Ces dernières années, l’authentification à deux facteurs s’est largement imposée sur les plateformes en ligne. Ce mécanisme de sécurité consiste à ajouter un second facteur d’authentification pour accéder à vos comptes. En plus du traditionnel mot de passe, vous devrez fournir un code délivré par SMS, par mail ou encore par le biais d’une application telle que Google Authenticator. Ce mécanisme protège votre compte même si votre mot de passe a été compromis.
Cette couche de protection supplémentaire a été adoptée par de nombreux internautes. Une étude de Cisco réalisée en 2021 indique que près de 80 % des utilisateurs se servent de l’authentification à deux facteurs pour se protéger des cyberattaques. Sans surprise, l’authentification est le plus souvent configurée pour les comptes jugés les plus sensibles, comme les comptes bancaires. Dans 85 % des cas, les usagers choisissent de recevoir un code par SMS. Pour Cisco, l’authentification à deux facteurs est une protection efficace contre « les menaces courantes ».
Malheureusement, les cybercriminels ont trouvé le moyen de contourner l’authentification à deux facteurs. Comme le révèle une enquête de Kaspersky, les pirates ont progressivement développé des tactiques de phishing pour outrepasser ce « standard en matière de sécurité en ligne ». En clair, les escrocs ont imaginé « des méthodes pour inciter les utilisateurs à révéler » le code d’authentification généralement délivré par SMS. Avec ce code et les identifiants compromis en amont, les pirates peuvent accéder au compte.
Dans un premier temps, les attaquants vont s’emparer de vos identifiants. Les pirates peuvent piocher dans une base de données divulguée sur la toile. Notez que les experts ont d’ailleurs constaté une explosion des fuites de données au cours des premiers mois de l’année. D’après une étude de Surfshark, le nombre de fuites de données a grimpé de 435 % dans le monde en l’espace d’un seul trimestre.
Ils peuvent aussi dérober eux-mêmes vos informations lors d’une attaque de phishing. Avec les données récupérées, ils vont tenter de se connecter au compte ciblé, ce qui va déclencher l’envoi d’un code de sécurité par SMS. L’utilisateur va recevoir un code qu’il n’a pas demandé par message.
Pour obtenir ce précieux code, les cybercriminels vont se servir d’un robot OTP (One-Time Password). Celui-ci va appeler la victime sur le numéro de téléphone qui reçoit le code de connexion. Là encore, le numéro de téléphone a pu être obtenu au préalable par le biais d’une fuite de données. Le robot va se faire passer pour « un représentant d’une organisation de confiance », explique Kaspersky. Il va suivre un script rédigé à l’avance pour persuader la cible de communiquer le code de sécurité reçu sur son smartphone. Les pirates disposent d’un large éventail de scripts différents, personnalisés en fonction des besoins.
« Ce sont les appels sur lesquels les escrocs comptent, car les codes de vérification ne sont valables que pour une durée limitée. Et un message peut rester sans réponse pendant un certain temps », explique Kaspersky. Pour endormir la vigilance des victimes, les robots peuvent imiter le « ton et le caractère urgent d’un appel légitime », « usurper l’identité de différentes organisations, fonctionner dans plusieurs langues et même choisir entre une voix masculine et une voix féminine ». Sans grande surprise, toutes les voix sont générées par l’intelligence artificielle générative. Les cybercriminels s’appuient en effet massivement sur l’IA pour améliorer leurs tactiques.
Parmi les entités dont l’identité peut être usurpée, on trouve les banques, les systèmes de paiement, les boutiques en ligne, les services cloud, les services de livraison, les plateformes d’échange de cryptomonnaies et les services de messagerie électronique. Cerise sur le gâteau, ils peuvent même usurper le numéro de téléphone d’une organisation. En apercevant un numéro officiel sur son smartphone, l’utilisateur est susceptible de tomber dans les filets tendus par les cybercriminels. D’après Kaspersky, le robot va alors transmettre le code au cybercriminel. Avec les identifiants et le code de sécurité, l’attaquant est en mesure de se connecter au compte visé.
On trouve de nombreux robots OTP sur des marchés criminels en ligne ou des canaux Telegram fréquentés par les hackers. Proposées par le biais d’un abonnement (à partir de 140 dollars par semaine), ces offres disposent souvent « d’un support technique 24 heures sur 24, 7 jours sur 7 ».
Du reste, la configuration du robot, qui passe bien fréquemment par Telegram, est d’un jeu d’enfant. Il n’y a pas besoin d’être un expert en informatique ou de coder quoi que ce soit pour programmer le robot.
source : kaspersky