Qu’est-ce que le piratage de compte, ou Account Takeover Fraud (ATO)

Rapport Le Facteur Humain

Le piratage de compte, également connu sous le nom de compromission de compte ou Account Takeover Fraud (ATO), se produit lorsqu'un cyberattaquant prend le contrôle d'un compte légitime.

Une fois qu'ils ont le contrôle d'un compte, les attaquants peuvent lancer diverses attaques :

  • Phishing interne : courriels envoyés d'un employé à un autre au sein de la même organisation en utilisant un compte d'entreprise compromis.
  • Phishing de la supply-chain : la plupart des organisations utilisent les emails dans leur BAU. Un attaquant qui prend le contrôle d'un compte légitime peut prendre l'identité de votre employé pour escroquer les clients et les partenaires commerciaux.
  • Attaques de type BEC : Considérez la prise de contrôle d'un compte comme l'ultime tactique d'usurpation d'identité. Dans le cas des ATO, les attaquants détournent un compte de messagerie électronique pour devenir la personne à laquelle il appartient. Les attaques de type ATO contournent de nombreux contrôles d'authentification du courrier électronique.
  • Exfiltration de données : En accédant à la messagerie de quelqu'un, les attaquants peuvent accéder non seulement aux emails, mais aussi aux événements du calendrier, aux contacts et aux données sensibles dans les partages de fichiers.
  • Fraude financière : Si les attaquants prennent le contrôle de la banque, du compte ou d'autres services financiers de quelqu'un, ils peuvent voler des fonds directement par des virements et des achats frauduleux.

Les techniques de prise de contrôle et de piratage de compte sont généralement automatisées à l'aide de scripts qui contiennent potentiellement des milliers d'identifiants et de comptes d'utilisateurs. Pour une attaque complexe réussie, les revenus générés peuvent atteindre des millions sur le darknet.

Comment se produit une Account Takeover Fraud (ATO) ?

Le but de tout piratage de compte réussi est d’accéder aux informations d'identification du compte d'un utilisateur. Voici comment les attaquants tentent généralement de pirater des comptes légitimes :

  • Attaques par bruteforce. L'attaquant, généralement par le biais d'un script automatisé, essaie une combinaison nom d'utilisateur/mot de passe sur plusieurs comptes jusqu'à ce que l'un d'entre eux fonctionne. C’est ce qu’on appelle aussi des attaques par dictionnaire, dans lesquelles les attaquants utilisent des mots de passe communs et des termes du dictionnaire pour deviner les mots de passe.
  • L'attaque par rediffusion de brèche (également appelée "credential stuffing"). C'est une mauvaise pratique, mais de nombreuses personnes utilisent le même mot de passe pour plusieurs comptes. Si l'un de ces mots de passe est divulgué lors d'une fuite de données sans rapport, tout autre compte ayant le même nom d'utilisateur (souvent une adresse électronique) et le même mot de passe est en danger.
  • Phishing. L'ancien système de pohishing de justificatifs d'identité reste un moyen efficace d'obtenir le mot de passe d'une victime. En l'absence de contrôles comme l'authentification multifactorielle (AMF), la perte des informations d'identification peut conduire au piratage des comptes.
  • Attaques de malware. Les keyloggers, les voleurs d’informations et d'autres formes de malwares peuvent exposer les informations d'identification des utilisateurs, donnant ainsi aux attaquants le contrôle des comptes des victimes.

Les attaquants peuvent également télécharger des mots de passe craqués sur le darknet pour tenter de s’authentifier sur le site cible avec ces identifiants.

Une fois que l'attaquant dispose d'une longue liste d'identifiants, plusieurs applications ATO peuvent être téléchargées et utilisées. Parmi les outils les plus connus, on peut citer SentryMBA, SNIPR, STORM et MailRanger.

L'image suivante est l'une des fenêtres principales de SentryMBA :

Exemple de logiciel utlisé pour le piratage de compte, ou Account Takeover Fraud (ATO)

SentryMBA est l'un des outils les plus populaires en raison des options et paramètres disponibles. En haut, un attaquant entre sur le site où des demandes d'authentification seront envoyées dans les comptes utilisateurs. Les autres paramètres comprennent la liste des mots de passe et des noms d'utilisateur, la possibilité de sauvegarder une liste des tentatives d'authentification réussies et les paramètres de temporisation qui aident l'attaquant à éviter d'être détecté. L'attaque ATO étant entièrement automatisée, l'essentiel de l'effort consiste à voler les identifiants. Des outils comme SentryMBA peuvent être exécutés indéfiniment sur l'ordinateur de l'attaquant jusqu'à ce qu'une liste des comptes volés soit créée.

Dans certains scénarios, un attaquant n'utilisera pas l'attaque ATO initiale sur le site principal de la cible. Comme les utilisateurs utilisent souvent les mêmes identifiants sur plusieurs sites, un attaquant peut utiliser un site dont les défenses de cybersécurité et la détection de fraude sont plus faibles pour valider les identifiants.

Si un utilisateur utilise les mêmes informations d'identification sur plusieurs sites, l'authentification réussie de l'attaquant sur un site peut fonctionner sur le site principal. Par exemple, un attaquant peut utiliser SentryMBA pour s'authentifier sur le site d'un hôtel, sachant que la plupart des utilisateurs ont des comptes auprès de grandes marques d'hôtels pour leurs voyages.

Si l'authentification est réussie sur le site de l'hôtel, elle pourrait également l'être sur un site bancaire. En validant d'abord les informations d'identification sur un site secondaire, l'attaquant réduit le nombre de tentatives d'authentification et diminue la probabilité de détection.

Avec une liste de comptes authentifiés avec succès, un attaquant a désormais deux choix : transférer de l'argent ou vendre les justificatifs validés en ligne. Les attaquants peuvent transférer des fonds du compte bancaire d'un utilisateur ciblé vers leurs propres comptes. Sur les sites de cartes de crédit, les attaquants peuvent commander des cartes de crédit au nom d'un utilisateur ciblé et envoyer de nouvelles cartes à des adresses d'attaquants.

Si le site ne dispose pas d'un système de détection d’ATO adéquat, les utilisateurs ciblés n'ont pas connaissance des transferts d'argent ou de l'envoi de cartes de crédit à une nouvelle adresse.

Si les attaquants choisissent de vendre la liste des comptes authentifiés, ils peuvent recevoir une forte rétribution pour leurs efforts. La valeur d'un seul compte piraté dépend de la quantité de données volées et du type de compte. Par exemple, un compte PayPal peut valoir 1 200 dollars, tandis que les données personnelles d'un utilisateur ciblé peuvent être vendues entre 40 et 200 dollars. Les cartes bancaires valent entre 800 et 1 000 dollars. Avec des centaines et potentiellement des milliers de comptes, un attaquant peut avoir un salaire quotidien élevé en vendant sur le darknet et limiter la détection par rapport au vol direct des victimes.

Le piratage de compte ne se limite pas aux comptes bancaires et aux cartes de crédit. Les attaquants peuvent également utiliser des cartes et des services de récompense, notamment des points stockés sur des comptes d'hôtel et des miles aériens. Cette fraude gagne en intérêt parce que les utilisateurs ciblés vérifient rarement les comptes de récompenses pour y déceler des fraudes par rapport aux cartes de crédit et aux comptes bancaires.

La popularité du piratage de compte est en hausse

L'introduction des marchés sur le darknet rend la fraude par piratage de compte beaucoup plus attrayante pour les attaquants. Les attaquants n'ont plus besoin de voler directement les utilisateurs ciblés, ce qui réduit leur responsabilité. Les attaquants qui veulent voler directement les utilisateurs ciblés peuvent simplement acheter des comptes valides sur le darknet au lieu d'effectuer la tâche ardue de craquer les mots de passe.

Les marchés du darknet facilitent le vol des utilisateurs, mais l'augmentation du nombre de comptes et d'offres financières alimente également le marché. Les utilisateurs ciblés possèdent souvent de nombreux comptes financiers répartis sur plusieurs sites web. L'augmentation du nombre de comptes financiers et de la présence en ligne entraîne une augmentation de la surface d'attaque pour l’ATO.

Comment se protéger du piratage de compte ?

Les utilisateurs et les propriétaires de sites web doivent prendre des précautions de base pour éviter l’ATO. Les sites financiers et médicaux sont des cibles fréquentes des agresseurs. Ces sites disposent généralement de systèmes de détection, mais la plupart d'entre eux envoient des emails au titulaire du compte enregistré lorsque les données changent.

Les utilisateurs doivent toujours lire les emails envoyés par les institutions financières et appeler le service client dès qu'ils reçoivent des alertes suspectes. Par exemple, si de nouvelles cartes de crédit ont été envoyées et que le titulaire du compte ne les a pas demandées, appelez le service client pour vérifier que le compte n'a pas été piraté.

L'utilisation d'un même mot de passe sur plusieurs comptes facilite la tâche des pirates. Utilisez toujours des mots de passe uniques et solides pour plusieurs comptes en ligne. Pour garder la trace de nombreux mots de passe, utilisez des services de stockage cryptographiquement sécurisés tels que LastPass, 1Password ou Bitwarden. Soyez attentifs aux attaques de phishing pour éviter d'être victime d'un vol d'identifiants.

Les administrateurs de sites web doivent également prendre des précautions. Une infrastructure de détection des piratages de comptes doit être déployée pour détecter les activités suspectes.

Si les systèmes détectent une activité suspecte, l'adresse IP doit être bloquée. Les activités suspectes peuvent être examinées ultérieurement par des analystes. Par exemple, un nombre anormalement élevé de tentatives d'authentification sur différents comptes depuis une même adresse IP et un même système d'exploitation devrait déclencher une alerte. Les analystes peuvent ensuite examiner l'activité enregistrée afin de déterminer si le site est une cible pour les attaquants.

Au lieu de verrouiller une IP, les systèmes de détection des fraudes peuvent afficher un CAPTCHA après un nombre spécifique de tentatives d'authentification. Le CAPTCHA peut être requis pour une durée déterminée après un trop grand nombre de demandes d'authentification à partir de la même adresse IP.

Le déploiement de l'authentification multifactorielle (MFA) contribue également à protéger les utilisateurs. Les attaquants disposant d'un accès légitime au site seraient incapables de s'authentifier sans qu’un code PIN secondaire soit envoyé au smartphone de l'utilisateur. L'envoi automatique du code PIN sur le smartphone de l'utilisateur peut également alerter ce dernier d'une éventuelle attaque de prise de contrôle de son compte. L'utilisateur ciblé peut alors modifier le mot de passe de son site.

Grâce à une meilleure détection des fraudes, les propriétaires de sites web peuvent protéger les données de leurs clients. Mais les clients peuvent également garantir la confidentialité de leurs données en :

  • S'informant sur les dangers et les signes avant-coureurs du phishing
  • Enquêtant sur les liens dans les emails avant de cliquer
  • Utilisant des mots de passe uniques pour chaque compte en ligne
  • Utilisant toujours des mots de passe forts, en particulier sur les sites financiers