Avertissement concernant les attaques de phishing visant à contourner l'authentification à deux facteurs

Nouvelle forme d'attaque de phishing en hausse

L'authentification à deux facteurs est devenue une fonctionnalité de sécurité standard en cybersécurité. Elle oblige les utilisateurs à vérifier leur identité par une seconde étape d'authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, e-mail ou application d'authentification.

Cette couche de sécurité supplémentaire est destinée à protéger les comptes des utilisateurs même en cas de vol de leurs mots de passe. Cependant, les escrocs ont recours à des méthodes sophistiquées pour inciter les utilisateurs à révéler leurs mots de passe à usage unique (OTP), leur permettant ainsi de contourner les protections 2FA, via des robots OTP.

Le bot OTP est un outil sophistiqué utilisé par les fraudeurs pour intercepter les codes OTP par le biais d'attaques d'ingénierie sociale. Les attaquants tentent souvent de voler les identifiants de connexion de leurs victimes en utilisant des méthodes telles que l'hameçonnage ou l'exploitation de vulnérabilités de données pour voler des informations.

Ils se connectent ensuite au compte de la victime, déclenchant l'envoi du code OTP sur son téléphone. Le bot OTP appelle ensuite automatiquement la victime, se faisant passer pour un employé d'une organisation de confiance, à l'aide d'un script de conversation préprogrammé pour la convaincre de révéler le code OTP. Enfin, l'attaquant reçoit le code OTP via le bot et l'utilise pour accéder sans autorisation au compte de la victime.

Les fraudeurs privilégient les appels vocaux aux SMS, car les victimes ont tendance à réagir plus rapidement à cette méthode. Par conséquent, les bots OTP simulent le ton et l'urgence d'un appel humain pour créer un sentiment de confiance et de persuasion.

Pour utiliser un bot OTP, l'escroc doit d'abord voler les identifiants de connexion de la victime. Il utilise souvent des sites web d'hameçonnage conçus pour ressembler exactement à des pages de connexion légitimes de banques, de services de messagerie ou d'autres comptes en ligne. Lorsque la victime saisit son nom d'utilisateur et son mot de passe, l'escroc collecte automatiquement ces informations en temps réel.

Selon les statistiques de Kaspersky, du 1er mars au 31 mai 2024, leurs solutions de sécurité ont empêché 653 088 visites de sites Web créés par des kits d'outils de phishing ciblant les banques.

Les données volées sur ces sites sont souvent utilisées dans des attaques de bots OTP. Durant la même période, l'entreprise de cybersécurité a également détecté 4 721 sites d'hameçonnage créés par des kits d'outils conçus pour contourner l'authentification à deux facteurs en temps réel.

Solution

Bien que l'authentification à deux facteurs (2FA) soit une mesure de sécurité importante, elle n'est pas une solution miracle. Pour protéger les utilisateurs contre ces arnaques sophistiquées, les experts en cybersécurité recommandent :

- Évitez de cliquer sur les liens contenus dans les e-mails suspects. Si vous devez vous connecter à votre compte dans une organisation, saisissez l'adresse exacte du site web ou utilisez un signet.

- Assurez-vous que l'adresse du site web est correcte et exempte de fautes de frappe. Vous pouvez utiliser l'outil Whois pour vérifier les informations d'enregistrement du site web. Si le site web a été enregistré récemment, il s'agit probablement d'une arnaque.

- Ne fournissez jamais de codes OTP par téléphone, même si l'appelant semble convaincant. Les banques et autres organismes réputés ne demandent jamais aux utilisateurs de lire ou de saisir des codes OTP par téléphone pour vérifier leur identité.