Avertissement concernant les attaques de phishing visant à contourner l'authentification à deux facteurs

Nouvelles formes d'attaques de phishing en hausse

L’authentification à deux facteurs est devenue une mesure de sécurité standard en cybersécurité. Elle exige que les utilisateurs vérifient leur identité au moyen d’une seconde étape d’authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, courriel ou application d’authentification.

Cette couche de sécurité supplémentaire est censée protéger les comptes des utilisateurs même en cas de vol de leurs mots de passe. Cependant, des escrocs utilisent des méthodes sophistiquées pour inciter les utilisateurs à révéler ces codes OTP, leur permettant ainsi de contourner l'authentification à deux facteurs grâce à des robots OTP.

OTP Bot est un outil sophistiqué utilisé par les escrocs pour intercepter les codes OTP grâce à des attaques d'ingénierie sociale. Les attaquants tentent souvent de voler les identifiants de connexion de leurs victimes par des méthodes telles que le phishing ou l'exploitation de failles de sécurité afin de dérober des informations.

Ils se connectent ensuite au compte de la victime, déclenchant l'envoi du code OTP sur son téléphone. Puis, le bot OTP appelle automatiquement la victime en se faisant passer pour un employé d'une organisation de confiance, utilisant un script de conversation préprogrammé pour la convaincre de révéler le code OTP. Enfin, l'attaquant reçoit le code OTP via le bot et l'utilise pour accéder illégalement au compte de la victime.

Les fraudeurs privilégient les appels vocaux aux SMS car les victimes ont tendance à réagir plus rapidement à cette méthode. Les robots d'authentification à trois points (OTP) imitent le ton et l'urgence d'un appel humain afin de créer un climat de confiance et de persuader.

Pour utiliser un bot OTP, l'escroc doit d'abord voler les identifiants de connexion de sa victime. Il utilise souvent des sites web d'hameçonnage conçus pour ressembler trait pour trait aux pages de connexion légitimes des banques, des services de messagerie ou d'autres comptes en ligne. Lorsque la victime saisit son nom d'utilisateur et son mot de passe, l'escroc récupère automatiquement et instantanément ces informations (en temps réel).

Selon les statistiques de Kaspersky, du 1er mars au 31 mai 2024, leurs solutions de sécurité ont empêché 653 088 visites sur des sites web créés par des kits d’hameçonnage ciblant les banques.

Les données volées sur ces sites sont souvent utilisées dans des attaques par bots OTP. Au cours de la même période, la société de cybersécurité a également détecté 4 721 sites d'hameçonnage créés par des outils conçus pour contourner l'authentification à deux facteurs en temps réel.

Solution

Bien que l'authentification à deux facteurs (2FA) soit une mesure de sécurité importante, elle n'est pas une solution miracle. Pour protéger les utilisateurs contre ces escroqueries sophistiquées, les experts en cybersécurité recommandent :

Évitez de cliquer sur les liens contenus dans les courriels suspects. Si vous devez vous connecter à votre compte auprès d'une organisation, saisissez l'adresse exacte du site web ou utilisez un marque-page.

Vérifiez que l'adresse du site web est correcte et sans fautes de frappe. Vous pouvez utiliser l'outil Whois pour vérifier les informations d'enregistrement du site. Si le site a été enregistré récemment, il s'agit probablement d'un site frauduleux.

Ne communiquez jamais vos codes OTP par téléphone, aussi convaincant que soit votre interlocuteur. Les banques et autres organismes réputés ne demandent jamais à leurs utilisateurs de lire ou de saisir des codes OTP par téléphone pour vérifier leur identité.