L’authentification à deux facteurs (2FA) n’est plus une sécurité infaillible. Illustration

Nouvelle forme d'attaque

L’authentification à deux facteurs (2FA) est devenue une fonctionnalité de sécurité standard en matière de cybersécurité. Ce formulaire demande aux utilisateurs de vérifier leur identité avec une deuxième étape d'authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, e-mail ou application d'authentification. Cette couche de sécurité supplémentaire est destinée à protéger le compte d'un utilisateur même si son mot de passe est volé.

Bien que la 2FA soit largement adoptée par de nombreux sites Web et exigée par les organisations, les experts en cybersécurité de Kaspersky ont récemment découvert des attaques de phishing utilisées par les cybercriminels pour contourner la 2FA.

En conséquence, les cyberattaquants ont opté pour une forme plus sophistiquée de cyberattaque, en combinant le phishing avec des robots OTP automatisés pour tromper les utilisateurs et accéder illégalement à leurs comptes. Plus précisément, l'escroc incite les utilisateurs à révéler ces OTP pour leur permettre de contourner les protections 2FA.

Les cybercriminels combinent le phishing avec des robots OTP automatisés pour tromper les utilisateurs et obtenir un accès non autorisé à leurs comptes. Illustration

Même les robots OTP, un outil sophistiqué, sont utilisés par les escrocs pour intercepter les codes OTP via des attaques d'ingénierie sociale. En conséquence, les attaquants tentent souvent de voler les informations de connexion des victimes en utilisant des méthodes telles que le phishing ou l'exploitation des vulnérabilités des données. Ils se connectent ensuite au compte de la victime, déclenchant l'envoi d'un code OTP sur le téléphone de la victime.

Ensuite, le bot OTP appellera automatiquement la victime, se faisant passer pour un employé d'une organisation de confiance, en utilisant un script de conversation préprogrammé pour convaincre la victime de révéler le code OTP. Enfin, l'attaquant reçoit le code OTP via le bot et l'utilise pour obtenir un accès non autorisé au compte de la victime.

Les escrocs préfèrent souvent les appels vocaux aux SMS, car les victimes ont tendance à répondre plus rapidement à cette méthode. En conséquence, le bot OTP simulera le ton et l’urgence d’un humain dans l’appel pour créer un sentiment de confiance et de persuasion.

Les fraudeurs contrôlent les robots OTP via des panneaux de contrôle en ligne spéciaux ou des plateformes de messagerie comme Telegram. Ces robots sont également dotés de diverses fonctionnalités et de forfaits d’abonnement, ce qui facilite l’action des attaquants. En conséquence, les attaquants peuvent personnaliser les fonctionnalités du bot pour se faire passer pour des organisations, utiliser plusieurs langues et même choisir un ton de voix masculin ou féminin. De plus, les options avancées incluent l'usurpation d'identité du numéro de téléphone, qui vise à faire apparaître le numéro de téléphone de l'appelant comme provenant d'une organisation légitime afin de tromper subtilement la victime.

À mesure que la technologie évolue, la protection des comptes devient de plus en plus importante. Illustration

Pour utiliser un bot OTP, l'escroc doit d'abord voler les identifiants de connexion de la victime. Ils utilisent souvent des sites Web de phishing conçus pour ressembler à des pages de connexion légitimes pour des banques, des services de messagerie ou d’autres comptes en ligne. Lorsque la victime saisit son nom d'utilisateur et son mot de passe, l'escroc collecte automatiquement ces informations instantanément (en temps réel).

Entre le 1er mars et le 31 mai 2024, les solutions de sécurité Kaspersky ont bloqué 653 088 visites de sites Web créés par des kits de phishing ciblant les banques. Les données volées sur ces sites Web sont souvent utilisées dans des attaques de robots OTP. Au cours de cette même période, les experts ont découvert 4 721 sites Web de phishing créés par des kits d’outils destinés à contourner l’authentification à deux facteurs en temps réel.

Ne créez pas de mots de passe courants

Olga Svistunova, experte en sécurité chez Kaspersky, a commenté : « Les attaques d'ingénierie sociale sont considérées comme des méthodes de fraude extrêmement sophistiquées, notamment avec l'émergence de bots OTP capables de simuler légitimement les appels des représentants du service client. Pour rester vigilant, il est important de rester prudent et de respecter les mesures de sécurité. »

Les pirates informatiques utilisent simplement des algorithmes de devinette intelligents pour trouver facilement les mots de passe. Illustration

Car dans l'analyse de 193 millions de mots de passe menée par les experts de Kaspersky à l'aide d'algorithmes de devinette intelligents début juin, il s'agit également de mots de passe qui ont été compromis et vendus sur le darknet par des voleurs d'informations, il a été démontré que 45 % (équivalent à 87 millions de mots de passe) pouvaient être déchiffrés avec succès en une minute ; Seulement 23 % (44 millions) des combinaisons de mots de passe sont considérées comme suffisamment solides pour résister aux attaques, et déchiffrer ces mots de passe prendrait plus d’un an. Cependant, la plupart des mots de passe restants peuvent encore être déchiffrés dans un délai d'une heure à un mois.

En outre, les experts en cybersécurité ont également révélé les combinaisons de caractères les plus couramment utilisées lorsque les utilisateurs créent des mots de passe tels que : Nom : « ahmed », « nguyen », « kumar », « kevin », « daniel » ; mots populaires : « pour toujours », « amour », « google », « hacker », « gamer » ; Mot de passe standard : « password », « qwerty12345 », « admin », « 12345 », « team ».

L’analyse a révélé que seulement 19 % des mots de passe contenaient une combinaison de mots de passe forts, comprenant un mot non présent dans le dictionnaire, des lettres minuscules et majuscules, ainsi que des chiffres et des symboles. Dans le même temps, l’étude a également révélé que 39 % de ces mots de passe forts pouvaient encore être devinés par des algorithmes intelligents en moins d’une heure.

Il est intéressant de noter que les attaquants n’ont pas besoin de posséder des connaissances spécialisées ou un équipement avancé pour déchiffrer les mots de passe. Par exemple, un processeur d'ordinateur portable dédié peut déterminer avec précision une combinaison de mot de passe de 8 lettres ou de chiffres minuscules par force brute en seulement 7 minutes. De plus, la carte graphique intégrée gérera la même tâche en 17 secondes. De plus, les algorithmes intelligents de devinette de mot de passe ont tendance à remplacer les caractères (« e » par « 3 », « 1 » par « ! » ou « a » par « @ ») et les chaînes courantes (« qwerty », « 12345 », « asdfg »).

Utilisez des mots de passe avec des chaînes de caractères aléatoires pour les rendre difficiles à deviner pour les pirates. Illustration

« Inconsciemment, les gens ont tendance à créer des mots de passe très simples, utilisant souvent des mots du dictionnaire dans leur langue maternelle, tels que des noms et des chiffres... Même les combinaisons de mots de passe fortes s'écartent rarement de cette tendance, elles sont donc complètement prévisibles par les algorithmes », a déclaré Yuliya Novikova, responsable de Digital Footprint Intelligence chez Kaspersky.

Par conséquent, la solution la plus fiable consiste à générer un mot de passe totalement aléatoire à l’aide de gestionnaires de mots de passe modernes et fiables. Ces applications peuvent stocker en toute sécurité de grandes quantités de données, offrant ainsi une protection complète et puissante des informations des utilisateurs.

Pour augmenter la force des mots de passe, les utilisateurs peuvent appliquer les conseils simples suivants : utiliser un logiciel de sécurité réseau pour gérer les mots de passe ; Utilisez des mots de passe différents pour différents services. De cette façon, même si l’un de vos comptes est piraté, les autres sont toujours en sécurité ; La phrase secrète aide les utilisateurs à récupérer leurs comptes lorsqu'ils oublient leurs mots de passe. Il est plus sûr d’utiliser des mots moins courants. De plus, ils peuvent utiliser un service en ligne pour vérifier la force de leur mot de passe.

N'utilisez pas d'informations personnelles, telles que les dates de naissance, les noms des membres de votre famille, les noms de vos animaux de compagnie ou vos surnoms, comme mot de passe. Ce sont souvent les premières options qu’un attaquant essaiera lorsqu’il déchiffre un mot de passe.