Découvrez la fraude par prise de contrôle de compte, comment elle se produit et quelles sont les stratégies de détection et de prévention de F5.
La prise de contrôle de compte (ATO) est l’attaque la plus répandue et la plus coûteuse ciblant les institutions financières, le commerce électronique et d’autres services numériques en ligne. En utilisant des robots automatisés et d’autres méthodes de cybercriminalité, les criminels dérobent des informations d’identification et les utilisent pour prendre le contrôle de comptes d’utilisateurs à des fins lucratives ou pour commettre des fraudes. Les impacts de la fraude par prise de contrôle de compte sont réels : selon l’étude Javelin 2022 ID Fraud Study, 22 % des adultes américains ont été victimes d’ATO.
La fraude par prise de contrôle de compte est l’aboutissement d’une série d’activités cybercriminelles, dont la première est généralement le vol ou la compromission d’identifiants. Ces activités conduisent à des attaques par credential stuffing, qui peuvent entraîner la prise de contrôle des comptes en ligne d’un client. Une fois qu’il a pris le contrôle, le criminel peut vider le compte de ses fonds, monétiser la valeur stockée et utiliser le compte pour d’autres fraudes.
La forme la plus élémentaire de credential stuffing implique des attaques par force brute pilotées par des robots, qui soumettent des combinaisons aléatoires de caractères aux formulaires de connexion jusqu’à ce qu’elles correspondent aux identifiants d’un compte.
Les attaques par credential stuffing plus avancées exploitent des paires de noms d’utilisateur et de mots de passe valides qui ont été volées ou compromises lors de violations de données. Les identifiants volés sont faciles à acquérir sur les marchés du dark web (selon Cyber Security Hub, 22 milliards d’enregistrements de données ont été exposés pour la seule année 2022).
Les informations d’identification peuvent également être volées par le biais d’un éventail de cyberattaques et d’autres techniques de cybercriminalité :
Une fois que les cybercriminels ont accumulé une réserve d’informations d’identification valides, ils peuvent commencer le processus de credential stuffing, souvent à grande échelle. Deux tiers des consommateurs environ réutilisent les mêmes noms d’utilisateur et mots de passe sur plusieurs sites Web : ces informations d’identification recyclées sont facilement exploitées par les cybercriminels et leurs armées de robots automatisés, car une grande part des identifiants compromis permettra également d’accéder à des comptes sur d’autres sites. Une fois que les attaquants ont pris le contrôle des comptes, ils peuvent modifier les informations d’identification pour exclure le propriétaire légitime du compte, vider les actifs et utiliser le compte pour commettre d’autres actes de fraude.
Les pertes liées à la fraude numérique résultant d’attaques telles que les ATO devraient dépasser 343 milliards de dollars dans le monde entre 2023 et 2027, selon les rapports d’American Banker.
La prise de contrôle de compte a également des effets au-delà du domaine financier. La marque et la réputation d’une organisation peuvent aussi en souffrir, la perception de faiblesse en matière de sécurité va susciter une publicité négative, ce qui peut entraîner une perte d’activité. Les dommages peuvent être durables pour la marque, et il faut parfois des années pour rebâtir une réputation positive.
Les organisations peuvent également perdre la confiance et la fidélité de leurs clients, avec un risque de résiliation des relations commerciales. On le comprend, les clients seront mécontents si des négligences dans les mesures de sécurité d’une entreprise sont responsables d’une prise de contrôle du compte et d’activités frauduleuses coûteuses.
Les organisations peuvent également être confrontées à des conséquences juridiques et réglementaires en cas de manquement à la protection des données des consommateurs. La législation et des normes telles que le Règlement général sur la protection des données (RGPD) au sein de l’UE, la Loi californienne sur la protection des consommateurs (CCPA) et la norme Payment Card Industry Data Security Standard (PCI-DSS) sont conçues pour garantir la confidentialité des données des consommateurs et imposer d’importantes sanctions financières en cas de violation des données. Cela concerne notamment les attaques ATO qui exposent des données privées à des robots.
Il est important de surveiller les comptes et l’activité des utilisateurs pour détecter les signes d’ATO.
Une approche proactive de la prévention des ATO implique plusieurs niveaux de protection et de stratégies. Elle s’appuie sur des méthodologies de bonnes pratiques, et met l’accent sur l’éducation des utilisateurs, la surveillance de l’infrastructure en temps réel et des protections d’authentification robustes.
L’un des moyens les plus efficaces d’empêcher la prise de contrôle des comptes consiste à mettre en place des programmes de sensibilisation pour apprendre aux utilisateurs à identifier les risques et à y résister. Les attaques ATO commencent souvent par l’hameçonnage : un acteur malveillant tente d’inciter les utilisateurs à révéler les identifiants de leur compte ou à cliquer sur des liens malveillants. Les e-mails et les textes d’hameçonnage peuvent être très convaincants, en particulier lorsque la communication contient des informations personnelles que les criminels auront pu collecter sur les réseaux sociaux. Assurez-vous également que les utilisateurs comprennent l’importance d’une bonne hygiène en matière de mot de passe et imposez des protocoles de mots de passe forts.
L’authentification forte nécessite que les utilisateurs présentent un ou plusieurs facteurs de vérification en plus du nom d’utilisateur et du mot de passe lors d’une tentative de connexion. Il existe plusieurs approches d’authentification forte.
Les consommateurs et les entreprises doivent surveiller et auditer régulièrement les comptes pour détecter toute activité suspecte. Pour les consommateurs, cela consiste à se connecter régulièrement à leurs comptes financiers et autres comptes à valeur stockée (y compris les programmes de fidélité et les cartes-cadeaux) pour garder un œil sur les soldes et l’activité du compte.
Les entreprises et les organisations peuvent utiliser une gamme de technologies pour automatiser la surveillance et l’audit continus des comptes. On pense notamment aux systèmes de suivi des comptes, qui utilisent le machine learning et la détection basée sur l’IA pour aider à prévenir la fraude en identifiant les activités anormales qui ne correspondent pas au comportement habituel de l’utilisateur.
Un WAF protège vos applications Web en filtrant, surveillant et bloquant tout trafic HTTP/S malveillant circulant vers l’application Web, et empêche toute donnée non autorisée de quitter l’application. Pour ce faire, il applique un ensemble de politiques visant à déterminer quel trafic est malveillant et quel trafic est sûr. Un WAF agit en tant qu’intermédiaire pour protéger le serveur d’application Web d’un client potentiellement malveillant.
Bien qu’elles ne soient pas spécifiquement conçues pour détecter l’activité des ATO, les politiques WAF peuvent aider à identifier et bloquer les attaques par prise de contrôle de comptes. Les WAF peuvent également faciliter l’identification des activités de robots malveillants, qui précèdent souvent les attaques par credential stuffing et par force brute.
Des armées de bots permettent aux criminels d’étendre leurs attaques, de contourner les contrôles de la MFA et de mener des activités frauduleuses. Avec l’automatisation, les robots peuvent être déployés massivement pour accomplir différentes tâches, qu’il s’agisse de credential stuffing ou d’attaques par hameçonnage. Les solutions de détection de robots offrent une visibilité sur les activités malveillantes telles que la création de faux comptes, l’accaparement de stock, le scraping et le skimming numérique des informations d’identification. Les solutions de détection de robots peuvent également émettre des alertes en cas d’attaque côté client, qu’elle prenne la forme de détournement de formulaire, de skimming numérique, de Magecart ou d’autres vulnérabilités JavaScript basées sur le navigateur.
En raison de la multitude d’identifiants volés et compromis disponibles facilement sur le dark web, la probabilité qu’une organisation subisse tôt ou tard une cyberattaque augmente constamment. Les entreprises doivent impérativement préparer des réponses et des processus robustes pour faire face à l’impact d’une cyberattaque sur leurs activités et leurs clients.
Un plan de réponse aux incidents définit les étapes d’action, les ressources disponibles et les stratégies de communication qui seront mises en place en cas d’événement menaçant. Un plan de réponse aux incidents doit définir les protocoles de réponse et identifier une équipe d’intervention, qui aura été formée à la mise en œuvre du plan.
Il est essentiel que l’équipe de réponse aux incidents informe directement les clients concernés et leur explique ce qui s’est passé. Elle doit leur communiquer les mesures prises pour les protéger et les inciter à modifier le mot de passe compromis s’il est utilisé sur d’autres comptes. Il est essentiel de rester en contact avec les clients concernés pour rétablir la confiance.
Une fois qu’une attaque est détectée, il est crucial d’évaluer et de contenir l’incident. Il faut ensuite identifier la nature et la portée de l’incident et les systèmes affectés. Une fois le point d’accès identifié, l’organisation doit supprimer l’accès non autorisé de l’attaquant aux comptes concernés et corriger les comptes compromis pour qu’ils ne puissent plus être utilisés à des fins malveillantes. Dans le cadre du bilan de récupération post-fraude, vous devez identifier les moyens d’empêcher une telle attaque de se reproduire.
Il est important de communiquer sur les attaques et les atteintes à la sécurité avec transparence, car la rétention d’informations peut être perçue par les régulateurs, les médias ou les consommateurs comme une dissimulation, ce qui peut considérablement aggraver l’impact financier de l’attaque.
Aujourd’hui, toute organisation émettant ou acceptant des paiements numériques est une cible d’ATO, et la menace continue de croître. Cela place les commerçants en ligne, les institutions financières et les organisations de services dans une situation paradoxale : lorsqu’ils répondent aux attentes des clients qui veulent des services et des applications en ligne plus pratiques, ils s’exposent à un risque accru de fraude et d’autres formes de cybercriminalité. Une fois qu’un compte est compromis, un fraudeur peut drainer ses fonds, voler des biens ou des services, ou accéder aux informations de paiement pour les utiliser sur d’autres sites, aliénant les clients et érodant les revenus.
Les contrôles conventionnels par 2FA et MFA ne sont plus suffisants pour arrêter les cybercriminels qui lancent des attaques ATO de plus en plus sophistiquées. Pour prévenir les ATO, il faut une approche de bout en bout de la sécurité et de la prévention de la fraude. Cette approche doit évaluer l’intention, rationaliser les expériences numériques et arrêter les ATO en identifiant les schémas de fraude et les transactions à risque avant qu’ils n’aient lieu.
Les solutions de sécurité et de prévention de la fraude F5 offrent la protection contre la prise de contrôle de compte la plus complète du secteur sur une plateforme unique. À l’aide de technologies sophistiquées telles que la modélisation des renseignements sur les menaces et le machine learning pour détecter les techniques des attaquants, Distributed Cloud Bot Defense déploie des contre-mesures appropriées en temps réel pour lutter contre la fraude et les ATO pilotés par les robots avec une efficacité maximale. Distributed Cloud Authentication Intelligence reconnaît les utilisateurs légitimes tout au long du parcours client, et Distributed Cloud Client-Side Defense fournit un aperçu en temps réel des attaques par skimming numérique côté client.
Couplée à la suppression rapide de la fraude après connexion via Distributed Cloud Account Protection, la plateforme de sécurité et de prévention de la fraude F5 Distributed Cloud fournit une approche de bout en bout qui évalue l’intention, rationalise les expériences numériques et arrête les tentatives d’ATO susceptibles autrement d’entraîner des fraudes, des pertes de revenus et une dégradation de la fidélité des clients.