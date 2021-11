Chaque fois qu’une violation de données massive fait l’actualité, nous vous rappelons les meilleures pratiques à adopter pour protéger vos propriétés en ligne. Vous ne devez jamais utiliser de mots de passe faibles et les recycler. Au lieu de cela, choisissez un gestionnaire de mots de passe qui vous permet de générer des mots de passe uniques pour chaque service, site Web et application différents. Et utilisez l’authentification à deux facteurs (2FA) ou les mots de passe à usage unique (OTP) chaque fois que vous le pouvez. De cette façon, lorsque les pirates piratent inévitablement l’un de vos comptes, vos autres propriétés sont protégées. Mais vous devez rester vigilant lorsqu’il s’agit de défendre vos comptes en ligne.

Les mots de passe uniques et 2FA/OPT ne suffisent pas, car les pirates ont trouvé un moyen astucieux de vous inciter à leur donner le code unique dont ils ont besoin pour s’introduire dans votre compte. Et vous ne vous rendez peut-être même pas compte que vous avez ouvert les portes de votre compte Amazon, PayPal, Coinbase ou bancaire à des attaquants qui pourraient vous voler de l’argent. Tout cela est possible grâce à un nouveau type de robots personnalisables qui passent des appels automatisés dans le seul but de voler ce mot de passe temporaire.

Comment les bots piratent vos codes 2FA

Même sans bots, la protection 2FA n’est pas infaillible. Certains pirates informatiques peuvent tenter des attaques d’ingénieurs sociaux pour vous convaincre d’abandonner ce code ou mot de passe temporaire. Mais tous ne sont peut-être pas aussi convaincants.

D’un autre côté, le bot est beaucoup plus sophistiqué et vous fera croire que vous parlez au système de sécurité automatisé appartenant au service que les pirates veulent pénétrer. Motherboard a démontré l’attaque avec un exemple simple, un appel entrant soi-disant provenant du système de prévention de la fraude de PayPal.

Une voix automatisée indique au titulaire du compte PayPal que quelqu’un a essayé de dépenser une somme d’argent particulière. PayPal doit vérifier l’identité du titulaire du compte pour bloquer le transfert, et il demandera le 2FA/OTP.

« Afin de sécuriser votre compte, veuillez entrer le code que nous avons envoyé à votre appareil mobile maintenant », a déclaré la voix. PayPal envoie parfois un code aux utilisateurs afin de protéger leur compte. Après avoir entré une chaîne de six chiffres, la voix a dit : « Merci, votre compte a été sécurisé et cette demande a été bloquée. »

Le bot a ensuite informé l’utilisateur qu’il n’y avait aucune raison de s’inquiéter :

‘Ne vous inquiétez pas si un paiement a été débité de votre compte : nous vous le rembourserons dans les 24 à 48 heures. Votre ID de référence est 1549926. Vous pouvez maintenant raccrocher, dit la voix.

Que se passe-t-il réellement

Les pirates informatiques qui ont obtenu les données personnelles d’une personne, telles que son vrai nom, son adresse e-mail et son numéro de téléphone, peuvent les utiliser pour déterminer s’ils ont un compte PayPal avec cette adresse. Ils peuvent appliquer la même procédure à tout type de compte en ligne. Une fois qu’ils ont trouvé une correspondance, ils peuvent transmettre le numéro de téléphone de la victime à un bot conçu pour ce service.

Motherboard explique que ces bots peuvent coûter quelques centaines de dollars par mois et cibler des services spécifiques comme Amazon et PayPal. D’autres peuvent cibler des banques spécifiques comme Bank of America et Chase. Et certains d’entre eux vous permettent de personnaliser l’expérience pour tout type de compte.

Le bot ressemble à l’un des bots auxquels vous pourriez parler lors des appels réguliers du service client. Ils vous inviteront à appuyer sur certaines touches puis à saisir votre code 2FA/OTP. Mais dès que vous le faites, le code atteint le pirate informatique qui a lancé l’attaque.

La raison pour laquelle vous recevez un code par SMS sur votre téléphone est que le pirate a essayé de se connecter à votre compte, sachant parfaitement qu’il ne pourra pas y accéder. Le bot donne l’impression que c’est un service comme PayPal qui génère le code unique 2FA/OTP. Et vous n’aurez aucun moyen de savoir qu’il s’agit d’un pirate qui vous cible. Surtout que vous vous précipitez pour faire face à la menace.

Une fois dans votre compte, les pirates peuvent voler de l’argent ou de la crypto-monnaie. La vidéo ci-dessous montre une telle conversation avec un bot.

Ce que vous pouvez faire pour protéger vos codes 2FA

Si vous vous inquiétez des attaques de bots 2FA/OTP, vous devez vous assurer de comprendre leur fonctionnement, et la couverture de Motherboard est un excellent point de départ. Vous voudrez informer vos amis et votre famille de l’utilisation accrue de ce type de piratage.

La prochaine fois que vous recevrez un appel vous invitant à saisir des codes 2FA, vous devrez raccrocher. N’envoyez jamais ces codes à qui que ce soit. Au lieu de cela, connectez-vous à ces services pour surveiller votre activité. Et appelez le service client. Vous souhaiterez peut-être modifier l’adresse e-mail associée à ce compte pour empêcher ces attaques de se produire. Une fois que les pirates savent quel e-mail vous utilisez pour PayPal ou Bank of America, ils peuvent toujours vous cibler avec des attaques tout aussi sophistiquées.