Nouvelle forme d'attaque de phishing en hausse

L’authentification à deux facteurs est devenue une fonctionnalité de sécurité standard en matière de cybersécurité. Ce formulaire demande aux utilisateurs de vérifier leur identité avec une deuxième étape d'authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, e-mail ou application d'authentification.

Cette couche de sécurité supplémentaire est destinée à protéger le compte d'un utilisateur même si son mot de passe est volé. Cependant, les escrocs ont utilisé des méthodes sophistiquées pour inciter les utilisateurs à révéler ces OTP, leur permettant ainsi de contourner les protections 2FA, via des robots OTP.

OTP Bot est un outil sophistiqué utilisé par les escrocs pour intercepter les codes OTP via des attaques d'ingénierie sociale. Les attaquants tentent souvent de voler les identifiants de connexion des victimes en utilisant des méthodes telles que le phishing ou en exploitant les vulnérabilités des données pour voler des informations.

Ils se connectent ensuite au compte de la victime, déclenchant l'envoi d'un code OTP sur le téléphone de la victime. Ensuite, le bot OTP appellera automatiquement la victime, se faisant passer pour un employé d'une organisation de confiance, en utilisant un script de conversation préprogrammé pour convaincre la victime de révéler le code OTP. Enfin, l'attaquant reçoit le code OTP via le bot et l'utilise pour obtenir un accès non autorisé au compte de la victime.

Les escrocs préfèrent utiliser les appels vocaux plutôt que les messages texte, car les victimes ont tendance à répondre plus rapidement à cette méthode. En conséquence, le bot OTP simulera le ton et l’urgence d’un humain dans l’appel pour créer un sentiment de confiance et de persuasion.

Pour utiliser un bot OTP, l'escroc doit d'abord voler les identifiants de connexion de la victime. Ils utilisent souvent des sites Web de phishing conçus pour ressembler à des pages de connexion légitimes pour des banques, des services de messagerie ou d’autres comptes en ligne. Lorsque la victime saisit son nom d'utilisateur et son mot de passe, l'escroc collecte automatiquement ces informations instantanément (en temps réel).

Selon les statistiques de Kaspersky, du 1er mars au 31 mai 2024, leurs solutions de sécurité ont empêché 653 088 visites de sites Web créés par des kits d'outils de phishing ciblant les banques.

Les données volées sur ces sites Web sont souvent utilisées dans des attaques de robots OTP. Au cours de cette même période, la société de cybersécurité a détecté 4 721 sites Web de phishing créés par des kits d'outils destinés à contourner l'authentification à deux facteurs en temps réel.

Solution

Bien que la 2FA soit une mesure de sécurité importante, ce n’est pas une solution miracle. Pour protéger les utilisateurs de ces escroqueries sophistiquées, les experts en cybersécurité recommandent :

- Évitez de cliquer sur les liens contenus dans les messages électroniques suspects. Si un utilisateur doit se connecter à son compte dans une organisation, saisissez l'adresse exacte du site Web ou utilisez un signet.

- Assurez-vous que l'adresse du site Web est correcte et sans fautes de frappe. Vous pouvez utiliser l'outil Whois pour vérifier les informations d'enregistrement du site Web. Si le site Web a été récemment enregistré, il y a de fortes chances qu'il s'agisse d'un site frauduleux.

- Ne fournissez jamais de code OTP par téléphone, même si l'appelant semble convaincant. Les banques et autres organisations réputées ne demandent jamais aux utilisateurs de lire ou de saisir un code OTP par téléphone pour vérifier leur identité.