Si vous effectuez des opérations bancaires en ligne et choisissez des mots de passe faibles ou réutilisés, il y a de bonnes chances que votre compte soit volé par des cybervoleurs, même si votre banque propose une authentification multifacteur dans le cadre de son processus de connexion. Cette histoire raconte comment les escrocs abusent de plus en plus de services d’agrégation financière tiers comme menthe, Plaid, Yodlee, YNAB et d’autres pour surveiller et vider les comptes des consommateurs en ligne.
Les escrocs sondent constamment les sites Web des banques à la recherche de comptes clients protégés par des mots de passe faibles ou recyclés. Le plus souvent, l’attaquant utilisera des listes d’adresses e-mail et de mots de passe volés en masse sur des sites piratés, puis essaiera ces mêmes informations d’identification pour voir si elles permettent l’accès en ligne aux comptes de diverses banques.
Une capture d’écran d’un outil de vérification de mot de passe utilisé pour cibler les clients de Chase Bank qui réutilisent les mots de passe d’autres sites. Image : Maintenez la sécurité.
À partir de là, les voleurs peuvent prendre la liste des connexions réussies et les intégrer dans des applications qui s’appuient sur des interfaces de programmation d’applications (API) de l’un des nombreux agrégateurs de données financières personnelles qui aident les utilisateurs à suivre leurs soldes, leurs budgets et leurs dépenses dans plusieurs banques.
Un certain nombre de banques qui offrent aux clients une authentification multifacteur – comme un code à usage unique envoyé par SMS ou une application – ont choisi de permettre à ces agrégateurs de consulter les soldes et les transactions récentes sans exiger que le service d’agrégateur fournisse ce deuxième facteur. C’est selon Brian Costellovice-président de la stratégie de données chez Yodlee, l’une des plus grandes plateformes d’agrégation financière.
Costello a déclaré que si certaines banques ont mis en place des processus qui passent par des invites d’authentification multifacteur (MFA) lorsque les consommateurs souhaitent lier des services d’agrégation, beaucoup ne l’ont pas fait.
« Parce que nous sommes devenus une quantité connue des banques, nous avons mis en place la désactivation de l’AMF avec beaucoup d’entre elles », a déclaré Costello. « Beaucoup d’entre eux remplacent la provenance d’une adresse IP ou d’un agent Yodlee comme facteur, car les banques se sont toujours appuyées sur notre posture de sécurité pour les aider. »
Une telle reconnaissance aide à préparer le terrain pour de nouvelles attaques : si les voleurs sont en mesure d’accéder à un compte bancaire via un service d’agrégation ou une API, ils peuvent consulter le(s) solde(s) du client et décider quels clients méritent d’être ciblés davantage.
Ce ciblage peut se produire d’au moins une des deux manières. Le premier implique des attaques de harponnage pour accéder à ce deuxième facteur d’authentification, qui peut être rendu beaucoup plus convaincant une fois que les attaquants ont accès à des détails spécifiques sur le compte du client, tels que des transactions récentes ou des numéros de compte (même des numéros de compte partiels).
La seconde consiste en un échange de carte SIM non autorisé, une forme de fraude dans laquelle les escrocs soudoient ou trompent les employés des magasins de téléphonie mobile pour qu’ils prennent le contrôle du numéro de téléphone de la cible et détournent tous les SMS et appels téléphoniques vers l’appareil mobile de l’attaquant.
Mais au-delà du ciblage des clients pour les prises de contrôle pures et simples, les données disponibles via les agrégateurs financiers permettent un type de fraude bien plus insidieux : La possibilité de lier le(s) compte(s) bancaire(s) de la cible à d’autres comptes contrôlés par les attaquants.
C’est parce que Pay Pal, Zelle, et un certain nombre d’autres institutions financières en ligne pures permettent aux clients de lier des comptes en vérifiant la valeur des microdépôts. Par exemple, si vous souhaitez pouvoir transférer des fonds entre PayPal et un compte bancaire, la société enverra d’abord quelques petits dépôts – quelques centimes, généralement – au compte que vous souhaitez lier. Ce n’est qu’après vérification de ces montants exacts que la demande de liaison de compte sera acceptée.
Alex Holden est fondateur et directeur de la technologie de Garder la sécurité, un cabinet de conseil en sécurité basé à Milwaukee. Holden et son équipe surveillent de près les forums sur la cybercriminalité, et il a déclaré que la société avait vu un certain nombre de cybercriminels discuter de l’utilité des agrégateurs financiers pour cibler les victimes potentielles.
Holden a déclaré qu’il n’est pas rare que des voleurs dans ces communautés revendent l’accès au solde du compte bancaire et aux informations sur les transactions à d’autres escrocs spécialisés dans l’encaissement de ces informations.
« Le prix de ces détails est souvent très bon marché, juste une fraction de la valeur monétaire du compte, car ils ne vendent pas l’accès » final « au compte », a déclaré Holden. « Si le compte est actif, les pirates peuvent alors passer à l’étape suivante pour le phishing 2FA ou l’ingénierie sociale, ou lier les comptes avec un autre. »
Actuellement, les principaux agrégateurs et/ou applications qui utilisent ces plates-formes stockent les identifiants bancaires et se connectent de manière interactive aux comptes des consommateurs pour synchroniser périodiquement les données de transaction. Mais la plupart des plates-formes d’agrégateurs financiers se tournent lentement vers l’utilisation du Norme OAuth pour les connexions, ce qui peut donner aux banques une plus grande capacité à appliquer leurs propres systèmes de détection des fraudes et de notation des transactions lorsque les systèmes d’agrégation et les applications sont initialement liés à un compte bancaire.
C’est selon Don Cardinaldirecteur général de la Échange de données financières (FDX), qui cherche à fédérer l’industrie financière autour d’une plateforme commune, interopérable et standard libre de droits pour un accès sécurisé des consommateurs et des entreprises à leurs données financières.
« C’est là que nous allons », a déclaré Cardinal. « La façon dont cela fonctionne aujourd’hui, vous l’agrégateur ou l’application stocke les informations d’identification cryptées et les présente à la banque. Ce vers quoi nous nous dirigeons, c’est [an account linking process] qui charge de manière interactive le site Web de la banque, vous vous y connectez et le site donne à l’agrégateur un jeton OAuth. Dans ce processus d’octroi de jetons, tous les contrôles de fraude de la banque sont alors directement dirigés vers le consommateur. »
Alissa Chevalieranalyste principal au Groupe Aité, une société d’analyse financière et technologique, a déclaré que de telles attaques soulignent la nécessité de se débarrasser complètement des mots de passe. Mais d’ici là, a-t-elle dit, davantage de consommateurs devraient profiter pleinement de l’option d’authentification multifacteur la plus puissante offerte par leur(s) banque(s)et envisagez d’utiliser un gestionnaire de mots de passe, qui aide les utilisateurs à choisir et à mémoriser des mots de passe forts et uniques pour chaque site Web.
« Ce ne sont que des données empiriques supplémentaires sur le fait que les mots de passe doivent simplement disparaître », a déclaré Knight. « Pour l’instant, toutes les précautions standard que nous donnons aux consommateurs depuis des années sont toujours valables : choisissez des mots de passe forts, évitez de réutiliser des mots de passe et obtenez un gestionnaire de mots de passe. »
Certains des gestionnaires de mots de passe les plus populaires incluent 1Mot de passe, Dashlane, Dernier passage et Keepass. filaire.com récemment a publié un article intéressant qui décompose chacun d’entre eux en fonction du prix, des fonctionnalités et de la convivialité.