Avertissement concernant les attaques de phishing visant à contourner l'authentification à deux facteurs

L'authentification à deux facteurs (2FA) n'est plus une sécurité à toute épreuve. Illustration photo

Nouvelle forme d'attaque

L'authentification à deux facteurs (2FA) est devenue une fonctionnalité de sécurité standard en cybersécurité. Elle exige des utilisateurs qu'ils vérifient leur identité par une seconde étape d'authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, e-mail ou via une application d'authentification. Ce niveau de sécurité supplémentaire vise à protéger le compte d'un utilisateur même en cas de vol de son mot de passe.

Bien que la 2FA soit largement adoptée par de nombreux sites Web et exigée par les organisations, les experts en cybersécurité de Kaspersky ont récemment découvert des attaques de phishing utilisées par les cybercriminels pour contourner la 2FA.

En conséquence, les cyberattaquants ont adopté une forme plus sophistiquée de cyberattaque, combinant phishing et robots de saisie d'OTP automatisés pour piéger les utilisateurs et obtenir un accès non autorisé à leurs comptes. Plus précisément, les escrocs incitent les utilisateurs à révéler ces OTP afin de contourner les mesures de protection 2FA.

Les cybercriminels combinent l'hameçonnage avec des robots OTP automatisés pour piéger les utilisateurs et obtenir un accès non autorisé à leurs comptes. Illustration photo

Les escrocs utilisent même des robots OTP, un outil sophistiqué, pour intercepter les codes OTP par le biais d'attaques d'ingénierie sociale. Les attaquants tentent souvent de voler les identifiants de connexion des victimes par des méthodes telles que l'hameçonnage ou l'exploitation de vulnérabilités de données. Ils se connectent ensuite au compte de la victime, déclenchant ainsi l'envoi des codes OTP sur son téléphone.

Ensuite, le bot OTP appelle automatiquement la victime, se faisant passer pour un employé d'une organisation de confiance, à l'aide d'un script de conversation préprogrammé pour la convaincre de révéler son code OTP. Enfin, l'attaquant reçoit ce code OTP par l'intermédiaire du bot et l'utilise pour accéder illégalement au compte de la victime.

Les fraudeurs privilégient souvent les appels vocaux aux SMS, car leurs victimes ont tendance à réagir plus rapidement. Par conséquent, les bots OTP simulent le ton et l'urgence d'un appel humain pour créer un sentiment de confiance et de persuasion.

Les fraudeurs contrôlent les bots OTP via des tableaux de bord en ligne dédiés ou des plateformes de messagerie comme Telegram. Ces bots proposent également diverses fonctionnalités et formules d'abonnement, facilitant ainsi l'action des attaquants. Ces derniers peuvent personnaliser les fonctionnalités du bot pour usurper l'identité d'organisations, utiliser plusieurs langues et même choisir un ton de voix masculin ou féminin. Parmi les options avancées, on trouve l'usurpation de numéro de téléphone, qui fait passer le numéro de l'appelant pour celui d'une organisation légitime afin de piéger la victime de manière sophistiquée.

Plus la technologie évolue, plus les exigences en matière de protection des comptes sont élevées. Photo d'illustration

Pour utiliser un bot OTP, l'escroc doit d'abord voler les identifiants de connexion de la victime. Il utilise souvent des sites web d'hameçonnage conçus pour ressembler à s'y méprendre à des pages de connexion légitimes de banques, de services de messagerie ou d'autres comptes en ligne. Lorsque la victime saisit son nom d'utilisateur et son mot de passe, l'escroc collecte automatiquement ces informations en temps réel.

Entre le 1er mars et le 31 mai 2024, les solutions de sécurité Kaspersky ont bloqué 653 088 visites de sites web créés par des kits de phishing ciblant les banques. Les données volées sur ces sites sont souvent utilisées dans des attaques de bots OTP. Durant la même période, les experts ont détecté 4 721 sites web de phishing créés par ces kits pour contourner l'authentification à deux facteurs en temps réel.

Ne créez pas de mots de passe courants.

Olga Svistunova, experte en sécurité chez Kaspersky, a commenté : « Les attaques d'ingénierie sociale sont considérées comme des méthodes de fraude extrêmement sophistiquées, notamment avec l'émergence de bots OTP capables de simuler légitimement les appels des représentants du service client. Pour rester vigilant, il est important de maintenir la vigilance et de respecter les mesures de sécurité. »

Les pirates informatiques n'ont qu'à utiliser des algorithmes de prédiction intelligents pour trouver facilement des mots de passe. Illustration photo

L'analyse de 193 millions de mots de passe réalisée début juin par les experts de Kaspersky à l'aide d'algorithmes de devinette intelligents révèle que 45 % d'entre eux (soit 87 millions de mots de passe) peuvent être déchiffrés en une minute ; seulement 23 % (soit 44 millions) des combinaisons sont considérées comme suffisamment solides pour résister aux attaques, et leur déchiffrage prend plus d'un an. Cependant, la plupart des mots de passe restants peuvent encore être déchiffrés en une heure à un mois.

En outre, les experts en cybersécurité ont également révélé les combinaisons de caractères les plus couramment utilisées lorsque les utilisateurs créent des mots de passe tels que : Nom : « ahmed », « nguyen », « kumar », « kevin », « daniel » ; mots populaires : « forever », « love », « google », « hacker », « gamer » ; mots de passe standard : « password », « qwerty12345 », « admin », « 12345 », « team ».

L'analyse a révélé que seulement 19 % des mots de passe contenaient une combinaison complexe, comprenant un mot non courant, des majuscules et des minuscules, ainsi que des chiffres et des symboles. Parallèlement, l'étude a également révélé que 39 % de ces mots de passe complexes pouvaient encore être devinés par des algorithmes intelligents en moins d'une heure.

Il est intéressant de noter que les attaquants n'ont pas besoin de connaissances spécialisées ni d'équipement avancé pour déchiffrer des mots de passe. Par exemple, un processeur d'ordinateur portable dédié peut effectuer une attaque par force brute avec précision sur une combinaison de huit lettres minuscules ou chiffres en seulement 7 minutes. Une carte graphique intégrée peut faire de même en 17 secondes. De plus, les algorithmes intelligents de devinette de mots de passe ont tendance à substituer des caractères (« e » à « 3 », « 1 » à « ! » ou « a » à « @ ») et des chaînes de caractères courantes (« qwerty », « 12345 », « asdfg »).

Utilisez des mots de passe contenant des chaînes de caractères aléatoires pour les rendre difficiles à deviner par les pirates. Illustration photo

« Inconsciemment, les gens ont tendance à choisir des mots de passe très simples, utilisant souvent des mots du dictionnaire dans leur langue maternelle, tels que des noms et des chiffres... Même les combinaisons de mots de passe fortes dévient rarement de cette tendance, elles sont donc entièrement prévisibles par les algorithmes », a déclaré Yuliya Novikova, responsable de Digital Footprint Intelligence chez Kaspersky.

La solution la plus fiable consiste donc à générer un mot de passe entièrement aléatoire à l'aide de gestionnaires de mots de passe modernes et fiables. Ces applications peuvent stocker de grandes quantités de données en toute sécurité, offrant ainsi une protection complète et robuste des informations utilisateur.

Pour renforcer la sécurité de leurs mots de passe, les utilisateurs peuvent appliquer les conseils suivants : utiliser un logiciel de sécurité réseau pour gérer leurs mots de passe ; utiliser des mots de passe différents pour chaque service. Ainsi, même si l'un de vos comptes est piraté, les autres restent protégés ; les phrases de passe aident les utilisateurs à récupérer leurs comptes en cas d'oubli de mot de passe ; il est plus sûr d'utiliser des mots moins courants. De plus, ils peuvent utiliser un service en ligne pour vérifier la sécurité de leurs mots de passe.

Évitez d'utiliser des informations personnelles comme date de naissance, nom de famille, nom d'animal ou surnom comme mot de passe. Ce sont souvent les premières choses que les pirates informatiques essaient de faire pour déchiffrer un mot de passe.