Le défi croissant de la fraude en matière de reprise de compte - Qu'est-ce que c'est, comment cela fonctionne et comment l'éviter [Interview d'experts]

Des rapports récents indiquent que jusqu'à 15 milliards d'informations d'identification des consommateurs sont actuellement en vente sur le dark web, avec près de 25% des informations d'identification divulguées, y compris des informations de compte liées aux services bancaires et autres services financiers. La disponibilité de données divulguées ou compromises permet aux pirates de mener des attaques de reprise de compte sur les comptes financiers des consommateurs. D'autres facteurs, tels que la disponibilité des données personnelles sur les réseaux sociaux et les conditions de travail à distance actuelles, ont également fait des consommateurs une cible de choix pour les cyberattaques financières.

Dans cette interview, Will LaSala, évangéliste de la sécurité et directeur des solutions de sécurité chez OneSpan, discute des défis des attaques de reprise de compte avec Steven Bowcut, rédacteur en chef de Brilliance Security Magazine. Dans l'interview, Will partage son expertise sur fraude par prise de contrôle de compte , ce que c'est, comment ça marche et comment l'éviter.

L'interview a été publiée à l'origine sous forme de podcast par Brilliance Security Magazine et est réimprimée avec permission. Vous pouvez écouter le podcast ici:

Steve Bowcut: Bienvenue sur le podcast du magazine Brilliance Security et merci de vous joindre à nous aujourd'hui. Aujourd'hui, nous allons parler avec Will LaSala. Will est le directeur des solutions de sécurité chez OneSpan, et nous parlerons spécifiquement de fraude par prise de contrôle de compte . Will a rejoint OneSpan en 2001 et a apporté avec lui plus de 25 ans d'expérience dans les logiciels et la cybersécurité. Depuis qu'il a rejoint OneSpan, il a été impliqué dans tous les aspects de la mise en œuvre des produits et de la direction du marché au sein des institutions financières.

Dans cet épisode, en nous appuyant sur l'expertise de Will liée aux institutions financières, nous allons examiner la fraude par prise de contrôle de compte. Nous parlerons de ce que c'est, des types de comptes exposés à cette menace, de ce que les utilisateurs peuvent faire pour se protéger et de ce que les institutions financières peuvent ou devraient faire pour protéger leurs clients.

Je vous souhaite la bienvenue, merci beaucoup d'avoir passé votre temps avec nous aujourd'hui, nous l'apprécions. Commençons par donner à chacun un niveau. Pouvez-vous s'il vous plaît donner votre définition de la fraude par prise de contrôle de compte. Parlez-nous un peu de ce que c'est.

Will LaSala: Absolument, et merci de m'avoir invité, Steve. Commençons par une définition rapide de la fraude par reprise de compte. La prise de contrôle de compte se produit lorsque le compte d'un utilisateur est volé ou repris par un attaquant ou un individu frauduleux, puis utilisé à des fins malveillantes - par exemple, transférer de l'argent hors du compte ou transférer de l'argent sur le compte afin qu'il puisse être utilisé ultérieurement ou pris à l'individu. La prise de contrôle de compte peut se produire de différentes manières, mais la plupart du temps, elle est liée à la capacité de l'attaquant d'utiliser ce compte pour effectuer un type d'attaque, contre un individu ou une entreprise.

Steve: Lorsque cela se produit, généralement, est-ce quelque chose dont l'utilisateur final va être immédiatement au courant, ou des personnes peuvent-elles entrer et résider dans ces comptes et faire des choses pendant un certain temps, dont l'utilisateur final n'est même pas au courant? ?

Volonté: Parfois, vous en êtes immédiatement conscient. Dans les premiers jours de la reprise de compte, la reprise de compte vous a exclu de votre compte. L'attaquant entrerait et il vous expulserait immédiatement de votre compte et prendrait en charge votre compte. Aujourd'hui, ils s'assoient souvent et attendent. Ils peuvent avoir accès à votre compte pendant de longues périodes et peuvent même apporter des modifications mineures à votre compte dont vous n'êtes pas au courant au cours de cette période. C'est principalement pour qu'ils puissent passer sous le radar.

Plus l'attaquant est en mesure de manipuler votre compte et d'être dans votre compte longtemps, plus il peut causer de dommages à vous et à vos actifs. Aujourd'hui, nous en voyons encore plus avec les attaquants d'ingénierie sociale. Aujourd'hui, les attaquants peuvent se faire passer pour la banque. Ils peuvent vous parler comme s'ils étaient membres de la banque, puis ils prendront en charge votre compte. Après la conversation, vous pourriez penser: "Oh, j'étais juste au téléphone avec la banque, ils n'ont pas pris le contrôle de mon compte", et vous ne remarquerez peut-être pas pendant les semaines à venir que vous avez été attaqué.

Steve: Wow, c'est un peu effrayant. Donc, dans mon esprit, les comptes évidents seraient mon compte bancaire, mon compte courant ou mon compte d'épargne, mais je suppose qu'il existe d'autres types de comptes susceptibles de faire face à ce type de menace. Pouvez-vous parler de ça?

Volonté: Oui absolument. Les comptes d'entreprise sont certainement l'un des comptes les plus vulnérables aux attaques de reprise de compte. Les comptes d'entreprise contiennent généralement plus d'argent, de sorte que les environnements bancaires d'entreprise sont généralement très attaqués.

De plus, avec autant d'identités différentes volées disponibles sur Internet, vous voyez également beaucoup de comptes d'épargne, de chèques et de détail attaqués. Vous voyez également beaucoup de comptes de crypto-monnaie ou de comptes de trader qui sont attaqués.

Habituellement, ce que vous recherchez, ou ce que le pirate informatique recherche, ce sont des comptes de grande valeur. Ils peuvent être de grande valeur parce qu'ils contiennent une grosse somme d'argent, mais ils peuvent aussi être de grande valeur parce qu'ils peuvent être utilisés pour transférer et blanchir de l'argent. Donc, ils peuvent attaquer le compte de quelqu'un, prendre leur argent, le transférer dans un autre compte qu'ils ont déjà volé, puis plus tard, lorsque la côte est dégagée, utiliser ce compte pour extraire les fonds qu'ils ont volés. Souvent, certains comptes sont utilisés comme comptes de type dormant. Ils sont juste utilisés pour déplacer les choses.

Steve: Intéressant. Je suppose donc qu'avec un compte d'entreprise, de nombreuses personnes peuvent y avoir accès. Si les financiers, les C-suite et d'autres ont accès à ce compte, une personne supplémentaire qui a un accès «dormeur» à ce compte peut passer inaperçue pendant un certain temps? Plus que si l'argent était transféré dans un compte chèque personnel ou un compte d'épargne personnel?

Volonté: Vrai.

Steve: C'est intéressant. Jusqu'à présent, nous ne parlons que de comptes bancaires. Existe-t-il d'autres types de comptes, tels que les comptes de carte de crédit ou les comptes de fidélité avec des miles qui peuvent être échangés contre de l'argent, qui sont également sensibles aux attaques?

Volonté: Oui absolument. Vous voyez de nombreux comptes différents repris. Il y a quelques années, les comptes de jeux en ligne ont subi une forte poussée de reprises de comptes. Vous pourriez penser: «Pourquoi des pirates informatiques voudraient-ils attaquer mon compte World of Warcraft?» La réalité est que ces comptes valaient aussi de l'argent. S'il y a de l'argent à gagner sur un compte, ce compte peut être attaqué.

Récemment, nous avons assisté à une attaque assez massive sur Twitter pour de nombreuses personnes. Ce sont aussi des attaques de prise de contrôle de compte. Je pense que ces escroqueries demandent en fait aux gens de leur faire don de Bitcoin. Tant qu'il y aura de l'argent à gagner, les attaques de prise de contrôle de compte se concentreront sur ces comptes. Ils peuvent donc être à peu près tout ce qui se trouve sur Internet, ou même, dans certains cas, dans les réseaux d'entreprise et hors du réseau.

Steve: C'est probablement une chose précieuse à comprendre. La plupart d'entre nous, que ce soit dans notre vie personnelle ou professionnelle, sommes assez prudents avec les comptes bancaires, mais nous pouvons ne pas être aussi prudents avec notre compte Twitter. Avec Twitter et Facebook, ou même notre programme de fidélité dans un hôtel ou la compagnie aérienne, nous pouvons ne pas changer le mot de passe très souvent et nous pouvons ne pas être aussi méfiants lorsque quelqu'un nous aborde avec une escroquerie potentielle d'ingénierie sociale.

Steve: Parlez-nous spécifiquement de ce que les utilisateurs finaux peuvent faire pour se protéger contre ce type de fraude. Qu'il s'agisse d'un utilisateur final individuel ou d'un utilisateur final d'entreprise, que peuvent-ils faire pour se protéger?

Volonté: La première chose que je dis toujours à mes clients et utilisateurs finaux (ainsi qu'à ma mère, à mon père et à d'autres) est d'activer l'authentification à deux facteurs. Différents sites ont différentes façons de le faire. La plupart des sites, qu'il s'agisse d'un site bancaire ou d'un site de réseau social, ont un moyen d'activer l'authentification à deux facteurs. Cela se présente souvent sous la forme d'un mot de passe SMS qui vous est envoyé.

Il est important de comprendre que lorsque vous utilisez l'authentification à deux facteurs, vous ne voulez pas simplement avoir un mot de passe SMS. Ce n'est pas à deux facteurs - un mot de passe SMS est une authentification à un facteur. Vous souhaitez combiner les SMS avec d'autres choses. Parfois, cela signifie saisir un mot de passe statique ou une épingle avec le code que vous obtenez de votre SMS.

Je recommande toujours aux gens d'utiliser leur application mobile comme authentificateur par rapport aux SMS, car SMS a des vulnérabilités connues. Les pirates peuvent voler des SMS. Ils le font grâce à ce qu'on appelle un échange de carte SIM, où ils prennent la carte du téléphone et la clonent. Une fois que le pirate a une copie de votre téléphone, il peut recevoir tous vos SMS. Le SMS est donc une petite étape pour sécuriser votre compte. L'utilisation d'une application mobile qui génère des codes pour vous, ou même d'un périphérique matériel qui génère des codes pour vous, est beaucoup plus sécurisée.

Je pense aussi que les gens doivent prêter attention à ce qu'ils partagent. Pendant le COVID-19, nous avons vu beaucoup de sur-partage d'informations. Au début de la pandémie, nous avons vu que les assaillants organisaient des campagnes sur les réseaux sociaux pour récolter les informations des gens. Ils créaient des questionnaires qu'ils envoyaient sur les réseaux sociaux et disaient: "Hé, voici une jolie petite liste de questions, pourquoi ne vas-tu pas y répondre?" Et les gens l'étaient. Une fois que les gens ont répondu à ces questions, les attaquants avaient un moyen facile de rechercher ces informations - des informations liées à un individu et à son compte social. Tout à coup, ils ont eu beaucoup d'informations à utiliser pour les attaques d'ingénierie sociale. Alors, faites vraiment attention à ce que vous partagez. Ne partagez pas trop vos informations et faites attention à votre environnement.

Il y a aussi beaucoup de clients qui ne pensent pas quand ils utilisent leurs comptes. Qu'ils utilisent une carte de crédit ou qu'ils se dirigent vers un guichet automatique, ils ne font tout simplement pas attention à l'environnement. Il existe des skimmers de cartes qui peuvent lire votre carte de crédit et votre code PIN. Il s'agit également d'une forme de prise de contrôle de compte - les attaquants peuvent prendre le contrôle de votre carte de crédit et l'utiliser à d'autres fins. En résumé, faites vraiment attention à votre environnement et faites attention à ce que vous faites. Ne sur-partagez pas, protégez vos informations et utilisez l'authentification à deux facteurs lorsque vous le pouvez.

Steve: Merci, c'est un bon conseil. Passons maintenant à ce que les banques, et moi toutes les institutions où je peux avoir un compte, devraient faire pour me protéger en tant que client ou ma société contre ce genre d'attaque? Que peut-on faire de leur côté?

Volonté: Les banques mènent cette bataille depuis longtemps. Ils ont mis en place de nombreuses technologies et ils peuvent faire certaines choses pour les aider. La première chose à faire est de prouver l'identité d'un utilisateur. Cela signifie identifier qui est un utilisateur. Cela peut signifier faire sauter l'utilisateur à travers des obstacles supplémentaires tels que la biométrie à l'aide d'une capture de visage ou scanner sa licence. Identifier l'utilisateur est la première chose, mais aussi pendant ce processus, les institutions doivent analyser les facteurs de risque. Cela signifie non seulement analyser les facteurs de risque de la connaissance du client, mais également d'autres facteurs de risque. Par exemple, ce compte s'est-il inscrit à trois offres différentes de notre part tous en même temps? C'est un drapeau rouge car l'utilisateur n'est qu'un utilisateur, il ne peut probablement pas s'inscrire à trois offres en même temps. Cela pourrait signifier qu'une attaque d'identité synthétique est en cours, c'est-à-dire lorsque des attaquants utilisent des données réelles de plusieurs personnes pour créer une personne fausse ou synthétique. Cela arrive souvent. Si les institutions financières ont mis en place de nouveaux outils de gestion des risques et de la fraude qui analysent les données reçues, elles peuvent utiliser l'intelligence artificielle pour détecter ces modèles et détecter ce type de fraude.

Pour vous donner un exemple plus loin, disons que la même adresse est utilisée par plusieurs personnes pour ouvrir un compte, et nous savons que ce n'est pas un complexe d'appartements ou quelque chose du genre. L'intelligence artificielle et les environnements à risque vont ramasser cela et devraient arrêter et signaler cela. L'utilisation de l'authentification biométrique est un élément vraiment important.

Les institutions peuvent également renforcer leur application mobile afin qu'elle soit plus protégée contre les attaques. Si vous sécurisez votre application mobile, vous rendez désormais beaucoup plus difficile pour les attaquants d'attaquer votre produit, et ils passeront au suivant. Il s'agit toujours du fruit le plus bas pour les attaquants. Ils veulent réutiliser autant d'attaques qu'ils ont construites dans le passé, et ils vont simplement le mettre à jour, juste un peu pour pouvoir attaquer la prochaine grande banque sur la route. Donc, rester devant eux est une tâche très importante.

Steve: Lorsque vous êtes Citibank et que vous recevez des milliers de demandes de compte par jour, il serait impossible pour une personne de s'asseoir là-bas et de juger des facteurs de risque pour chaque demande. Vous avez parlé d'un logiciel qui ferait cela pour eux. Pourraient-ils tous déployer quelque chose comme ça ou est-ce une technologie relativement nouvelle? Où en sommes-nous dans l'évolution de la technologie pour assurer cette protection?

Volonté: C'est une excellente question. La plupart des banques ont mis en œuvre des solutions ponctuelles sur des applications individuelles. Ils ont peut-être une analyse des risques pour leurs comptes du marché monétaire, mais ils ne le font généralement pas pour tous leurs comptes. Ils n'ont pas une vision holistique. Un utilisateur peut avoir plusieurs comptes et il ne prend pas les données de tout cela et ne les agrège pas pour l'identifier. C'est en partie parce qu'il y a beaucoup de données là-bas, et aussi, beaucoup de systèmes ne sont pas assez rapides pour le faire.

Traiter les attaques en temps réel était auparavant très difficile, mais aujourd'hui, cela a changé. Nous traitons maintenant des données en temps réel et sur plusieurs points de terminaison et de grandes quantités de jeux de données. Tout cela est nouveau, et c'est vraiment ce que les banques commencent à mettre en œuvre. Nous voyons beaucoup de grandes banques commencer cela, mais même les plus petites banques et les processeurs combinent toutes leurs informations ou leurs analystes des risques et de la fraude dans toutes leurs offres afin de pouvoir attraper les attaquants au fur et à mesure qu'ils arrivent. C'est vraiment important de faire ça.

Steve: Une dernière question ici - pourriez-vous prendre quelques minutes et parler de OneSpan, votre solution, où elle s'inscrit dans tout ce dont nous avons parlé aujourd'hui?

Volonté: OneSpan se concentre sur le secteur financier et propose un certain nombre de solutions qui aident les banques à détecter les risques et prévenir la fraude , ainsi que mettre en œuvre authentification à deux facteurs , sécurité des applications mobiles et signatures électroniques . Nos solutions amènent un client d'une identité inconnue à une identité de confiance. Nous construisons la confiance au sein de la plate-forme mobile, donc nous durcissons et faisons confiance à cet appareil mobile, puis, à mesure que l'utilisateur crée des transactions, nous renforçons la confiance dans ces transactions en analysant le risque et la fraude et en utilisant une authentification forte comme ces transactions. aller.

Nous offrons tout cela sur notre plateforme d'identité de confiance , permettant essentiellement à une banque d'utiliser plusieurs composants pour construire cette image de confiance totale qui aide les utilisateurs à être plus sûrs et à faire plus avec l'institution financière. Cela permet également aux banques d'offrir davantage de solutions aux utilisateurs.

Dans un environnement de confiance tel que Plateforme d'identité sécurisée OneSpan , les banques peuvent offrir plus de services et attirer plus de clients qui resteront plus longtemps.

Steve: De toute évidence, il existe un grand besoin pour ce type de solutions pour nous protéger, car les menaces ne cessent de croître et de croître. Merci beaucoup et merci pour votre temps aujourd'hui.