BLOG

Comment les comptes en ligne sont-ils piratés par les cybercriminels ?

Miniature de Frank Kyei-Manu
Frank Kyei-Manu
Publié le 18 octobre 2022

Une amie a récemment partagé l’histoire d’un jeu auquel elle jouait avec sa famille lorsqu’elle était enfant. Lors de leurs déplacements, ils essayaient de deviner d’où venaient les gens dans les autres voitures. Leurs suppositions étaient basées sur des informations limitées : au mieux, l’état indiqué sur une plaque d’immatriculation ou des autocollants sur un pare-chocs.

Aujourd’hui, en revanche, nos informations personnelles sont extrêmement faciles à trouver sur nos actifs numériques, et il est devenu plus facile pour les acteurs malveillants d’y accéder par le biais de tactiques d’ingénierie sociale telles que le phishing et le smishing.

La psychologie d'un cybercriminel

La cybercriminalité, comme la plupart des crimes, commence par une notion de MOM, c'est-à-dire de moyens, d'opportunité et de motif. Il est important de comprendre la psychologie d’un cybercriminel et ce qui le pousse à commettre une cyberfraude :

  • Moyens: Les capacités, les outils et les moyens de commettre des crimes sont abondants. Aujourd’hui plus que jamais, les criminels n’ont pas besoin d’être des experts sophistiqués pour commettre des fraudes, grâce à un surplus d’outils et de services gratuits qu’ils peuvent utiliser.
  • Opportunité: Les cibles potentielles sont nombreuses. L’économie des application en plein essor, avec la numérisation de tout, de l’argent aux dossiers médicaux personnels, signifie que les cybercriminels ont suffisamment d’occasions et de cibles pour commettre des fraudes.
  • Motif: Habituellement, mais pas toujours, le motif est financier.

Supposons que vous soyez attaqué

En général, partez du principe que chaque application destinée aux consommateurs et chaque compte numérique que vous contrôlez seront attaqués tôt ou tard. Cela arrive même aux comptes les mieux protégés, car les attaquants sont devenus experts dans l’exploitation de la logique des applications pour commettre des fraudes.

Gagner contre les cybercriminels exige un travail d’équipe. L'équipe comprend des titulaires de comptes individuels et des développeurs application d'institutions, des équipes de lutte contre la fraude et des équipes de sécurité. La bonne approche nécessite également un effort collectif de la part des individus qui utilisent ces applications et des entreprises qui les créent, et devrait commencer par la convergence des équipes de sécurité et de fraude dans leurs défenses contre les menaces application automatisées pour arrêter les attaques de robots en amont, ce qui empêchera la fraude en aval.

Les robots sont une arme à double tranchant

L’automatisation, en soi, est une bonne chose. Les robots automatisent les tâches répétitives, aident les entreprises à engager les clients et à renforcer l'affinité avec la marque. Par exemple, vous avez peut-être interagi avec un chatbot de service client pour recevoir des réponses en temps réel à vos questions.

Cependant, entre de mauvaises mains, les robots et l'automatisation sont des outils puissants qui peuvent être utilisés pour mener des attaques malveillantes telles que le credential stuffing pour prendre le contrôle de comptes et commettre des fraudes.

En règle générale, les attaques de credential stuffing exploitent des informations d’identification précédemment volées et les testent sur de nombreux domaines. Ces attaques profitent du fait que les noms d’utilisateur et les mots de passe sont couramment réutilisés dans de nombreuses applications.

En fait, un rapport récent montre que les employés réutilisent les mots de passe 13 fois en moyenne. De plus , même lorsque les consommateurs sont informés que leurs comptes ont été piratés, seulement un tiers d’entre eux changent leur mot de passe.

Les cybercriminels profitent de ces faiblesses pour commettre de nombreux types de fraudes, notamment :

  • Fraude financière : Les attaquants utilisent les informations personnelles volées pour ouvrir ou accéder à un compte au nom de la victime afin de voler son argent. Ces comptes peuvent également soutenir d’autres activités criminelles telles que le blanchiment d’argent.
  • Fraude au détail : Les attaquants utilisent les informations personnelles volées pour effectuer des achats dans des magasins de détail ou sur des sites de commerce électronique , accumuler des stocks et voler des cartes-cadeaux dont le solde est positif.
  • Fraude dans le domaine de l'hôtellerie : Ce type de fraude cible généralement les programmes de voyage et de fidélité des clients . Les attaquants utilisent des services de voyage ou d’hôtellerie frauduleux pour récolter vos informations d’identification et d’identité à d’autres fins. Ils utilisent également des points de fidélité, des miles aériens et des points de récompense précédemment récoltés pour réserver des services de voyage pour eux-mêmes ou pour d’autres.

Le problème des attaques d'identifiants

Les attaques basées sur l’identité sont la principale source d’attaques Web automatisées qui conduisent à la fraude. Les informations d’identité sont facilement disponibles à l’achat sur les forums de cybercriminalité. Les listes peuvent être trouvées et achetées sur certaines plateformes de médias sociaux.

Les identifiants récents, comme ceux volés au cours des deux derniers jours, ont plus de valeur et coûtent plus cher à acheter pour les cybercriminels. Les diplômes obsolètes ont moins de valeur car leurs chances de succès sont bien moindres. Étant donné que des informations d’identification précieuses et des informations personnelles identifiables sont obtenues à partir de violations de comptes externes, ces attaques sont difficiles à identifier et à arrêter.

Prenons un exemple. Une fois les informations d’identification volées ou acquises, les cybercriminels utilisent des robots ou d’autres outils automatisés pour tenter de créer ou d’accéder à des comptes. Des milliers (ou même des millions) de tentatives peuvent être effectuées. Le taux de réussite des attaques basées sur les informations d’identification oscille entre 0,2 % et 2 % . Même si ces pourcentages peuvent paraître faibles, les attaques d’identifiants n’ont pas besoin d’un taux de réussite élevé, car des milliards d’identifiants sont disponibles gratuitement ou à un coût nominal.

Imaginez atteindre un million de comptes et obtenir un taux de réussite compris entre 2 000 et 20 000. C'est un chiffre ahurissant !

Prévenir la prise de contrôle de compte et la fraude

Il est important de comprendre que chacune de ces activités criminelles constitue un maillon d’une chaîne d’événements. Le « cycle d’attaque industrialisé » (voir figure ci-dessous) illustre les éléments critiques de l’écosystème. Malheureusement, il s’agit d’un écosystème vaste et résilient. Il est donc impératif que les individus et les organisations soient vigilants pour se protéger, ainsi que leurs clients et leurs partenaires commerciaux.

En tant qu’individus, nous devons apprendre à identifier les attaques de phishing potentiellement dangereuses, à utiliser des mots de passe extrêmement forts et à limiter la réutilisation des mots de passe sur différents comptes.

Dans le même temps, les équipes de sécurité et de lutte contre la fraude doivent travailler ensemble pour contrecarrer collectivement le cycle de vie des attaques industrialisées.

Regardez la vidéo ci-dessous pour découvrir comment F5 aide les organisations à se protéger contre la cyberfraude.
 

Restez à l’écoute pour le dernier article de blog de notre série en quatre parties pour le Mois de sensibilisation à la cybersécurité qui explore les API et pourquoi elles peuvent constituer un problème de sécurité. Assurez-vous également de lire nos articles de blog précédents, Comment les applications modernes sont créées et déployées et Comment les mauvais acteurs exploitent les applications avec des attaques .