23/10
Les hackers arrivent à déjouer l’authentification à deux facteurs grâce à cette méthode
L’authentification à deux facteurs (2FA), autrefois considérée comme une forteresse de sécurité, fait face à de nouvelles menaces. Les cybercriminels ont trouvé des méthodes ingénieuses pour contourner ce mécanisme en utilisant des robots OTP animés par l’intelligence artificielle (IA).
Ces dernières années, l’authentification à deux facteurs est devenue un standard sur les plateformes en ligne. Ce processus ajoute une couche supplémentaire de sécurité au-delà du mot de passe, nécessitant un code envoyé par SMS, email ou généré par des applications telles que Google Authenticator. Cette méthode protège les comptes même si le mot de passe est compromis.
Une étude de Cisco en 2021 révèle que près de 80 % des utilisateurs adoptent 2FA pour se prémunir contre les cyberattaques. Elle est souvent utilisée pour les comptes sensibles, tels que les comptes bancaires, avec 85 % des utilisateurs préférant recevoir le code par SMS. Pour Cisco, 2FA reste une défense efficace contre les menaces courantes.
Les cybercriminels s’adaptent
Malheureusement, les cybercriminels n’ont pas tardé à réagir. Une enquête de Kaspersky montre que les pirates ont développé des tactiques de phishing sophistiquées pour contourner ce standard de sécurité. Leur méthode consiste à obtenir les identifiants des utilisateurs puis à solliciter le code de vérification.
La première étape pour les attaquants est de récupérer vos identifiants. Cela peut se faire via des bases de données divulguées en ligne ou des attaques de phishing. Une étude de Surfshark indique une augmentation de 435 % des fuites de données mondiales en un trimestre. Avec ces identifiants, les pirates tentent de se connecter au compte cible, déclenchant l’envoi d’un code de sécurité.
Utilisation des robots OTP
Pour obtenir le code de sécurité, les cybercriminels utilisent des robots OTP, des outils sophistiqués animés par l’IA. Ces robots appellent la victime sur le numéro de téléphone recevant le code, prétendant être un représentant d’une organisation de confiance. Ils utilisent un script prédéfini pour convaincre la victime de divulguer le code de sécurité reçu par SMS. Ces robots imitent le ton et l’urgence d’un appel légitime, usurpant l’identité de banques, services de paiement, boutiques en ligne, et même services de livraison. Ils peuvent opérer dans plusieurs langues et choisir entre une voix masculine ou féminine, toutes générées par l’IA. En voyant un numéro officiel, l’utilisateur est plus susceptible de divulguer le code.
Les robots OTP sont disponibles sur des marchés criminels en ligne ou des canaux Telegram fréquentés par les hackers. Ces services, souvent vendus via des abonnements dès 140 dollars par semaine, incluent un support technique 24/7. La configuration du robot est simple, accessible via Telegram, sans nécessiter de compétences informatiques avancées.
Source : 01Net