, utilisant différentes techniques d'attaque. Nous examinons également l'importance de l'analyse comportementale, parallèlement à l'analyse des appareils et des logiciels malveillants, pour aider à limiter les escroqueries par usurpation d'identité. Enfin, nous abordons le point de vue des régulateurs sur ces contrôles de sécurité.

Les escroqueries par usurpation d'identité

Dans les escroqueries par usurpation d'identité, les fraudeurs utilisent l'ingénierie sociale et la pression psychologique pour manipuler les victimes afin qu'elles autorisent les paiements à ces criminels. L'escroquerie à l'usurpation d'identité se déroule généralement de la manière suivante :

  1. 1. Le client reçoit un appel entrant d'un fraudeur qui prétend faire partie de l'équipe de lutte contre la fraude de la banque ou d'une autre partie digne de confiance. Le fraudeur affirme qu'il y a un problème de sécurité avec le compte ou l'appareil du client dans le but d'établir la confiance, tout en créant un faux sentiment de peur et d'urgence.
  2. 2. Le fraudeur demande au client de se connecter et de naviguer vers des écrans spécifiques, en fournissant souvent des noms de boutons et des chemins de menus exacts.
  3. 3. Le fraudeur guide sa victime tout au long du processus de création d'un transfert vers ce qu'il décrit comme un "compte sécurisé" pour une vérification temporaire des fonds ou une protection contre la fraude.
  4. 4. L'appelant peut aussi guider la victime sur les informations qu'elle verra et la préparer aux messages d'alerte ou d'avertissement de la banque, l'empêchant ainsi de reconnaître les signaux d'alerte.
  5. 5. La victime, suivant les instructions, effectue le transfert de fonds, croyant avoir protégé ses fonds.

L'hameçonnage vocal avec des outils d'accès à distance (RAT)

Dans cette méthode plus sophistiquée, les fraudeurs combinent l'ingénierie sociale et l'utilisation d'outils d'accès à distance (RAT) pour exécuter leur attaque. Le processus se déroule généralement de la manière suivante :

  1. 1. Le client reçoit un appel entrant du fraudeur qui prétend faire partie de l'équipe de lutte contre la fraude de sa banque ou d'une autre partie de confiance. Le fraudeur affirme qu'il y a un problème de sécurité avec son compte ou son appareil, afin d'instaurer la confiance tout en créant un faux sentiment de peur et d'urgence.

  2. 2. Le fraudeur demande au client de télécharger une application d'accès à distance qui est souvent un outil légitime tel que "AnyDesk", "TeamViewer" ou "Quick Assist". Le fraudeur peut également demander au client de télécharger une application malveillante connue sous le nom d'application "dropper".

    Une application "dropper" est une application malveillante déguisée en application légitime. Elle peut également être utilisée par les fraudeurs pour déployer à distance des logiciels malveillants dotés de capacités d'accès à distance.
  3. 3. Le client, qui fait confiance à l'appelant, télécharge et installe l'outil et fournit à l'escroc des capacités d'accès à distance.
  4. 4. Le fraudeur a maintenant le contrôle de l'appareil du client, ce qui lui permet de.. :
    a. Voir ce que le client voit en temps réel
    b. Contrôler le tapotement et le glissement de l'écran du client ou le mouvement de sa souris ou de son curseur
    c. Saisir les informations d'identification ou les détails de la transaction
    d. Manipuler l'affichage à l'écran
  5. 5. Le fraudeur peut ensuite demander au client de se connecter à son application bancaire pour effectuer des transactions directement sur l'appareil de la victime, pendant que le client regarde ce qui semble être une activité bancaire légitime.

Pourquoi les contrôles traditionnels échouent-ils ?

Les contrôles traditionnels de détection de la fraude excellent à déterminer le "qui" et le "quoi", mais ne prennent pas en compte le "comment". Dans les deux cas ci-dessus, un système traditionnel basé sur des règles verrait que la transaction a été effectuée :

  • Par un client connu
  • Sur son appareil habituel
  • En se connectant à l'application ou au site web bancaire authentique
  • En utilisant les bonnes informations d'identification
  • En réussissant tous les défis d'authentification
  • En approuvant lui-même la transaction

Cependant, le système traditionnel basé sur des règles ne prendrait pas en compte les éléments suivants

  • Le comportement de l'utilisateur par rapport à ses habitudes
  • La manière dont la session se déroule : avec confiance, de manière décisive, ou comme si l'utilisateur était guidé pas à pas
  • Le comportement de l'appareil : comme un appareil personnel sous le contrôle de l'utilisateur ou avec des signes de manipulation à distance, de superpositions et de logiciels malveillants
  • Comment l'utilisateur a pris la décision d'effectuer ce paiement - s'il y a eu un contact externe (par exemple, un appel téléphonique, une messagerie instantanée) pendant ou quelques minutes avant la transaction

Bien que les indicateurs contextuels, tels qu'un nouveau destinataire et un montant inhabituel, puissent être utilisés comme facteurs de risque, un trop grand nombre de transferts de ce type sont légitimes et pourraient donner lieu à de nombreux faux positifs. En fait, cela pourrait inciter les fraudeurs à jouer sur la durée pour "instaurer la confiance" dans le système en commençant par une petite somme d'argent afin d'amorcer leur compte destinataire pour des montants plus importants à l'avenir.

Si la banque ne comprend pas comment le client est arrivé à cette décision, un utilisateur manipulé ou un utilisateur dont l'appareil est compromis semble impossible à distinguer d'un utilisateur authentique. L'ensemble du parcours de la transaction, la séquence, le moment, les modèles d'interaction et la corrélation avec un événement externe (par exemple, un appel) peuvent raconter une histoire très différente.

L'analyse comportementale renforce la sécurité des transactions bancaires

L'analyse comportementale peut avoir de nombreuses significations dans le secteur. Dans le contexte de la prévention de la fraude, il s'agit d'apprendre comment un utilisateur se comporte normalement et de détecter les écarts significatifs en temps réel au cours de la session bancaire.

Plutôt que de s'appuyer sur des règles statiques telles que "signaler les paiements supérieurs à 10 000 dollars" ou "signaler les virements vers des pays à haut risque", les banques peuvent surveiller les comportements qui ne correspondent pas à la manière dont l'utilisateur se comporte habituellement. Les banques peuvent alors les ajouter en tant que signaux de risque de fraude supplémentaires avant d'avertir l'utilisateur ou de bloquer les transactions.

Par exemple, Fraud Risk Suite (FRS) permet aux banques d'observer les interactions en temps réel, telles que

  • Le temps passé à chaque étape d'une transaction
  • La façon dont les utilisateurs naviguent dans l'application bancaire
  • La cadence de frappe et d'interaction
  • Les modèles de toucher ou de souris
  • Les mouvements et la rotation de l'appareil

Ces points de données sont utilisés pour faire correspondre le comportement actuel de l'utilisateur au comportement attendu sur la base de sessions historiques (c'est-à-dire le modèle d'identité comportementale) afin d'établir des indicateurs de fraude APP tels que :

  • L'accompagnement ou le guidage : Un utilisateur qui est guidé pas à pas montre typiquement des schémas d'entrées lentes et de pauses lorsqu'il écoute des instructions, et de brusques poussées d'activité lorsqu'il suit une nouvelle instruction.
  • Stress ou contrainte : Un utilisateur sous pression peut multiplier les erreurs de frappe, les hésitations, les retours en arrière rapides et, finalement, les soumissions précipitées.
  • Contrôle à distance via un RAT : un utilisateur dont l'appareil est contrôlé à distance peut présenter les signes suivants :
    • Des schémas d'interaction qui s'écartent de manière significative des schémas de base
    • Des mouvements tactiles ou de souris qui ne sont pas caractéristiques d'un être humain
    • Une navigation précise et rapide qui semble programmatique

Lorsque l'on sait que des sessions bancaires numériques ont été menées par des fraudeurs, les données de ces sessions frauduleuses seront également utilisées pour établir un "modèle de fraudeur" qui peut être utilisé pour comparer le comportement d'un utilisateur authentique à celui d'un fraudeur connu. Ces modèles seront continuellement mis à jour à l'usage, ce qui permettra aux banques de détecter et de prévenir de manière proactive et précise les tentatives de fraude par APP.

Conférenciers Eward Driehuis de ThreatFabric et Brian Pratama de OneSpan sur fond bleu avec photos
Séminaire web à la demande

Maîtriser la chaîne de la fraude : Renseignements sur les menaces mobiles et prévention en temps réel

Les systèmes de détection des fraudes ne suffisent pas à protéger contre l'ATO, les escroqueries par usurpation d'identité et les attaques de phishing vocal. Découvrez ce qu'il faut faire.

Regarder

Renseignements sur les risques liés aux appareils : Une partie de la conversation sur l'analyse comportementale

En plus de servir de base aux capacités d'analyse comportementale de FRS, l'intelligence des risques liés aux appareils complète l'analyse comportementale en surveillant l'état de l'appareil et les risques liés aux logiciels malveillants, ou les facteurs de risque au-delà de l'élément humain. La visibilité de ces signaux de risque est cruciale pour combler les lacunes que les banques ont souvent dans leurs contrôles traditionnels.

En outre, bon nombre des attaques les plus préjudiciables impliquent également la compromission de l'appareil lui-même, en particulier sur les plates-formes mobiles. Par exemple, on a assisté à une recrudescence des logiciels malveillants mobiles ciblant spécifiquement les applications bancaires, avec un accent particulier sur les points suivants :

  • Les attaques par superposition : Faux écrans superposés à l'application bancaire pour voler les informations d'identification ou modifier les détails de la transaction que l'utilisateur ne peut pas voir
  • Les chevaux de Troie capables d'accéder à distance : Les logiciels malveillants qui permettent à des attaquants distants de voir l'écran en temps réel, de contrôler les frappes et les saisies, et d'injecter des commandes
  • Abus des services d'accessibilité : Conçus à l'origine pour les technologies d'assistance, ils sont aujourd'hui détournés par les fraudeurs pour lire et manipuler le contenu de l'écran à l'aide de logiciels malveillants

Lorsque le moteur de risque de l'appareil est utilisé avec des signaux comportementaux, les banques obtiennent un contexte encore plus riche pour le parcours de transaction de chaque client. En combinant les données sur le risque comportemental, les banques peuvent identifier en toute confiance les fraudes potentielles en répondant à des questions telles que :

  • Y a-t-il des logiciels malveillants connus dans l'appareil qui cible l'application ?
  • Des applications secondaires sont-elles installées dans l'application ?
  • Y a-t-il une session à distance active ou un outil de partage d'écran en cours d'exécution ?
  • L'appareil présente-t-il des signes de superposition d'écran ou d'abus d'autorisation d'accès ?
  • Y a-t-il un appel en direct pendant ou peu avant la transaction ?
  • La connexion de l'appareil est-elle sécurisée ? Un VPN, un proxy ou TOR est-il utilisé ?
  • La localisation réelle de l'appareil ne correspond-elle pas à la géolocalisation déclarée ?

Les attentes du marché évoluant de plus en plus vers des paiements instantanés et en temps réel, il est important que les banques fassent tout cela rapidement. La FRS enrichit les décisions en matière de risque en intégrant ces capacités directement dans les flux de sessions et de transactions, ce qui permet à l'équipe de renseignement sur les fraudes de prendre des décisions basées sur les signaux les plus riches possibles à ce moment-là, en temps réel.

Marquer le changement à travers les réglementations et les conditions du marché

Pendant des années, l'analyse comportementale a été considérée comme une innovation ou une capacité "agréable à avoir" qui distinguait les banques avant-gardistes des retardataires. Cette époque touche à sa fin, car l'analyse comportementale devient une attente réglementaire, et non plus une amélioration facultative.

Sur la base du projet actuel de règlement sur les services de paiement (PSR / PSD3) en Europe, nous nous attendons à ce que les banques soient tenues d'inclure l'intelligence des dispositifs ainsi que l'intelligence comportementale dans leurs systèmes de surveillance des transactions.

OneSpan
Contactez nous

Parlez à un expert en cybersécurité

Nous nous ferons un plaisir de répondre à vos questions et de vous présenter nos solutions.

Contactez nous
Brian Pratama headshot
Brian Pratama

Brian Pratama est Product Marketing Manager pour les solutions Mobile Security & Authentication chez OneSpan, où il élabore des stratégies de mise sur le marché pour l'authentification biométrique et sans mot de passe, la sécurité des applications mobiles et les technologies de prévention de la fraude, protégeant ainsi plus de 60 % des 100 plus grandes banques du monde. Avec près d'une décennie d'expérience dans le domaine du SaaS B2B à forte croissance, Brian a mené des initiatives de go-to

Contenu
Inscrivez-vous pour recevoir les mises à jour OneSpan
Partager