Ces dernières années, l'authentification à deux facteurs (2FA) a été largement adoptée par les services en ligne et son activation est probablement la meilleure chose que les utilisateurs puissent faire pour la sécurité de leurs comptes en ligne. Mais, pour surmonter cet obstacle supplémentaire qui les empêche d'exploiter des mots de passe volés, les cybercriminels se sont aussi adaptés en trouvant des solutions innovantes pour détourner les systèmes OTP (one time password). Selon un rapport d’Intel 471, les dernières tactiques en matière de contournement des services OTP mettent en œuvre des appels téléphoniques automatisés, ou robocalling, associés à des messages interactifs destinés à inciter les utilisateurs à livrer leurs identifiants en temps réel. Munis de ces précieux sésames, les pirates accèdent ainsi à leur compte.

Tout le processus automatisé et de contrôle fonctionne à l’aide de bots basés sur Telegram, à l’image de ce que font les équipes qui utilisent des bots Slack pour automatiser les flux de travail dans les entreprises. « Tous les services observés par Intel 471, qui ne sont opérationnels que depuis le mois de juin, fonctionnent via un bot Telegram ou fournissent une assistance aux clients via un canal Telegram », ont déclaré les chercheurs. « Dans ces canaux de support, les utilisateurs partagent souvent leurs succès quand ils utilisent un bot, et se vantent du montant de leur butin - des milliers de dollars - volés sur les comptes des victimes ».

De l’ingénierie sociale automatisée par des bots

Essentiellement, ces attaques sont des attaques par ingénierie sociale avec un haut niveau d'automatisation. Dans le passé, un attaquant appelait manuellement une victime pour obtenir ses informations ou la ligne de support client d'une banque ou d'un fournisseur de services pour obtenir un accès non autorisé à un compte. Désormais, les appels sont chiffrés et exécutés par des bots à partir de commandes envoyées via un chat Telegram. Les services scrutés par Intel 471 utilisent des « modes » ou des scripts prédéfinis pour se faire passer pour diverses banques bien connues, et pour des services de paiement en ligne comme Google Pay, Apple Pay, PayPal et pour des services d’opérateurs mobiles.

Depuis qu'ils ont commencé à se pencher sur la question, les chercheurs ont repéré un service appelé SMS Buster. Ce service, capable de passer des appels en anglais et en français, permet d’accéder illégalement à des comptes dans huit banques différentes basées au Canada. Un autre service appelé SMSRanger revendique un taux de réussite d'environ 80 % si la victime répond à l'appel et si l'attaquant a fourni au robot des informations personnelles précises et actualisées sur les victimes. Également connus sous le nom de « fullz » dans les milieux de la cybercriminalité, ces ensembles de données peuvent être acquis sur divers forums et marchés clandestins.

Des robots qui imitent efficacement les fournisseurs de services des victimes

Ce taux élevé de réussite est assez surprenant. Normalement, avec les systèmes 2FA ou OTP utilisés pour l'authentification des comptes ou l'autorisation des transactions dans le secteur bancaire, l'utilisateur peut être contacté par un service automatisé via un appel téléphonique pour recevoir son code à usage unique. Cependant, ces services de cybercriminalité procèdent à l'inverse : ils contactent les victimes pour leur demander de saisir les OTP qu'ils viennent de recevoir par SMS ou par un autre moyen proposé par leur fournisseur de services légitime. Pour la plupart des utilisateurs, il s'agit d'une demande et d'un processus inhabituels qui devraient les alerter. Cependant, ces robots parviennent très bien à se faire passer pour le fournisseur de services de la victime. La plupart ont des capacités d'usurpation de numéro de téléphone et l'attaquant peut spécifier le numéro de téléphone que le robot doit utiliser pour appeler la victime. Il s'agit généralement d'un numéro associé à la banque ou à l'opérateur de la victime.

Si les téléphones des victimes affichent un identifiant d'appelant auquel les victimes font confiance et qu'elles reconnaissent, elles sont plus susceptibles d'accéder à la demande. En outre, le robot disposera d'informations personnelles les concernant que l'attaquant a chargées, ce qui ajoute une autre couche de crédibilité. Outre le robocalling, certains de ces services peuvent également automatiser les attaques par e-mail ou SMS et proposer des portail de phishing qui ciblent les comptes de médias sociaux comme Facebook, Instagram et Snapchat, des services financiers comme PayPal et Venmo, ou des applications de courtage comme Robinhood ou Coinbase. Pour utiliser les bots, les cybercriminels s’acquittent chaque mois de frais mensuels qui vont de quelques dizaines à quelques centaines de dollars, ce qui est dérisoire si l'on considère que chaque attaque réussie peut leur permettre de dérober des milliers de dollars.

Opter pour des protections plus robustes d’authentification à double facteur

« Dans l'ensemble, les robots montrent que certaines formes d'authentification à deux facteurs peuvent présenter des risques pour la sécurité », ont déclaré les chercheurs d'Intel 471. « Même si les services de mots de passe à usage unique (OTP) basés sur les SMS et les appels téléphoniques sont mieux que rien, les criminels ont trouvé des moyens de contourner ces protections par l'ingénierie sociale. Des formes plus robustes de 2FA - y compris les codes TOTP (Time-Based One Time Password) des applications d'authentification, les codes basés sur les notifications push, ou une clé de sécurité FIDO - offrent un niveau plus élevé de sécurité que les options basées sur les SMS ou les appels téléphoniques ».

Les utilisateurs doivent se méfier de tout appel téléphonique où l'interlocuteur, qu'il s'agisse d'un robot ou d'un humain, leur demande des informations personnelles, financières ou d'authentification. L’authentification à deux facteurs étant largement déployée pour les comptes SaaS et autres comptes fournis par les entreprises à leurs employés, ces services présentent également un risque pour les entreprises, et pas seulement pour les consommateurs.