Piratage d'une banque en ligne : comment empêcher l'interception des codes de vérification
mercredi 6 décembre 2023
Aujourd’hui, l'authentification à deux facteurs pour se connecter à des services en ligne assure un niveau de sécurité encore supérieur à celui fourni par la création de mots de passe forts et différents pour chaque service utilisé. Malheureusement, en parallèle, le savoir-faire technique des fraudeurs sur Internet et le niveau de cybercriminalité augmentent avec le développement des technologies de sécurité. Par conséquent, même un système de connexion complexe à un appareil, à un service Internet ou à une application ne peut fournir une garantie absolue contre le vol de données sensibles. Et le comportement des utilisateurs sur Internet joue un rôle important dans la sécurité des données.
Nous savons déjà que les pirates informatiques peuvent parvenir à obtenir les identifiants et les mots de passe des utilisateurs. Cependant, il leur est impossible d’accéder aux données sans pirater le deuxième facteur de vérification.
Nous parlerons aujourd'hui des options 2FA les plus populaires utilisées par les banques en ligne, des méthodes utilisées par les cybercriminels pour les pirater et de la façon de sécuriser au mieux les données.
Des 2FA si différents
En 2019, les notifications push étaient le deuxième facteur d'identification le plus populaire (ou 2FA). En 2023, les mots de passe à usage unique (ОТР - one time password) sont devenus plus populaires. Généralement, ils arrivent par SMS sur un appareil mobile.
Quelles sont les méthodes de vérification en deux étapes utilisées dans les services bancaires en ligne ?
Notification push
Si nous parlons de transactions effectuées via une application mobile bancaire, un code à usage unique peut être envoyé pour les confirmer dans l’application même. Dans ce cas, l’attaquant doit accéder à la fois à l'appareil mobile et aux données pour se connecter à l'application. Cela semble être une tâche difficile pour les fraudeurs, car une banque mobile protège généralement ses utilisateurs avec un mot de passe distinct (c'est pourquoi il est important de créer différents mots de passe forts pour tous les services que nous utilisons) et souvent une authentification biométrique.
Si nous imaginons un scénario dans lequel l'utilisateur passe l'authentification bancaire à deux facteurs à l'aide d'un navigateur Internet, alors, très probablement, il recevra non pas une notification push, mais un SMS avec un code pour passer le deuxième facteur de vérification.
Code à usage unique dans les applications d'authentification.
Ces applications protègent non seulement les services bancaires en ligne, mais augmentent également la sécurité des comptes qui leur sont liés sur le réseau. Ce sont des programmes tels que Google Authenticator, FreeOTP et bien d'autres.
Ils sont plus fiables que les codes dans les SMS, mais ils sont moins souvent utilisés, car tous les services ne fonctionnent pas avec cette méthode d'authentification.
Code par e-mail ou SMS.
Méthode de vérification pratique et la plus courante. Parfois, un message électronique peut contenir un lien de connexion qui rend inutile la saisie d'un nom d'utilisateur et d'un mot de passe. Mais avec les liens, vous devez toujours être vigilant (plus d'informations à ce sujet ci-dessous), et les pirates informatiques aiment particulièrement intercepter les codes depuis des SMS et des e-mails.
Jeton à deux facteurs.
C'est un appareil physique autonome, comme une carte à puce. Pour l'utiliser, les pirates doivent le voler. On comprend donc facilement, que c’est relativement improbable, à moins que le pirate vive avec vous !
Les jetons génèrent des mots de passe à usage unique et protègent l'accès au compte de l'utilisateur sur l'ordinateur. Il existe également des jetons numériques.
Cette option est plus adaptée à la protection des entreprises. Mais, hélas, même un tel dispositif n’empêche pas toujours les pirates de prendre le contrôle distant de l’appareil s’il est infecté par un cheval de Troie.
Biométrie
La connexion par empreintes digitales ou reconnaissance faciale semble idéale car rien ne doit être mémorisé ni transporté, et il est extrêmement difficile de falsifier de telles données.
Nuance : tous les services ne proposent pas d'installer la protection des données biométriques, car elle est coûteuse et nécessite une mise en conformité avec la loi, et les données des utilisateurs doivent être stockées en toute sécurité.
Le piratage n'est pas possible
Lorsque les technologies de protection des données se développent, les technologies de piratage les suivent, car ces dernières représentent une entreprise rentable. La confrontation entre les deux « côtés » existe depuis la création des ordinateurs et continuera d’exister tant que la cybercriminalité continuera de générer des millions d’euros. On pourrait envisager cela comme un jeu malsain, « tu crées une solution de protection, je cherche à la pirater », ou une course contre la montre. Les groupes cybercriminels organisés, eux, considèrent cela comme un métier.
L'authentification à deux facteurs rend difficile pour un pirate informatique de mener une attaque et d'accéder à des données personnelles. Mais le fraudeur a aussi une carte maîtresse — l'extorsion et la tromperie, qui conduisent au fait que la victime elle-même donne les « clés ».
Vous vous souvenez du film " Ocean's Eleven " ? Et du système de sécurité que possédait le propriétaire de trois casinos à Las Vegas, Terry Benedict ? Des gardes armés, des serrures biométriques sur les portes, des caméras et des cages d'ascenseur avec des capteurs de mouvement. Nous ne savons pas à quel point le scénario est réaliste, mais pour pirater un système de sécurité similaire, en plus d'une formation technique élevée, il faut de l'ingéniosité et du talent.
Le cybercriminel s'attend à ce que l'utilisateur soit confiant, curieux, inattentif et préfère un moyen simple de résoudre le problème. Par exemple, les escrocs utilisant les publicités en ligne organisent tout pour que la victime, voyant une offre alléchante et limitée, ne vérifie pas les termes de la transaction. Les pirates redirigent leur victime vers des plateformes et des pages Web où les actions sont encadrées pour être rapides.
Fraudeurs et pirates informatiques agissent comme des entrepreneurs, c'est pourquoi les utilisateurs doivent être vigilants.
Passe-partout et clés
Pour passer l'authentification à deux facteurs sur une banque en ligne, un attaquant doit le plus souvent intercepter un code de vérification à partir d'un SMS, d'une application ou d'un e-mail.
Théoriquement, il est sans doute possible de falsifier les données biométriques d’une personne, mais jusqu’à maintenant, cela relève encore de la science-fiction.
Parfois, la carte SIM de la victime est clonée, bien que ce scénario soit moins fréquent que des codes à usage unique interceptés.
Il est également possible d'accéder physiquement à votre appareil mobile en le volant. Mais il existe d'autres options qui dépendent du facteur humain.
Ingénierie sociale.
Les attaquants usurpent l'identité d'une personne qui est sensée pouvoir accéder légitimement à certaines données personnelles d'une personne ciblée pour confirmer une action. Par exemple, la victime reçoit un appel d’une personne se faisant passer pour un collaborateur de sa banque, et lui demande des données personnelles comme ses identifiants de connexion à son compte, en arguant d'une nécessité.
Il convient de rappeler qu’à aucun moment ni pour aucune raison, un employé de banque n’est autorisé à vous demander des données personnelles comme des mots de passe ou numéro d’authentification etc. Si on vous demande ces données, quittez le jeu.
Programmes malveillants
Il peut s'agir de l'utilisation de logiciels espions ou de virus.
Sans un antivirus opérationnel et constamment mis à jour, il y a un risque de télécharger un programme espion qui surveille toutes les actions de l'utilisateur sur un ordinateur ou un appareil mobile et les transmet à un tiers. Ou, sous le couvert d'une application utile, vous risquez de télécharger un cheval de Troie avec lequel un attaquant peut établir un contrôle à distance complet sur l'appareil infecté.
Phishing.
Classique : un e-mail vous demandant de mettre à jour vos informations bancaires. Dans un tel message, l'utilisateur est invité à cliquer sur un lien menant à une fausse page bancaire. Sans s'assurer de l'authenticité de la page web, la victime donne toutes les données du profil bancaire aux parties intéressées.
Les fraudeurs savent également comment créer des fenêtres supplémentaires à l'intérieur de fausses pages Web pour y entrer des codes de vérification 2FA.
Utilisation du Wi-Fi public.
Les réseaux publics peuvent être piratés pour accéder aux données des utilisateurs. Il suffit que la connexion ne soit pas protégée.
Si je n'utilise qu'une application bancaire mobile, serait-il possible via cette appli de suivre toutes mes informations de connexion, les voler et se connecter à mon compte ?
Cela dépend du type d'attaque et de l'appareil spécifique. Il existe des chevaux de Troie bancaires (ciblant Android) qui peuvent lire le contenu de l'écran, contrôler le presse-papier, prendre des captures d'écran, intercepter des codes à partir de SMS et d'autres notifications. Dans le même temps, dans les applications bancaires, une interdiction de créer des captures d'écran peut être active, et dans une version plus récente du système d'exploitation, il peut y avoir des restrictions sur la lecture du contenu. Par conséquent, la réponse à la question est la suivante : cela dépend d'un certain nombre de facteurs.
Si, malgré tout, un cas de piratage a eu lieu
Si vous trouvez une activité bizarre liée à votre compte bancaire, vous devez sonner l'alarme — appelez d'urgence le service d'assistance de la banque et signalez les activités suspectes.
Si le compte a effectivement été piraté, vous devrez procéder comme suit :
- bloquer la carte bleue,
- bloquer les transactions sur le compte
- modifier les mots de passe pour vous connecter à votre compte personnel et à l'application mobile de la banque.
Même si vous êtes très stressé, la première chose à faire est d'appeler l'équipe d'assistance de votre banque.
L'étape suivante consiste à analyser tous vos appareils à la recherche de logiciels malveillants ou de logiciels espions. Si vous trouvez un problème, corrigez-le immédiatement.
Vous pouvez également porter plainte.
Important : la banque n'indemnise pas les dommages causés par des transactions frauduleuses si l'utilisateur a divulgué lui-même des données confidentielles ou qu'il a installé des logiciels malveillants. Restez donc vigilants.
Le projet Lumières sur la sécurité recommande
Voici une petite liste d’actions utiles pour une utilisation sécurisée des services bancaires en ligne.
- Mettez à jour votre antivirus pour empêcher les logiciels espions et les logiciels malveillants d'atteindre votre ordinateur et votre smartphone. Le Laboratoire de Doctor Web reçoit tous les jours en moyenne jusqu'à 1 million d'échantillons potentiellement malveillants. Ce ne sont pas tous des virus, mais pensez à ce chiffre ! Tous les appareils doivent être protégés.
- Utilisez l’authentification à deux facteurs. Avec toutes les méthodes de piratage existantes, c'est toujours la méthode de protection la plus fiable, elle ne doit pas être négligée.
- Évitez d'utiliser les réseaux Wi-Fi publics pour les transactions financières. Vérifiez les certificats de sécurité des pages web lorsque vous vous connectez à l'Internet public et évitez de vous connecter à votre banque en ligne dans les restaurants, les cafés, les aéroports, les cinémas ou d'autres lieux publics.
- N'utilisez que des sites disposant d'un certificat de sécurité numérique. Vous pouvez vérifier le certificat en cliquant sur le symbole de verrouillage à côté de la barre d'adresse. Nous avons illustré le processus de cette vérification dans des captures d'écran dans un article sur les réseaux de neurones. Nous vous conseillons également de vérifier l'adresse qui s’affiche dans la barre du navigateur en la comparant avec celle du site officiel. La différence peut littéralement résider dans un seul petit symbole. Ne saisissez pas de données de carte bancaire ni de codes de vérification 2FA sur des pages web non originales (officielles).
- De plus, assurez-vous que la demande d'authentification est envoyée à une vraie banque, et non à des fraudeurs. Nous disposons d'un matériel complet sur ce sujet, notamment sur les certificats TLS et SSL.
- Ne suivez pas les liens suspects. Les banques n'envoient pas de messages avec des liens — seuls les pirates le font. Le phishing peut également prendre la forme de messages dans des messageries et des courriels qui promettent le succès, intimident ou poussent à la pitié, demandent de voter à des concours, etc.
- Avant de télécharger un fichier, d'installer un programme ou une application, vérifiez la fiabilité de la source afin de ne pas télécharger de logiciels malveillants ou espions. Regardez comment l'animation est réalisée sur les pages disponibles, si toutes les polices sont identiques, si la page ou l'application demande trop de données sensibles pour que vous puissiez continuer. N'oubliez pas : si vous donnez volontairement toutes les données aux attaquants, la banque ne remboursera pas l'argent débité du compte.
- Ne partagez jamais de codes SMS ou e-mail avec qui que ce soit pour réussir l'authentification à deux facteurs. Ces informations ne doivent être connues que de vous.
#carte_bancaire #piratage #logiciel_malveillant #authentification_a_deux_facteurs #banque_en_ligne #données_personnelles #banque_contrefaite #reconnaissance_faciale #SMS #ingénierie sociale #phishing
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.