En février, BreachTrace a écrit sur un nouveau service de cybercriminalité qui a aidé les attaquants à intercepter les mots de passe à usage unique (OTP) dont de nombreux sites Web ont besoin comme deuxième facteur d’authentification en plus des mots de passe. Ce service a rapidement été mis hors ligne, mais de nouvelles recherches révèlent qu’un certain nombre de concurrents ont depuis lancé des services basés sur des bots qui permettent aux escrocs d’hameçonner relativement facilement les OTP des cibles.
Une publicité pour le service/bot d’interception OTP « SMSRanger ».
De nombreux sites Web exigent désormais que les utilisateurs fournissent à la fois un mot de passe et un code numérique / jeton OTP envoyé par SMS, ou généré par des applications mobiles telles que Authy et Authentificateur Google. L’idée est que même si le mot de passe de l’utilisateur est volé, l’attaquant ne peut toujours pas accéder au compte de l’utilisateur sans ce deuxième facteur, c’est-à-dire sans accès à l’appareil mobile ou au numéro de téléphone de la victime.
Le service d’interception OTP présenté plus tôt cette année – OTP[.]agence – a annoncé un bot Web conçu pour inciter les cibles à abandonner les jetons OTP. Ce service (et tous les autres mentionnés dans cette histoire) suppose que le client dispose déjà des identifiants de connexion de la cible par certains moyens.
Les clients de l’agence OTP saisissent le numéro de téléphone et le nom d’une cible, puis le service lance un appel téléphonique automatisé qui alerte cette personne sur une activité non autorisée sur son compte. L’appel inviterait la cible à saisir un jeton OTP généré par l’application mobile de son téléphone (« à des fins d’authentification »), et ce code serait ensuite renvoyé au panneau des clients malveillants sur le site Web de l’agence OTP.
L’agence OTP s’est mise hors ligne quelques heures après cette histoire. Mais selon les recherches d’une société de cyber-intelligence Intel 471, plusieurs nouveaux services d’interception OTP ont vu le jour pour combler ce vide. Et tous fonctionnent via Télégrammeun système de messagerie instantanée basé sur le cloud.
« Intel 471 a vu une augmentation des services sur le sous-sol de la cybercriminalité qui permettent aux attaquants d’intercepter les jetons de mot de passe à usage unique (OTP) », a écrit la société dans un article de blog aujourd’hui. « Au cours des derniers mois, nous avons vu des acteurs donner accès à des services qui appellent les victimes, apparaissent comme un appel légitime d’une banque spécifique et trompent les victimes en leur faisant taper un OTP ou un autre code de vérification dans un téléphone mobile afin de capturer et de livrer les codes à l’opérateur. Certains services ciblent également d’autres plates-formes de médias sociaux ou services financiers populaires, offrant des capacités de phishing par e-mail et d’échange de cartes SIM.
Intel471 dit qu’un nouveau bot Telegram OTP appelé « SMSRanger » est populaire car il est remarquablement facile à utiliser, et probablement à cause des nombreux témoignages publiés par des clients qui semblent satisfaits de son taux de réussite fréquent dans l’extraction de jetons OTP lorsque l’attaquant dispose déjà du « fullz » de la cible, des informations personnelles telles que la sécurité sociale. numéro et date de naissance. De leur analyse :
« Ceux qui paient pour l’accès peuvent utiliser le bot en entrant des commandes similaires à la façon dont les bots sont utilisés sur l’outil de collaboration populaire Slack. Une simple commande slash permet à un utilisateur d’activer divers « modes » – des scripts destinés à divers services – qui peuvent cibler des banques spécifiques, ainsi que PayPal, Apple Pay, Google Pay ou un opérateur de téléphonie mobile.
Une fois que le numéro de téléphone d’une cible a été entré, le bot fait le reste du travail, accordant finalement l’accès à n’importe quel compte ciblé. Les utilisateurs affirment que SMSRanger a un taux d’efficacité d’environ 80 % si la victime a répondu à l’appel et que les informations complètes (fullz) fournies par l’utilisateur étaient exactes et mises à jour. »
Un autre service d’interception OTP appelé SMS Buster nécessite un peu plus d’efforts de la part d’un client, explique Intel 471 :
« Le bot offre des options pour déguiser un appel pour le faire apparaître comme un contact légitime d’une banque spécifique tout en laissant les attaquants choisir de composer à partir de n’importe quel numéro de téléphone. À partir de là, un attaquant pourrait suivre un script pour inciter une victime à fournir des détails sensibles tels qu’un numéro d’identification personnel (PIN), une valeur de vérification de carte (CVV) et un OTP, qui pourraient ensuite être envoyés au compte Telegram d’un individu. Le bot, qui a été utilisé par des attaquants ciblant des victimes canadiennes, donne aux utilisateurs la possibilité de lancer des attaques en français et en anglais.
Ces services se multiplient parce qu’ils fonctionnent et qu’ils sont rentables. Et ils sont rentables car beaucoup trop de sites Web et de services dirigent les utilisateurs vers des méthodes d’authentification multifactorielles qui peuvent être interceptées, falsifiées ou mal dirigées, comme des codes à usage unique basés sur des SMS ou même des jetons OTP générés par des applications.
L’idée derrière la véritable « authentification à deux facteurs » est que l’utilisateur doit présenter deux des trois éléments suivants : quelque chose qu’il possède (appareils mobiles) ; quelque chose qu’ils connaissent (mots de passe); ou quelque chose qu’ils sont (biométrie). Par exemple, vous présentez vos informations d’identification à un site Web et le site vous invite à approuver la connexion via une invite qui apparaît sur votre appareil mobile enregistré. C’est une véritable authentification à deux facteurs : quelque chose que vous avez et quelque chose que vous savez (et peut-être même quelque chose que vous êtes).
Le bot 2fa SMS Buster sur Telegram. Image : Intel 471.
De plus, ces méthodes dites de « notification push » incluent des contextes temporels importants qui renforcent la sécurité : elles se produisent directement après que l’utilisateur a soumis ses informations d’identification ; et la possibilité d’approuver la notification push expire après une courte période.
Mais dans de nombreux cas, ce que les sites demandent est essentiellement deux choses que vous connaissez (un mot de passe et un code à usage unique) à soumettre via le même canal (un navigateur Web). C’est généralement mieux qu’aucune authentification multifacteur, mais comme le montrent ces services, il existe désormais de nombreuses options pour contourner cette protection.
J’espère que ces services d’interception OTP indiquent clairement que vous ne devez jamais fournir d’informations en réponse à un appel téléphonique non sollicité. Peu importe qui prétend appeler : si vous n’êtes pas à l’origine du contact, raccrochez. Ne les mettez pas en attente pendant que vous appelez votre banque ; les escrocs peuvent également contourner cela. Raccrochez. Ensuite, vous pouvez appeler votre banque ou toute autre personne dont vous avez besoin.
Malheureusement, les personnes les plus susceptibles de tomber dans le piège de ces systèmes d’interception OTP sont les personnes qui ont moins d’expérience avec la technologie. Si vous êtes un geek informatique résident ou familial et que vous avez la possibilité de mettre à jour ou d’améliorer les profils d’authentification multifacteur pour vos amis et vos proches moins férus de technologie, ce serait une façon fabuleuse de montrer que vous vous souciez d’eux – et de les aider éviter une catastrophe potentielle aux mains de l’un de ces services de robots.
À quand remonte la dernière fois que vous avez passé en revue vos paramètres et options multi-facteurs sur les différents sites Web chargés de vos informations personnelles et financières les plus précieuses ? Cela vaut peut-être la peine de visiter 2fa.répertoire (anciennement twofactorauth[.]org) pour un contrôle.