Avertissement concernant les attaques de phishing visant à contourner l'authentification à deux facteurs

L'authentification à deux facteurs (2FA) n'est plus une solution de sécurité infaillible. Photo d'illustration

Nouvelle forme d'attaque

L'authentification à deux facteurs (2FA) est devenue une fonctionnalité de sécurité standard en cybersécurité. Elle oblige les utilisateurs à vérifier leur identité par une seconde étape d'authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, e-mail ou application d'authentification. Ce niveau de sécurité supplémentaire vise à protéger le compte d'un utilisateur même en cas de vol de son mot de passe.

Bien que la 2FA soit largement adoptée par de nombreux sites Web et exigée par les organisations, les experts en cybersécurité de Kaspersky ont récemment découvert des attaques de phishing utilisées par les cybercriminels pour contourner la 2FA.

En conséquence, les cyberattaquants ont adopté une forme plus sophistiquée de cyberattaque, combinant phishing et robots OTP automatisés pour tromper les utilisateurs et obtenir un accès non autorisé à leurs comptes. Plus précisément, les escrocs incitent les utilisateurs à révéler ces OTP afin de contourner les mesures de protection 2FA.

Les cybercriminels combinent l'hameçonnage avec des robots OTP automatisés pour tromper les utilisateurs et obtenir un accès non autorisé à leurs comptes. Photo d'illustration

Les escrocs utilisent même des robots OTP, un outil sophistiqué, pour intercepter les codes OTP par le biais d'attaques d'ingénierie sociale. Les attaquants tentent souvent de voler les identifiants de connexion des victimes par des méthodes telles que l'hameçonnage ou l'exploitation de vulnérabilités de données. Ils se connectent ensuite au compte de la victime, déclenchant l'envoi des codes OTP sur son téléphone.

Ensuite, le bot OTP appelle automatiquement la victime, se faisant passer pour un employé d'une organisation de confiance, à l'aide d'un script de conversation préprogrammé pour la convaincre de révéler son code OTP. Enfin, l'attaquant reçoit ce code OTP par l'intermédiaire du bot et l'utilise pour accéder sans autorisation au compte de la victime.

Les fraudeurs privilégient souvent les appels vocaux aux SMS, car les victimes ont tendance à réagir plus rapidement à cette méthode. Par conséquent, les bots OTP simulent le ton et l'urgence d'un appel humain pour créer un sentiment de confiance et de persuasion.

Les fraudeurs contrôlent les bots OTP via des tableaux de bord en ligne dédiés ou des plateformes de messagerie comme Telegram. Ces bots proposent également diverses fonctionnalités et formules d'abonnement permettant aux attaquants d'agir. Ils peuvent personnaliser les fonctionnalités du bot pour se faire passer pour des organisations, utiliser plusieurs langues et même choisir un ton de voix masculin ou féminin. Parmi les options avancées, on trouve l'usurpation de numéro de téléphone, qui fait passer le numéro de l'appelant pour celui d'une organisation légitime afin de tromper la victime de manière sophistiquée.

Plus la technologie évolue, plus les exigences en matière de protection des comptes sont élevées. Photo d'illustration

Pour utiliser un bot OTP, l'escroc doit d'abord voler les identifiants de connexion de la victime. Il utilise souvent des sites web d'hameçonnage conçus pour ressembler exactement à des pages de connexion légitimes de banques, de services de messagerie ou d'autres comptes en ligne. Lorsque la victime saisit son nom d'utilisateur et son mot de passe, l'escroc collecte automatiquement ces informations en temps réel.

Entre le 1er mars et le 31 mai 2024, les solutions de sécurité Kaspersky ont déjoué 653 088 tentatives d'accès à des sites web créés par des kits de phishing ciblant des banques. Les données volées sur ces sites sont souvent utilisées dans des attaques de bots OTP. Durant la même période, les experts ont détecté 4 721 sites web de phishing créés par des kits visant à contourner l'authentification à deux facteurs en temps réel.

Ne créez pas de mots de passe courants

Olga Svistunova, experte en sécurité chez Kaspersky, a commenté : « Les attaques d'ingénierie sociale sont considérées comme des méthodes de fraude extrêmement sophistiquées, notamment avec l'émergence de bots OTP capables de simuler légitimement les appels des représentants du service client. Pour rester vigilant, il est important de rester prudent et de respecter les mesures de sécurité. »

Les pirates informatiques utilisent simplement des algorithmes de prédiction intelligents pour déchiffrer facilement les mots de passe. Illustration photo

L'analyse de 193 millions de mots de passe, réalisée début juin par les experts de Kaspersky à l'aide d'algorithmes de devinette intelligents, révèle que 45 % d'entre eux (soit 87 millions de mots de passe) peuvent être déchiffrés en une minute ; seulement 23 % (soit 44 millions) des combinaisons de mots de passe sont considérées comme suffisamment solides pour résister aux attaques, et leur déchiffrage prendra plus d'un an. Cependant, la majorité des mots de passe restants peuvent encore être déchiffrés en une heure à un mois.

En outre, les experts en cybersécurité ont également révélé les combinaisons de caractères les plus couramment utilisées lorsque les utilisateurs créent des mots de passe tels que : Nom : « ahmed », « nguyen », « kumar », « kevin », « daniel » ; mots populaires : « forever », « love », « google », « hacker », « gamer » ; mots de passe standard : « password », « qwerty12345 », « admin », « 12345 », « team ».

L'analyse a révélé que seulement 19 % des mots de passe contenaient une combinaison de mots de passe forts, incluant un mot non répertorié dans le dictionnaire, des majuscules et des minuscules, ainsi que des chiffres et des symboles. Parallèlement, l'étude a également révélé que 39 % de ces mots de passe forts pouvaient encore être devinés par des algorithmes intelligents en moins d'une heure.

Il est intéressant de noter que les attaquants n'ont pas besoin de connaissances spécialisées ni d'équipement avancé pour déchiffrer des mots de passe. Par exemple, un processeur d'ordinateur portable dédié peut effectuer une attaque par force brute avec précision sur une combinaison de huit lettres minuscules ou chiffres en seulement sept minutes. Une carte graphique intégrée peut faire de même en 17 secondes. De plus, les algorithmes intelligents de devinette de mots de passe ont tendance à substituer des caractères (« e » à « 3 », « 1 » à « ! » ou « a » à « @ ») et des chaînes de caractères courantes (« qwerty », « 12345 », « asdfg »).

Utilisez des mots de passe contenant des chaînes de caractères aléatoires pour les rendre difficiles à deviner par les pirates. Photo d'illustration

« Inconsciemment, les gens ont tendance à créer des mots de passe très simples, utilisant souvent des mots du dictionnaire dans leur langue maternelle, tels que des noms et des chiffres... Même les combinaisons de mots de passe fortes s'écartent rarement de cette tendance, elles sont donc complètement prévisibles par les algorithmes », a déclaré Yuliya Novikova, responsable de Digital Footprint Intelligence chez Kaspersky.

La solution la plus fiable consiste donc à générer un mot de passe entièrement aléatoire à l'aide de gestionnaires de mots de passe modernes et fiables. Ces applications peuvent stocker de grandes quantités de données en toute sécurité, offrant ainsi une protection complète et robuste des informations utilisateur.

Pour renforcer leurs mots de passe, les utilisateurs peuvent appliquer les conseils simples suivants : utiliser un logiciel de gestion de mots de passe ; utiliser des mots de passe différents pour chaque service. Ainsi, même si l'un de vos comptes est piraté, les autres restent en sécurité ; les phrases de passe aident les utilisateurs à récupérer leurs comptes en cas d'oubli de mot de passe ; il est plus sûr d'utiliser des mots moins courants. De plus, ils peuvent utiliser un service en ligne pour vérifier la fiabilité de leurs mots de passe.

Évitez d'utiliser des informations personnelles comme les dates de naissance, les noms des membres de votre famille, vos animaux de compagnie ou vos surnoms comme mots de passe. Ce sont souvent les premières choses que les pirates informatiques essaient de faire pour déchiffrer un mot de passe.