Glossaire : Termes et définitions de la cybersécurité

Qu'est-ce que la fraude par prise de contrôle de compte (ATO) ?

Apprenez-en plus sur la fraude par prise de contrôle de compte, comment elle se produit et les stratégies de détection et de prévention de F5.

La prise de contrôle de compte (ATO) est l’attaque la plus répandue et la plus coûteuse ciblant les institutions financières, le commerce électronique et d’autres services numériques en ligne. À l’aide de robots automatisés et d’autres méthodes de cybercriminalité, les criminels utilisent des informations d’identification volées pour accéder aux comptes d’utilisateurs et les contrôler à des fins monétaires ou pour commettre une fraude. Les conséquences de la fraude par prise de contrôle de compte sont réelles : Selon l' étude Javelin 2022 sur la fraude à l'identité , 22 % des adultes américains ont été victimes de l'ATO.

Comment ça marche : Techniques de fraude par prise de contrôle de compte

La fraude par prise de contrôle de compte est l'aboutissement d'une série d'activités cybercriminelles, commençant généralement par des informations d'identification volées ou compromises, qui conduisent à des attaques de bourrage d'informations d'identification, qui peuvent entraîner la prise de contrôle des comptes en ligne d'un client. Une fois en charge, le criminel peut vider le compte des fonds, monétiser la valeur stockée et utiliser le compte pour d'autres fraudes.  

La forme la plus basique de bourrage d'informations d'identification implique des attaques par force brute pilotées par des robots, qui soumettent des combinaisons aléatoires de caractères aux formulaires de connexion jusqu'à ce que les attaquants trouvent une correspondance avec les informations d'identification d'un compte.

Comment les identifiants sont-ils volés ?

Les attaques de bourrage d’informations d’identification plus avancées commencent par des paires de nom d’utilisateur et de mot de passe valides qui ont été volées ou compromises lors de violations de données. Les identifiants volés peuvent être facilement achetés sur les marchés du dark web ( selon Cyber Security Hub, 22 milliards d'enregistrements de données ont été exposés rien qu'en 2022).

Les informations d’identification peuvent également être volées par le biais d’une série de cyberattaques et d’autres techniques de cybercriminalité, notamment :

  • Les attaques de phishing sont une sorte d'exploitation d'ingénierie sociale dans laquelle les criminels utilisent des e-mails, des SMS ou des messages sur les réseaux sociaux pour inciter les gens à révéler des informations privées telles que des identifiants de connexion, des informations de compte bancaire, des numéros de sécurité sociale ou d'autres données sensibles.
  • Keylogging, Magecart, skimming et autres formes de malwares côté client, dans lesquels les mauvais acteurs volent des informations d'identification en injectant des scripts malveillants dans des formulaires de paiement en ligne. Lorsque la victime saisit ses informations d'identification et de carte de crédit, le script transmet les données à l'attaquant, qui peut utiliser ces informations à des fins frauduleuses ou les vendre à d'autres criminels.
  • Attaques de l'homme du milieu (MitM), dans lesquelles les attaquants interceptent des messages ou des transactions de données en s'insérant en tant que proxy entre deux parties légitimes engagées dans une communication de données. Cela permet à l’attaquant d’« espionner » le transfert d’informations et de données des deux parties et de récolter les identifiants de connexion ou d’autres informations personnelles.

Une fois que les cybercriminels ont accumulé une réserve d’identifiants valides, ils peuvent commencer le processus de bourrage d’identifiants, souvent à grande échelle. Étant donné qu’environ deux tiers des consommateurs réutilisent les mêmes noms d’utilisateur et mots de passe sur plusieurs sites Web, ces identifiants recyclés sont facilement exploités par les cybercriminels et leurs armées de robots automatisés : Une fraction importante des informations d’identification piratées serviront également à accéder à des comptes sur d’autres sites. Une fois que les attaquants prennent le contrôle des comptes, ils peuvent modifier les informations d'identification pour verrouiller le propriétaire légitime du compte, drainer les actifs et utiliser les comptes pour commettre des actes de fraude supplémentaires.

Impacts de la fraude par prise de contrôle de compte

Selon les rapports d'American Banker , les pertes liées à la fraude numérique résultant d'attaques telles que ATO devraient dépasser 343 milliards de dollars à l'échelle mondiale entre 2023 et 2027. 

La prise de contrôle des comptes a également des effets au-delà du domaine financier. La marque et la réputation d’une organisation peuvent également en souffrir, ce qui peut entraîner une perte d’activité et une publicité négative concernant une faiblesse perçue en matière de sécurité. Cela peut entraîner des dommages à long terme pour la marque et il peut falloir des années pour reconstruire une réputation positive.

Les organisations peuvent également perdre la confiance et la fidélité des clients, ce qui peut entraîner la fin des relations commerciales. Les clients sont naturellement mécontents si les mesures de sécurité inadéquates d’une entreprise entraînent une prise de contrôle de compte et des activités frauduleuses coûteuses.

Les organisations peuvent également être confrontées à des conséquences juridiques et en matière de conformité en cas de manquement à la protection des données des consommateurs. La législation et les normes telles que le règlement général sur la protection des données (RGPD) dans l'UE, la loi californienne sur la protection des consommateurs (CCPA) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) sont conçues pour garantir la confidentialité des données des consommateurs et imposer de lourdes sanctions pécuniaires en cas de violation de données. Il s’agit notamment d’attaques ATO qui exposent des données privées à des robots.

Détection de fraude par prise de contrôle de compte

Il est important de surveiller les comptes et les activités des utilisateurs pour détecter les signes d’ATO.

  • Soyez attentif aux changements inattendus dans l’activité du compte. Ces changements peuvent inclure des transactions nouvelles ou non autorisées, des retraits importants, des pics de trafic aléatoires et sporadiques ou des demandes de modification de mot de passe, d’adresse ou de bénéficiaire du paiement. Ces activités anormales peuvent être un signe que le compte est attaqué. Dans ces cas, vérifiez le compte pour découvrir si l'un des détails de l'utilisateur, tels que le mot de passe ou le numéro de téléphone, a également changé, ce qui pourrait indiquer que le compte a été piraté.
  • Faites attention aux tentatives de connexion non reconnues . Une série de tentatives de connexion infructueuses peut indiquer qu'un acteur malveillant tente de pirater un compte à l'aide de méthodes de bourrage d'informations d'identification. Soyez particulièrement vigilant si les tentatives de connexion proviennent d’un emplacement inhabituel ou se produisent à un moment de la journée où le compte est généralement inactif. 
  • Faites attention aux appareils nouveaux ou non reconnus qui accèdent à un compte. L’activité provenant d’appareils nouveaux ou inconnus peut indiquer qu’un compte a été compromis ou qu’un fraudeur tente de se connecter avec des informations d’identification volées. De même, plusieurs appareils se connectant à un même compte peuvent également signaler que le compte est attaqué par des criminels.
  • Courriels ou SMS suspects. Une augmentation des e-mails et des courriers électroniques de phishing peut indiquer que les utilisateurs sont ciblés par des escrocs. Rappelez aux clients de ne jamais cliquer sur les pièces jointes ou les liens actifs dans un message numérique provenant d'un expéditeur inconnu, et de ne jamais fournir de noms d'utilisateur, de mots de passe ou d'informations personnelles ou financières à quiconque par téléphone ou sur Internet. Les entreprises légitimes ne demanderont pas d’informations de compte par e-mail ou par SMS.

Prévention des fraudes par usurpation de compte

Une approche proactive de prévention de l’ATO implique plusieurs niveaux de protection et de stratégies. Il s’agit notamment de méthodologies de bonnes pratiques, d’une attention particulière portée à la formation des utilisateurs, d’une surveillance de l’infrastructure en temps réel et de protections d’authentification renforcées.

Éducation et sensibilisation des utilisateurs

L’un des moyens les plus efficaces pour prévenir le piratage de compte consiste à mettre en place des programmes éducatifs qui apprennent aux utilisateurs à identifier et à résister aux risques. Les attaques ATO commencent souvent par du phishing, lorsqu'un mauvais acteur tente d'inciter les utilisateurs à révéler leurs informations d'identification de compte ou à cliquer sur des liens malveillants. Les e-mails et SMS de phishing peuvent être très convaincants, en particulier lorsque la communication contient des informations personnelles que les criminels peuvent collecter sur les réseaux sociaux. Assurez-vous également que les utilisateurs comprennent l’importance d’une bonne hygiène des mots de passe et appliquez l’utilisation de protocoles de mots de passe forts.

Mesures d’authentification renforcées

L'authentification forte nécessite que les utilisateurs présentent deux ou plusieurs facteurs de vérification, au-delà d'un nom d'utilisateur et d'un mot de passe, lors d'une tentative de connexion. Il existe plusieurs approches pour une authentification forte.

  • L'authentification à deux facteurs (2FA) est une méthode de sécurité de gestion des identités et des accès qui nécessite deux facteurs de vérification pour établir l'identité d'une personne afin d'accéder aux ressources et aux données. Dans la pratique courante, cela implique souvent de saisir un code d’accès à usage unique provenant d’un e-mail ou d’un SMS sur un appareil connu, tel qu’un smartphone ou un navigateur sur un ordinateur personnel.
  • Authentification multifacteur (MFA) est similaire à 2FA, sauf qu'au moins trois facteurs de vérification doivent être fournis pour une connexion réussie. Dans la plupart des cas, cela implique la réception d’un code à usage unique sur un appareil connu, ainsi que la fourniture d’une forme de biométrie, comme une lecture d’empreintes digitales, une analyse de la rétine ou une reconnaissance vocale. Il convient de noter que même si la 2FA et la MFA restent des outils précieux pour améliorer la sécurité des comptes en ligne, elles ne suffisent plus comme défense finale contre les attaques ATO, car elles peuvent facilement être contournées par des attaques criminelles et diminuer l'expérience d'utilisation.
  • L'authentification basée sur les risques est une méthode de gestion des accès qui ajuste les exigences du processus d'authentification au niveau de risque présenté par la tentative de connexion. Par exemple, une connexion pour simplement vérifier le solde d’un compte nécessiterait un processus d’authentification moins restrictif qu’une connexion pour modifier des mots de passe ou transférer des fonds vers un nouveau compte. Essentiellement, à mesure que le niveau de risque augmente, le processus d’authentification devient plus strict, nécessitant des facteurs et une surveillance supplémentaires.

Suivi et audit des comptes

Les consommateurs comme les entreprises doivent régulièrement surveiller et auditer leurs comptes pour détecter toute activité suspecte. Pour les consommateurs, cela implique de se connecter régulièrement à leurs comptes financiers et à d’autres comptes à valeur stockée (y compris les programmes de fidélité et les cartes-cadeaux) pour garder un œil sur les soldes et l’activité des comptes.

Les entreprises et les organisations peuvent utiliser une gamme de technologies pour automatiser la surveillance et l’audit continus des comptes, y compris des systèmes de suivi de compte qui utilisent l’apprentissage automatique et la détection basée sur l’IA pour aider à prévenir la fraude en identifiant les activités anormales qui ne correspondent pas au comportement habituel de l’utilisateur.

Pare-feu d'application Web (WAF)

Un WAF protège les applications Web en filtrant, surveillant et bloquant tout trafic HTTP/S malveillant circulant vers l'application Web, et empêche toute donnée non autorisée de quitter l'application. Pour ce faire, il adhère à un ensemble de politiques qui permettent de déterminer quel trafic est malveillant et quel trafic est sûr. Un WAF agit comme un intermédiaire qui protège le serveur d’application Web d’un client potentiellement malveillant.

Bien qu'elles ne soient pas spécifiquement conçues pour détecter l'activité ATO, les politiques WAF peuvent être ciblées pour aider à identifier et à bloquer les attaques de prise de contrôle de compte. Les WAF peuvent également aider à identifier les activités de robots malveillants, qui précèdent souvent les attaques de bourrage d'informations d'identification par force brute.

Ajoutez la détection et l’atténuation des robots aux réseaux

Les armées de bots permettent aux criminels d'intensifier leurs attaques, de contourner les contrôles MFA et de favoriser la fraude. L'automatisation signifie que les robots peuvent être déployés massivement pour accomplir la tâche qui leur est assignée, qu'il s'agisse de vol d'informations d'identification ou d'attaques de phishing. Les solutions de détection de robots offrent une visibilité sur les activités malveillantes telles que la création de faux comptes, la thésaurisation d'inventaire, le scraping et l'écrémage numérique des informations d'identification. Les solutions de détection de robots peuvent également fournir des alertes pour les attaques côté client, telles que le détournement de formulaire, l'écrémage numérique, Magecart et d'autres vulnérabilités JavaScript basées sur le navigateur.

Réagir à la fraude par prise de contrôle de compte

En raison de la multitude d’identifiants volés et compromis facilement disponibles sur le dark web, il est de plus en plus probable que les organisations soient confrontées à une cyberattaque, tôt ou tard. Il est impératif que les organisations préparent à l’avance des réponses et des processus robustes pour faire face à l’impact d’une cyberattaque sur l’institution et ses clients.

Plan de réponse aux incidents

Un plan de réponse aux incidents définit les étapes actives, les ressources disponibles et les stratégies de communication qui seront mises en place lors de l'identification d'un événement de menace. Un plan de réponse aux incidents doit définir les protocoles de réponse à l’événement et identifier une équipe de réponse aux incidents qui a été formée pour mettre en œuvre le plan.

Notification et assistance client

Il est essentiel que l’équipe d’intervention en cas d’incident informe directement les clients concernés et leur explique ce qui s’est passé, leur fasse savoir quelles mesures sont prises pour les protéger et les exhorte à modifier le mot de passe compromis s’il est utilisé sur d’autres comptes. Rester en contact avec les clients concernés est important pour rétablir la confiance.

Enquête et réparation

Une fois une attaque détectée, il est essentiel d’évaluer et de contenir l’incident, et d’identifier la nature et la portée de l’incident ainsi que les systèmes affectés. Une fois le point d’accès identifié, l’organisation doit éliminer l’accès non autorisé de l’attaquant aux comptes impactés et corriger les comptes compromis pour s’assurer qu’ils ne peuvent plus être utilisés de manière malveillante. Dans le cadre de l’examen de la récupération de la fraude, analysez comment empêcher qu’une telle attaque ne se reproduise.

Communication et transparence

Il est important de communiquer sur les failles de sécurité et les attaques de manière transparente, car la rétention d’informations peut être perçue par les régulateurs, les médias ou les consommateurs comme une dissimulation, et peut considérablement aggraver l’impact financier de l’attaque.

Résumé

Aujourd’hui, toute organisation émettant ou acceptant des paiements numériques est une cible de l’ATO, et la menace d’attaque continue de croître. Cela place les commerçants en ligne, les institutions financières et les organismes de services dans une situation paradoxale : En répondant aux préférences des clients pour des services et des applications en ligne plus pratiques, ils s’exposent à un risque accru de fraude et d’autres formes de cybercriminalité.  Une fois qu'un compte est compromis, un fraudeur peut drainer des fonds, voler des biens ou des services ou accéder à des informations de paiement pour les utiliser sur d'autres sites, aliénant ainsi les clients et érodant les revenus.

Les contrôles 2FA et MFA conventionnels ne suffisent plus à arrêter les cybercriminels qui lancent des attaques ATO de plus en plus sophistiquées. Pour prévenir l’ATO, il faut adopter une approche de bout en bout en matière de sécurité et de prévention de la fraude qui évalue l’intention, rationalise les expériences numériques et arrête l’ATO en identifiant les schémas de fraude et les transactions risquées avant qu’elles n’aient lieu.

Comment F5 peut vous aider

Les solutions de sécurité et de prévention de la fraude F5 offrent la protection contre la prise de contrôle de compte la plus complète du secteur sur une seule plateforme . En utilisant des technologies sophistiquées telles que la modélisation des renseignements sur les menaces et l'apprentissage automatique pour détecter les techniques d'attaque, Distributed Cloud Bot Defense déploie des contre-mesures appropriées en temps réel pour lutter contre la fraude et l'ATO pilotées par les robots avec une efficacité maximale. Distributed Cloud Authentication Intelligence reconnaît les utilisateurs légitimes tout au long du parcours client, et Distributed Cloud Client-Side Defense fournit un aperçu en temps réel des attaques d'écrémage numérique côté client.

Associée à la suppression rapide de la fraude après connexion via Distributed Cloud Account Protection , la plate-forme de sécurité et de prévention de la fraude F5 Distributed Cloud fournit une approche de bout en bout qui évalue l'intention, rationalise les expériences numériques et arrête les tentatives ATO qui conduisent autrement à la fraude, à la perte de revenus et à une fidélité client réduite.