Les pratiques de piratage de compte les plus répandues et comment s'en protéger

Magdalena Rut, mars 28, 2019
Top Account Takeover Fraud and How to Protect Against Them

Dans une enquête du groupe Aite, 89 % des dirigeants d'institutions financières (FI) ont indiqué que la fraude à la prise de contrôle de comptes (fraude ATO) était la cause la plus fréquente de pertes dans le canal numérique1.

La fraude à la prise de contrôle de compte est un type de crime de vol d'identité où les criminels ont accès aux données financières de la victime afin de réaliser un profit. Il est lié à mais diffère d'un autre type de vol d'identité appelé fraude d'identité synthétique. Dans un scénario de prise de contrôle de compte, un criminel utilise les données volées d'un client légitime ou des informations personnellement identifiables (PII) pour accéder à son compte existant. Avec la fraude d'identité synthétique, cependant, ces données seront entrelacées avec des détails fabriqués pour créer une fausse identité utilisée pour ouvrir un nouveau compte.

Les deux types de fraude peuvent causer de graves dommages à vos clients. Dans ce billet de blog, nous nous concentrerons sur la fraude de prise de contrôle de compte en décrivant certaines des stratégies de prise de contrôle de compte les plus pernicieuses et explorerons comment, en appliquant une approche à plusieurs niveaux, les IMF peuvent détecter et protéger contre ce type de fraude.

Techniques de fraude de prise de contrôle de compte

Violations de données

Certaines attaques de prise de contrôle de compte commencent par des fraudeurs qui récoltent des données personnelles. Cela peut se produire bien avant qu'une transaction frauduleuse ait lieu. Les mauvais acteurs achètent simplement des données personnelles divulguées dans le cadre d'une violation de données précédente. Les nombreuses violations récentes des grandes entreprises ont exposé des milliards de noms d'utilisateur, adresses e-mail, mots de passe, numéros de carte de crédit, et les numéros de sécurité sociale. 

Avec ces données divulguées, les cybercriminels peuvent préparer des campagnes d'hameçonnage ciblées. Ils peuvent également accéder sans autorisation aux comptes en utilisant une attaque automatisée (ou dans le cas de fraudeurs moins expérimentés, en tapant manuellement dans des combinaisons d'informations d'identification). Si les mécanismes d'authentification d'un FI reposent sur des mesures de sécurité faibles telles que des mots de passe statiques, les criminels utiliseront une technique connue sous le nom de bourrage d'informations d'identification. La farce d'identification est quand une armée de bots vérifie une liste des informations d'identification volées contre une gamme de sites Web espérant pour un match. Si le processus d'authentification comprend l'authentification multifacteur (par exemple, empreinte digitale et mot de passe unique), l'accès non autorisé à un compte exigera plus d'efforts.

Phishing

Les attaques par hameçonnage sont une forme d'ingénierie sociale qui s'attaque à certaines qualités humaines en créant un sentiment d'urgence ou en exploitant notre confiance dans les institutions établies. Un e-mail d'hameçonnage, par exemple, peut ressembler exactement à une communication valide de l'institution financière du destinataire avisant l'utilisateur que son compte est à risque. Il peut également contenir des éléments se faisant passer pour un document de la banque ou inclure d'autres pièges d'un e-mail légitime, tels que des logos, des signatures de courriel et de vrais noms d'employés.

Dans un tel scénario, en cliquant sur le lien dans l'e-mail serait rediriger l'utilisateur vers un faux site Web qui semble identique au site de leur banque. À partir de là, la page Web tromperait l'utilisateur en divulguant ses informations d'identification. Alternativement, l'ouverture d'une pièce jointe e-mail pourrait installer un morceau de malware sur leur appareil qui interceptera leurs informations d'identification bancaires la prochaine fois qu'ils sont entrés dans le site légitime de la banque. Enfin, l'e-mail d'hameçonnage pourrait inciter l'utilisateur à appeler un numéro demandé. À l'autre bout du téléphone sera un fraudeur bien formé qui se fera passer pour un représentant de la banque.

L'hameçonnage a de nombreux visages, y compris:

  1. Phishing Lance : Tentative d'hameçonnage qui cible une personne ou un groupe spécifique.
     
  2. Chasse à la baleine : Une attaque qui vise un individu de premier plan.
     
  3. Vishing ou « hameçonnage vocal » : une escroquerie par hameçonnage par téléphone. 
     
  4. Smishing: Messages texte qui peuvent inclure un lien vers un faux portail bancaire ou une arnaque basée sur les messagers. 

Attaques SIM Swap

Les opérateurs de téléphonie mobile offrent un service légitime pour échanger la carte SIM d'un utilisateur. Souvent, les clients profitent de ce service lorsqu'ils passent à un nouvel appareil qui ne prend plus en charge leur carte SIM précédente. Les fraudeurs peuvent abuser de ce service. Ils utilisent des techniques d'ingénierie sociale pour désactiver la carte SIM d'une victime et obtenir une nouvelle carte avec le numéro de téléphone et les données de l'utilisateur. De cette façon, le fraudeur peut cibler les solutions bancaires qui utilisent des téléphones mobiles dans le flux d'authentification. Par exemple, si l'inscription d'une application bancaire mobile se fait via le canal SMS, l'échange de CARTES SIM peut permettre aux fraudeurs d'activer cette application sur leur téléphone. En outre, si le mécanisme d'authentification de la banque inclut des messages texte comme un moyen de fournir des mots de passe ponctuels, puis la prise en charge du numéro de la victime est un moyen attrayant pour les criminels d'authentifier les transactions frauduleuses ou d'effectuer d'autres opérations à l'intérieur la session bancaire.

Malware

Une autre façon de prendre le contrôle d'un compte bancaire est par le biais de logiciels malveillants. Ce logiciel malveillant peut être installé sur l'ordinateur ou l'appareil mobile de la victime grâce à un large éventail d'actions de l'utilisateur. Il s'agit notamment de visiter des sites Web à risque, d'ouvrir des pièces jointes à partir d'e-mails d'hameçonnage ou de télécharger des applications mobiles à partir de sources non fiables. Il peut également être livré à d'autres programmes (par exemple, se faire passer pour une mise à jour Flash Player). Les programmes malveillants peuvent effectuer différents types d'attaques. Certains installeront des fichiers de configuration sur l'ordinateur infecté afin de rediriger la victime vers un site Web malveillant. Certains, appelés enregistreurs de clés, intercepteront tout ce que les types de victimes, y compris leurs informations d'identification bancaires. D'autres peuvent infecter un navigateur Web en installant comme un add-on. Connus sous le nom d'attaque man-in-the-Browser, ils sont capables d'intercepter des informations d'identification ou de modifier les détails de la transaction ou d'autres données. 

Les chevaux de Troie bancaires mobiles sont une menace qui a augmenté en nombre et en complexité, atteignant un sommet historique l'an dernier. Une des fonctionnalités d'un cheval de Troie bancaire mobile est une attaque de recouvrement. Dans une attaque de superposition, un morceau de malware créera une couche supplémentaire sur l'interface utilisateur sur l'appareil mobile. Cette couche supplémentaire est en fait une fenêtre couvrant l'application bancaire légitime et imitant sa conception. Une fois qu'il détecte que l'application bancaire est en cours d'exécution, il s'active, pousse l'application ciblée à l'arrière-plan, et afficher sa propre interface de connexion à la place. Une victime inconsciente passera par le processus d'authentification, et le malware recueillera les informations d'identification de l'utilisateur.

Les chevaux de Troie bancaires mobiles peuvent causer encore plus de dégâts. Le malware peut rester actif et modifier les données pendant que la victime effectue d'autres actions au cours de la session bancaire. Par exemple, un cheval de Troie bancaire peut intercepter un transfert de fonds et rediriger l'argent vers un compte frauduleux. Si vous souhaitez lire une telle attaque plus en profondeur, consultez notre blog,"Protéger contre le BankBot Android Banking Malware Utilisation RASP."

Homme-dans-le-Moyen

Dans ce type d'attaque, les fraudeurs se positionnent entre le FI et l'utilisateur afin d'intercepter, modifier, envoyer et recevoir des communications sans émettre de soupçons. Reprise du canal de communication 
entre l'appareil de l'utilisateur et le serveur peut être fait en mettant en place un réseau Wi-Fi malveillant comme un hotspot public (connu sous le nom d'un point d'accès voyous). Grâce à ce point d'accès, un fraudeur est en mesure d'intercepter toutes les données que la victime envoie et reçoit. 

Les attaques de l'homme dans le milieu peuvent également affecter le canal bancaire mobile. Les gens profitent des points chauds publics, sans se rendre compte qu'ils peuvent transférer leurs données de paiement via un réseau contrôlé par un mauvais acteur. Bien sûr, les applications bancaires mobiles devraient appliquer certaines mesures de sécurité lors de la communication avec un serveur. Cependant, une conception inappropriée peut rendre une application vulnérable. Une configuration incorrecte ou l'absence d'un canal sécurisé pour les données mobiles en transit augmente également le risque de ce type d'attaque.

Piratage de compte : Garantir la protection de ses clients et de son activité
LIVRE BLANC

Piratage de compte : Garantir la protection de ses clients et de son activité

Offrant une ventilation des principales techniques de fraude de prise de contrôle des comptes, ce livre électronique couvre l'approche de sécurité multicouche nécessaire pour protéger les comptes de vos clients.

Arrêter la prise de contrôle de compte

Protection multicouche contre la fraude aux prises de contrôle de compte

Sans un ensemble solide de mesures de sécurité, une attaque de prise de contrôle de compte peut passer inaperçue pendant des semaines, voire des mois, surtout si les fraudeurs parviennent à réacheminer toute la communication bancaire de la victime vers leurs canaux numériques. Parfois, la victime ne repère l'attaque que lorsqu'elle remarque une activité étrange dans son relevé de compte.

Malgré les contre-mesures prises par les banques, telles que l'éducation des clients, de nombreux utilisateurs tombent encore dans le piège. Une approche de sécurité multi-couches est le meilleur moyen de minimiser le risque que les clients d'une FI tombent victimes d'une fraude à la prise de contrôle de compte. Cette approche rassemble plusieurs solutions qui protègent les opérations bancaires et les clients sans aucun effet négatif sur l'expérience utilisateur.

Prévention - Sécurisation de l'utilisateur et de l'application

Avec des scénarios d'attaque de plus en plus variés et complexes, il est important que les IMF offrent des solutions qui aideront leurs clients à éviter toute confusion, minimisant ainsi le risque d'interaction avec un fraudeur. Un système de prévention de la fraude devrait combiner des capacités qui protègent à la fois les utilisateurs et leurs appareils.

Protéger l'utilisateur

La capacité de signature de transactions visuelles Cronto de OneSpan ® aide à protéger les utilisateurs contre l'ingénierie sociale, les attaques man-in-the-Middle, et par la suite contre les victimes d'une fraude à la prise de contrôle de compte.

Cronto

La solution de signature de transaction Cronto de OneSpan crée une signature de transaction unique pour chaque transaction en utilisant des données telles que les numéros de compte, le montant de la transaction et un horodatage.

Cronto limite la possibilité de modifier le contenu de la transaction en cours de signature, car le code visuel généré est directement lié à la transaction financière elle-même. Toute modification de ces détails invalidera le code. Les détails de transaction sont clairement visibles pour l'utilisateur lors de l'autorisation d'une transaction, empêchant le scénario Man-in-the-Middle. En outre, aucune partie frauduleuse n'est en mesure de falsifier la création d'un code Cronto. Ce code ne peut être généré qu'avec la participation de la banque, en fonction exactement des détails de la transaction demandée par l'utilisateur.

Protéger l'application et le canal de communication

Une application mobile peut faire partie du processus d'authentification dans les services bancaires en ligne. Il peut également constituer un canal bancaire mobile distinct — actuellement l'une des principales priorités des FI, mais aussi un vecteur d'attaque très précieux pour les fraudeurs. Les appareils mobiles peuvent devenir une vulnérabilité dans le parcours client numérique, mais avec des contrôles de sécurité appropriés, ils peuvent en fait devenir un atout contribuant à une expérience utilisateur sûre.

Grâce à la suite de sécurité mobile de OneSpan, les FI peuvent gagner en visibilité sur le risque des canaux mobiles et aider à atténuer la fraude. La solution permet d'établir la confiance et applique une approche globale de la sécurité mobile en tenant compte de l'application, de l'appareil, de l'interface, des communications, du stockage et des utilisateurs. Il peut détecter les vulnérabilités de l'appareil de l'utilisateur et appliquer des mesures de sécurité définies avec précision. Avec le blindage d'application et la protection de temps d'exécution, il aide à bloquer les attaques de overlay, les enregistreurs de clés et d'autres technologies malveillantes de voler ou de modifier les données utilisateur. Par exemple, OneSpan App Shielding dispose d'un mécanisme intégré pour détecter la façon dont l'application a été mise dans l'état de fond, qui, avec d'autres critères, peut aider à déterminer si l'utilisateur est victime d'une attaque de overlay.

Détection proactive des fraudes sur tous les canaux numériques

Les IMF ont besoin de la capacité de détecter de manière proactive les signes d'une prise de contrôle de compte avant que leurs clients ne soient affectés. Il existe des signaux dans les données utilisateur, appareil et transactionnel qui peuvent fournir des indicateurs que les clients sont attaqués. Un aperçu de toutes les actions des clients peut également aider à attraper des combinaisons suspectes d'événements. Par exemple, si plusieurs utilisateurs demandent soudainement un changement de mot de passe ou s'il y a une accumulation de tentatives de connexion infructueuses, cela pourrait être un indicateur de prise de contrôle de compte.

OneSpan Risk Analytics peut vous aider. Risk Analytics marque chaque action et chaque utilisateur dans tous les canaux numériques. Il recueille des connaissances sur toutes les actions avant, pendant et après la session bancaire afin de créer un aperçu complet de la situation. Il utilise un moteur d'analyse des risques qui tire parti de l'apprentissage automatique pour analyser des centaines de points de données, repérer les anomalies dans le comportement de l'utilisateur, et recommander des exigences d'authentification basées sur des scores de risque très précis. Enfin, il peut aider à prévenir divers scénarios de prise de contrôle de compte, comme la création non autorisée de nouveaux payeurs, de nouveaux changements de profil de compte et des transferts de fonds.  

Authentification adaptative intelligente - Améliorer l'expérience client tout en renforçant la sécurité

La solution intelligent d'authentification adaptative (IAA) de OneSpan fournit le niveau de sécurité précis au bon moment pour chaque transaction, basé sur l'analyse des risques en temps réel des données utilisateur, appareil et transaction. Chaque voyage d'authentification est différent, c'est pourquoi la solution évalue toutes les actions utilisateur au cas par cas pour déterminer la méthode d'authentification la plus appropriée en fonction du niveau de risque. L'adaptation du flux d'authentification à chaque transaction unique rend plus difficile pour les fraudeurs de prévoir et de planifier leurs attaques. Cette imprévisibilité contrecarre la tentative d'un fraudeur de réaliser un profit rapide avec un minimum d'effort.

Perspectives d'avenir vers l'avenir de la fraude à la prise de contrôle de compte

La fraude à la prise de contrôle de comptes ne fera que continuer de croître et de croître plus rapidement. C'est une source relativement facile de profit pour les mauvais acteurs qui continueront d'exploiter toutes les faiblesses disponibles dans le système bancaire financier. Cependant, une approche de sécurité moderne et multi-couches peut contribuer de manière significative à atténuer les attaques qui conduisent à la prise de contrôle de compte. Les solutions qui protègent l'utilisateur, l'appareil, l'application et le canal de communication, combinées à un moteur complet d'analyse des risques et à un cadre d'authentification intelligent, sont essentielles pour aller de l'avant dans la lutte contre la fraude à la prise de contrôle de compte.

1. Digital Channel Fraud Mitigation: Evolving to Mobile-First, Aite Group LLC, https://www.onespan.com/resources/digital-channel-fraud-mitigation-evolving-to-mobile-first

Magdalena Rut a rejoint OneSpan en tant que rédactrice de contenu et marketeur avec 14 ans d'expérience. Elle est titulaire d'un baccalauréat de l'Université de Technologie de Bialystok et de deux masters de l'Institut d'études politiques de Paris et de l'Ecole d'économie de Varsovie.