Qu’est-ce que la fraude par prise de contrôle de compte (ATO) ?

Découvrez la fraude par prise de contrôle de compte, comment elle se produit et quelles sont les stratégies de détection et de prévention de F5.

La prise de contrôle de compte (ATO) est l’attaque la plus répandue et la plus coûteuse ciblant les institutions financières, le commerce électronique et d’autres services numériques en ligne. En utilisant des robots automatisés et d’autres méthodes de cybercriminalité, les criminels dérobent des informations d’identification et les utilisent pour prendre le contrôle de comptes d’utilisateurs à des fins lucratives ou pour commettre des fraudes. Les impacts de la fraude par prise de contrôle de compte sont réels : selon l’étude Javelin 2022 ID Fraud Study, 22 % des adultes américains ont été victimes d’ATO.

Fonctionnement : techniques de fraude par prise de contrôle de compte

La fraude par prise de contrôle de compte est l’aboutissement d’une série d’activités cybercriminelles, dont la première est généralement le vol ou la compromission d’identifiants. Ces activités conduisent à des attaques par credential stuffing, qui peuvent entraîner la prise de contrôle des comptes en ligne d’un client. Une fois qu’il a pris le contrôle, le criminel peut vider le compte de ses fonds, monétiser la valeur stockée et utiliser le compte pour d’autres fraudes.

La forme la plus élémentaire de credential stuffing implique des attaques par force brute pilotées par des robots, qui soumettent des combinaisons aléatoires de caractères aux formulaires de connexion jusqu’à ce qu’elles correspondent aux identifiants d’un compte.

Comment les informations d’identification sont-elles volées ?

Les attaques par credential stuffing plus avancées exploitent des paires de noms d’utilisateur et de mots de passe valides qui ont été volées ou compromises lors de violations de données. Les identifiants volés sont faciles à acquérir sur les marchés du dark web (selon Cyber Security Hub, 22 milliards d’enregistrements de données ont été exposés pour la seule année 2022).

Les informations d’identification peuvent également être volées par le biais d’un éventail de cyberattaques et d’autres techniques de cybercriminalité :

  • Attaques par hameçonnage, type d’exploitation d’ingénierie sociale dans lequel les criminels utilisent des e-mails, des messages textes ou des messages sur les réseaux sociaux pour amener les gens à révéler des informations privées telles que leurs identifiants de connexion, leurs informations de compte bancaire, leur numéro de sécurité sociale ou d’autres données sensibles.
  • Keylogging, Magecart, skimming et autres formes de logiciels malveillants côté client : les malfaiteurs volent des informations d’identification en injectant des scripts malveillants dans des formulaires de paiement en ligne. Lorsque la victime saisit des informations d’identification et des informations de carte de crédit, le script transmet les données à l’attaquant, qui peut utiliser les informations à des fins de fraude ou les vendre à d’autres criminels.
  • Attaques Man in the Middle (MitM) : les attaquants interceptent des messages ou des transactions de données en s’insérant en tant qu’intermédiaire entre deux parties légitimes engagées dans la communication de données. Cela permet à l’attaquant d’« écouter » le transfert d’informations et de données des deux parties et de collecter des identifiants de connexion ou d’autres informations personnelles.

Une fois que les cybercriminels ont accumulé une réserve d’informations d’identification valides, ils peuvent commencer le processus de credential stuffing, souvent à grande échelle. Deux tiers des consommateurs environ réutilisent les mêmes noms d’utilisateur et mots de passe sur plusieurs sites Web : ces informations d’identification recyclées sont facilement exploitées par les cybercriminels et leurs armées de robots automatisés, car une grande part des identifiants compromis permettra également d’accéder à des comptes sur d’autres sites. Une fois que les attaquants ont pris le contrôle des comptes, ils peuvent modifier les informations d’identification pour exclure le propriétaire légitime du compte, vider les actifs et utiliser le compte pour commettre d’autres actes de fraude.

Impacts de la fraude par prise de contrôle de compte

Les pertes liées à la fraude numérique résultant d’attaques telles que les ATO devraient dépasser 343 milliards de dollars dans le monde entre 2023 et 2027, selon les rapports d’American Banker.

La prise de contrôle de compte a également des effets au-delà du domaine financier. La marque et la réputation d’une organisation peuvent aussi en souffrir, la perception de faiblesse en matière de sécurité va susciter une publicité négative, ce qui peut entraîner une perte d’activité. Les dommages peuvent être durables pour la marque, et il faut parfois des années pour rebâtir une réputation positive.

Les organisations peuvent également perdre la confiance et la fidélité de leurs clients, avec un risque de résiliation des relations commerciales. On le comprend, les clients seront mécontents si des négligences dans les mesures de sécurité d’une entreprise sont responsables d’une prise de contrôle du compte et d’activités frauduleuses coûteuses.

Les organisations peuvent également être confrontées à des conséquences juridiques et réglementaires en cas de manquement à la protection des données des consommateurs. La législation et des normes telles que le Règlement général sur la protection des données (RGPD) au sein de l’UE, la Loi californienne sur la protection des consommateurs (CCPA) et la norme Payment Card Industry Data Security Standard (PCI-DSS) sont conçues pour garantir la confidentialité des données des consommateurs et imposer d’importantes sanctions financières en cas de violation des données. Cela concerne notamment les attaques ATO qui exposent des données privées à des robots.

Détection de la fraude par prise de contrôle de compte

Il est important de surveiller les comptes et l’activité des utilisateurs pour détecter les signes d’ATO.

  • Surveillez les changements inattendus dans l’activité du compte. Ces changements peuvent prendre de nombreuses formes : transactions nouvelles ou non autorisées, retraits importants, pics de trafic aléatoires et sporadiques, ou demandes de changement de mot de passe, d’adresse ou de bénéficiaire de paiement. Ces activités anormales peuvent être le signe que le compte est attaqué. Dans ces situations, vérifiez le compte pour savoir si l’une des informations de l’utilisateur (mot de passe, numéro de téléphone, etc.) a également changé, ce qui pourrait indiquer que le compte a été piraté.
  • Surveillez les tentatives de connexion non reconnues. Une série de tentatives de connexion infructueuses peut indiquer qu’un acteur malveillant tente d’entrer dans un compte par effraction à l’aide de méthodes de credential stuffing. Soyez particulièrement vigilant si les tentatives de connexion proviennent d’un endroit inhabituel ou se produisent à un moment de la journée où le compte est généralement inactif. 
  • Faites attention aux appareils nouveaux ou non reconnus qui accèdent à un compte. Une activité provenant d’appareils nouveaux ou inconnus peut indiquer qu’un compte a été compromis ou qu’un fraudeur tente de se connecter avec des informations d’identification volées. De même, le fait que plusieurs appareils se connectent à un seul compte peut également être le signe que le compte est attaqué par des criminels.
  • E-mail ou SMS suspects. Une augmentation des e-mails et SMS d’hameçonnage peut indiquer que les utilisateurs sont ciblés par des escrocs. Rappelez à vos clients de ne jamais cliquer sur des pièces jointes ou des liens directs contenus dans un message numérique provenant d’un expéditeur inconnu, et de ne jamais fournir de nom d’utilisateur, de mot de passe ou d’informations personnelles ou financières à quiconque par téléphone ou par Internet. Les entreprises légitimes ne leur demanderont pas d’informations sur leur compte par e-mail ou par SMS.

Prévention de la fraude par prise de contrôle de compte

Une approche proactive de la prévention des ATO implique plusieurs niveaux de protection et de stratégies. Elle s’appuie sur des méthodologies de bonnes pratiques, et met l’accent sur l’éducation des utilisateurs, la surveillance de l’infrastructure en temps réel et des protections d’authentification robustes.

Éducation et sensibilisation des utilisateurs

L’un des moyens les plus efficaces d’empêcher la prise de contrôle des comptes consiste à mettre en place des programmes de sensibilisation pour apprendre aux utilisateurs à identifier les risques et à y résister. Les attaques ATO commencent souvent par l’hameçonnage : un acteur malveillant tente d’inciter les utilisateurs à révéler les identifiants de leur compte ou à cliquer sur des liens malveillants. Les e-mails et les textes d’hameçonnage peuvent être très convaincants, en particulier lorsque la communication contient des informations personnelles que les criminels auront pu collecter sur les réseaux sociaux. Assurez-vous également que les utilisateurs comprennent l’importance d’une bonne hygiène en matière de mot de passe et imposez des protocoles de mots de passe forts.

Mesures d’authentification fortes

L’authentification forte nécessite que les utilisateurs présentent un ou plusieurs facteurs de vérification en plus du nom d’utilisateur et du mot de passe lors d’une tentative de connexion. Il existe plusieurs approches d’authentification forte.

  • L’authentification à deux facteurs (2FA) est une méthode de gestion des identités et des accès qui exige deux facteurs de vérification pour établir une identité et octroyer l’accès aux ressources et aux données. Dans la pratique courante, cela implique souvent de saisir un code d’accès unique envoyé par e-mail ou par SMS dans un appareil connu – smartphone ou navigateur d’un ordinateur personnel.
  • L’authentification multifactorielle (MFA) est similaire à la 2FA, excepté qu’au moins trois facteurs de vérification doivent être fournis pour une connexion réussie. Dans la plupart des cas, cela implique de recevoir un code unique sur un appareil connu, ainsi que de fournir une forme de biométrie, comme une lecture d’empreintes digitales, un scan de la rétine ou une reconnaissance vocale. Il convient de noter que si la 2FA et la MFA restent des outils précieux pour améliorer la sécurité des comptes en ligne, elles ne suffisent plus à constituer une défense finale contre les attaques ATO, car elles peuvent facilement être contournées par des attaques criminelles qui vont réduire leur efficacité.
  • L’authentification basée sur le risque est une méthode de gestion des accès qui ajuste les exigences du processus d’authentification au niveau de risque présenté par la tentative de connexion. Par exemple, une connexion ayant simplement pour but de vérifier le solde d’un compte nécessitera un processus d’authentification moins restrictif qu’une connexion visant à changer de mot de passe ou transférer des fonds vers un nouveau compte. Pour dire les choses simplement, à mesure que le niveau de risque augmente, le processus d’authentification devient plus strict et impose des facteurs et une surveillance supplémentaires.

Contrôle et vérification des comptes

Les consommateurs et les entreprises doivent surveiller et auditer régulièrement les comptes pour détecter toute activité suspecte. Pour les consommateurs, cela consiste à se connecter régulièrement à leurs comptes financiers et autres comptes à valeur stockée (y compris les programmes de fidélité et les cartes-cadeaux) pour garder un œil sur les soldes et l’activité du compte.

Les entreprises et les organisations peuvent utiliser une gamme de technologies pour automatiser la surveillance et l’audit continus des comptes. On pense notamment aux systèmes de suivi des comptes, qui utilisent le machine learning et la détection basée sur l’IA pour aider à prévenir la fraude en identifiant les activités anormales qui ne correspondent pas au comportement habituel de l’utilisateur.

Pare-feu d’application Web (WAF)

Un WAF protège vos applications Web en filtrant, surveillant et bloquant tout trafic HTTP/S malveillant circulant vers l’application Web, et empêche toute donnée non autorisée de quitter l’application. Pour ce faire, il applique un ensemble de politiques visant à déterminer quel trafic est malveillant et quel trafic est sûr. Un WAF agit en tant qu’intermédiaire pour protéger le serveur d’application Web d’un client potentiellement malveillant.

Bien qu’elles ne soient pas spécifiquement conçues pour détecter l’activité des ATO, les politiques WAF peuvent aider à identifier et bloquer les attaques par prise de contrôle de comptes. Les WAF peuvent également faciliter l’identification des activités de robots malveillants, qui précèdent souvent les attaques par credential stuffing et par force brute.

Ajouter la détection et l’atténuation des bots aux réseaux

Des armées de bots permettent aux criminels d’étendre leurs attaques, de contourner les contrôles de la MFA et de mener des activités frauduleuses. Avec l’automatisation, les robots peuvent être déployés massivement pour accomplir différentes tâches, qu’il s’agisse de credential stuffing ou d’attaques par hameçonnage. Les solutions de détection de robots offrent une visibilité sur les activités malveillantes telles que la création de faux comptes, l’accaparement de stock, le scraping et le skimming numérique des informations d’identification. Les solutions de détection de robots peuvent également émettre des alertes en cas d’attaque côté client, qu’elle prenne la forme de détournement de formulaire, de skimming numérique, de Magecart ou d’autres vulnérabilités JavaScript basées sur le navigateur.

Répondre à la fraude par prise de contrôle de compte

En raison de la multitude d’identifiants volés et compromis disponibles facilement sur le dark web, la probabilité qu’une organisation subisse tôt ou tard une cyberattaque augmente constamment. Les entreprises doivent impérativement préparer des réponses et des processus robustes pour faire face à l’impact d’une cyberattaque sur leurs activités et leurs clients.

Plan de réponse aux incidents

Un plan de réponse aux incidents définit les étapes d’action, les ressources disponibles et les stratégies de communication qui seront mises en place en cas d’événement menaçant. Un plan de réponse aux incidents doit définir les protocoles de réponse et identifier une équipe d’intervention, qui aura été formée à la mise en œuvre du plan.

Notification du client et assistance

Il est essentiel que l’équipe de réponse aux incidents informe directement les clients concernés et leur explique ce qui s’est passé. Elle doit leur communiquer les mesures prises pour les protéger et les inciter à modifier le mot de passe compromis s’il est utilisé sur d’autres comptes. Il est essentiel de rester en contact avec les clients concernés pour rétablir la confiance.

Enquête et remédiation

Une fois qu’une attaque est détectée, il est crucial d’évaluer et de contenir l’incident. Il faut ensuite identifier la nature et la portée de l’incident et les systèmes affectés. Une fois le point d’accès identifié, l’organisation doit supprimer l’accès non autorisé de l’attaquant aux comptes concernés et corriger les comptes compromis pour qu’ils ne puissent plus être utilisés à des fins malveillantes. Dans le cadre du bilan de récupération post-fraude, vous devez identifier les moyens d’empêcher une telle attaque de se reproduire.

Communication et transparence

Il est important de communiquer sur les attaques et les atteintes à la sécurité avec transparence, car la rétention d’informations peut être perçue par les régulateurs, les médias ou les consommateurs comme une dissimulation, ce qui peut considérablement aggraver l’impact financier de l’attaque.

Résumé

Aujourd’hui, toute organisation émettant ou acceptant des paiements numériques est une cible d’ATO, et la menace continue de croître. Cela place les commerçants en ligne, les institutions financières et les organisations de services dans une situation paradoxale : lorsqu’ils répondent aux attentes des clients qui veulent des services et des applications en ligne plus pratiques, ils s’exposent à un risque accru de fraude et d’autres formes de cybercriminalité. Une fois qu’un compte est compromis, un fraudeur peut drainer ses fonds, voler des biens ou des services, ou accéder aux informations de paiement pour les utiliser sur d’autres sites, aliénant les clients et érodant les revenus.

Les contrôles conventionnels par 2FA et MFA ne sont plus suffisants pour arrêter les cybercriminels qui lancent des attaques ATO de plus en plus sophistiquées. Pour prévenir les ATO, il faut une approche de bout en bout de la sécurité et de la prévention de la fraude. Cette approche doit évaluer l’intention, rationaliser les expériences numériques et arrêter les ATO en identifiant les schémas de fraude et les transactions à risque avant qu’ils n’aient lieu.

Comment F5 peut vous aider

Les solutions de sécurité et de prévention de la fraude F5 offrent la protection contre la prise de contrôle de compte la plus complète du secteur sur une plateforme unique. À l’aide de technologies sophistiquées telles que la modélisation des renseignements sur les menaces et le machine learning pour détecter les techniques des attaquants, Distributed Cloud Bot Defense déploie des contre-mesures appropriées en temps réel pour lutter contre la fraude et les ATO pilotés par les robots avec une efficacité maximale. Distributed Cloud Authentication Intelligence reconnaît les utilisateurs légitimes tout au long du parcours client, et Distributed Cloud Client-Side Defense fournit un aperçu en temps réel des attaques par skimming numérique côté client.

Couplée à la suppression rapide de la fraude après connexion via Distributed Cloud Account Protection, la plateforme de sécurité et de prévention de la fraude F5 Distributed Cloud fournit une approche de bout en bout qui évalue l’intention, rationalise les expériences numériques et arrête les tentatives d’ATO susceptibles autrement d’entraîner des fraudes, des pertes de revenus et une dégradation de la fidélité des clients.