Géant du secteur bancaire NCR Corp. [NYSE: NCR] à la fin du mois dernier, a pris la décision inhabituelle de bloquer temporairement les agrégateurs de données financières tiers menthe et QuickBooks en ligne d’accéder Aperçu numérique, une plateforme bancaire en ligne utilisée par des centaines d’institutions financières. Cette interdiction, qui faisait suite à une série de prises de contrôle de comptes bancaires au cours desquelles des cybercriminels utilisaient des sites d’agrégation pour surveiller et drainer des comptes de consommateurs, a depuis été annulée. Mais l’incident soulève de nouvelles questions sur le rôle des plateformes bancaires numériques dans la lutte contre l’abus de mots de passe.
Partie d’une communication que NCR a envoyée le 25 octobre aux banques sur sa plateforme bancaire en ligne Digital Insight.
Le 29 octobre, BreachTrace a entendu un responsable de la sécurité d’une coopérative de crédit basée aux États-Unis et client de Digital Insight qui a déclaré que son institution venait de se faire pirater plusieurs dizaines de comptes clients au cours de la semaine précédente.
Ma source bancaire a déclaré que les attaquants semblaient automatiser les connexions non autorisées, qui se sont déroulées sur une semaine en plusieurs périodes distinctes de 12 heures au cours desquelles un nouveau compte était accessible toutes les cinq à dix minutes.
Le plus préoccupant, selon la source, était que dans de nombreux cas, le service d’agrégation ne passait pas par les invites envoyées par le site de la caisse populaire pour l’authentification multifacteur, ce qui signifie que les attaquants pouvaient accéder aux comptes clients avec rien de plus qu’un nom d’utilisateur et un mot de passe.
« Ce qui est étrange, c’est que parfois les attaquants sont confrontés au défi multifacteur, et parfois non », a déclaré la source, qui a ajouté qu’il soupçonnait une brèche chez Mint et / QuickBooks parce que NCR venait d’empêcher les deux sociétés d’accéder. sites Web bancaires sur sa plate-forme.
Dans une déclaration fournie à BreachTrace, NCR a déclaré que le vendredi 25 octobre, la société avait informé les clients de Digital Insight « que les capacités d’agrégation de certains produits tiers étaient temporairement suspendues ».
« La notification a été envoyée alors que nous enquêtions sur un rapport impliquant un seul utilisateur et un produit tiers qui agrège les données bancaires », lit-on dans leur déclaration, qui a été envoyée aux clients le 29 octobre. Après avoir confirmé que l’incident était maîtrisé, NCR a restauré connectivité utilisée pour l’agrégation de comptes. « Comme nous l’avons noté, les criminels deviennent agressifs et créatifs dans l’accès aux outils pour accéder aux informations en ligne, NCR continue d’évaluer et de se défendre de manière proactive contre ces activités. »
Quelles étaient ces méthodes sophistiquées ? NCR ne le dirait pas, mais il semble clair que les comptes piratés sont liés au fait que les clients réutilisent leurs mots de passe bancaires en ligne sur d’autres sites qui ont été piratés.
Comme je l’ai noté plus tôt cette année dans Le risque de mots de passe bancaires en ligne faibles, si vous effectuez des opérations bancaires en ligne et choisissez des mots de passe faibles ou réutilisés, il y a de bonnes chances que votre compte soit volé par des cybervoleurs – même si votre banque propose une authentification multifacteur comme partie de son processus de connexion.
Les escrocs sondent constamment les sites Web des banques à la recherche de comptes clients protégés par des mots de passe faibles ou recyclés. Le plus souvent, l’attaquant utilisera des listes d’adresses e-mail et de mots de passe volés en masse sur des sites piratés, puis essaiera ces mêmes informations d’identification pour voir si elles permettent l’accès en ligne aux comptes de diverses banques.
Une capture d’écran d’un outil de vérification de mot de passe qui peut être utilisé pour cibler les clients de Chase Bank qui réutilisent des mots de passe. Il existe des outils comme celui-ci pour à peu près toutes les autres grandes banques américaines.
À partir de là, les voleurs peuvent prendre la liste des connexions réussies et les intégrer dans des applications qui s’appuient sur des interfaces de programmation d’applications (API) de l’un des nombreux agrégateurs de données financières personnelles, y compris menthe, PlaidQuickBooks, Yodleeet YNAB.
Un certain nombre de banques qui offrent aux clients une authentification multifacteur – comme un code à usage unique envoyé par SMS ou une application – ont choisi de permettre à ces agrégateurs de consulter les soldes et les transactions récentes sans exiger que le service d’agrégateur fournisse ce deuxième facteur.
Si les voleurs peuvent accéder à un compte bancaire via un service d’agrégation ou une API, ils peuvent consulter le(s) solde(s) du client et décider quels clients méritent d’être ciblés davantage.
Mais au-delà du ciblage des clients pour les prises de contrôle pures et simples, les données disponibles via les agrégateurs financiers permettent un type de fraude bien plus insidieux : La possibilité de lier le(s) compte(s) bancaire(s) de la cible à d’autres comptes contrôlés par les attaquants.
C’est parce que Pay Pal, Zelle, et un certain nombre d’autres institutions financières en ligne pures permettent aux clients de lier des comptes en vérifiant la valeur des microdépôts. Par exemple, si vous souhaitez pouvoir transférer des fonds entre PayPal et un compte bancaire, la société enverra d’abord quelques petits dépôts – quelques centimes, généralement – au compte que vous souhaitez lier. Ce n’est qu’après vérification de ces montants exacts que la demande de liaison de compte sera accordée.
Le blocage temporaire des agrégateurs de données par NCR soulève un point digne de discussion par les régulateurs : à savoir, en l’absence de mesures de sécurité supplémentaires mises en place par les agrégateurs, les fournisseurs de plateformes bancaires numériques comme NCR, Fiserv, Jack Henriet FIS avez-vous l’obligation d’aider à bloquer ou à atténuer ces attaques d’exploitation d’informations d’identification à grande échelle ?
BreachTrace dirait que c’est le cas, et que les escrocs qui ont attaqué les clients de la coopérative de crédit de ma source sont probablement déjà passés à autre chose à utiliser la même attaque contre l’une des milliers d’autres petites banques à travers le pays.
Intuit inc.qui possède à la fois Mint et QuickBooks, a déclaré qu’il n’y avait aucune indication d’une violation des systèmes Intuit.
« Comme vous l’avez entendu de NCR, nous continuons à travailler en étroite collaboration avec NCR Digital Banking pour permettre une expérience client sécurisée et fiable ainsi qu’une analyse continue continue », porte-parole d’Intuit Friture Kali mentionné.
NCR a refusé de discuter des détails sur la façon dont il prévoit de répondre à des attaques similaires à l’avenir.