Les faux comptes ont récemment fait la une des journaux pour avoir influencé de manière malveillante des conversations sur les médias sociaux. Cependant, les acteurs maveillants utilisent également de faux comptes (également appelés comptes synthétiques, comptes bots et fraude à l’enregistrement de comptes) pour commettre des attaques à motivation financière, notamment, abus de récompenses sur des sites de commerce, blanchiment d’argent par le biais de services bancaires en ligne et même déguisement pour le bourrage d’informations d’identification.
F5 Distributed Cloud Bot Defense se trouve devant les applications d’enregistrement de comptes en ligne et peut détecter en temps réel si un attaquant tente de créer de faux comptes à l’aide d’outils automatisés ou de techniques manuelles sophistiquées.
3 SECONDES
UN SEUL ATTAQUANT A CRÉÉ UN COMPTE FRAUDULEUX SUR LE SITE D’UN DÉTAILLANT TOUTES LES 3 SECONDES PENDANT UNE SEMAINE.
Si un attaquant prévoit de créer plus de 20 ou 30 comptes, il voudra généralement recourir à l’automatisation pour saisir rapidement des données dans chaque champ de la demande d’enregistrement.
Ce script d’attaque peut inclure des appels d’API vers des services appropriés, tels que des solveurs CAPTCHA ou des services d’adresses électroniques jetables.
L’attaquant exécute le script et crée des centaines, voire des milliers de comptes en un court laps de temps. En fonction de l’objectif des faux comptes, les succès et les échecs de la création de comptes sont enregistrés.
Le projet de monétisation dépend du type de site visé. Par exemple, les criminels utilisent de faux comptes sur des sites de vente au détail pour blanchir de l’argent en achetant et revendant des cartes-cadeaux, ce qui rend la traçabilité difficile pour les autorités.