Qu'est-ce que la prise de contrôle de compte (ATO) ?

DLP

Table des matières

Comment fonctionne une reprise de compte ?
Types d'attaques de piratage de compte
Comment détecter les attaques de piratage de compte
Comment détecter les ATO dans les organisations financières ?
Protégez votre entreprise contre les attaques de piratage de compte
Prévention des attaques de piratage de compte avec LayerX

Utilisant des méthodes qui dupent, manipulent ou exploitent purement et simplement les utilisateurs de confiance, les attaquants visent à tirer parti du mécanisme de base de la vérification d'identité moderne et à accéder au compte en ligne d'un utilisateur. Une fois qu'ils portent l'apparence d'un compte d'utilisateur, ils bénéficient d'un accès plus approfondi à des réseaux autrement étroitement défendus.

L’attrait d’une telle porte ouverte a vu la popularité des attaques de rachat de comptes monter en flèche au cours des deux dernières années. Par exemple, en 2021, les transactions en ligne ont augmenté au total de 65 %, tandis que les attaques de piratage de compte augmenté de 233 % sur un an. Ils sont désormais si courants qu'une toute nouvelle industrie a vu le jour autour du blanchiment des fonds volés lors des attaques ATO. En s'organisant et en se réunissant via Telegram, les cybercriminels travaillent ensemble pour connecter les comptes bancaires piratés aux portefeuilles cryptographiques. L'attaquant voleur publiera sur un tel groupe le montant des fonds volés, à la recherche d'un autre fraudeur expérimenté dans le rachat de comptes cryptographiques proposant un compte cryptographique sur lequel charger ces fonds volés. Une fois blanchis via un compte crypto volé, tous les fonds sont retirés vers un portefeuille privé et répartis entre les deux parties.

Dans un environnement de sécurité caractérisé par des informations d'identification réutilisées et divulguées, ainsi que par des demandes de gestion de comptes qui se multiplient rapidement, les attaquants ATO représentent une menace hautement organisée et extrêmement précise.

Attaques de piratage de compte

Comment fonctionne une reprise de compte ?

L'utilisateur moyen devant gérer plus de 100 comptes en ligne, les mots de passe sont rapidement devenus hors de contrôle raisonnable. Des opérations bancaires aux rendez-vous chez le coiffeur, les informations de connexion sont diffusées avec un abandon imprudent. Les attaquants exploitent cela avec des degrés de gravité croissants, dans des attaques allant de l'hyper-personnalisation à la pulvérisation et à la prière. En exploitant les vulnérabilités des systèmes de sécurité et du comportement des utilisateurs, les attaquants peuvent prendre le contrôle de ces comptes à des fins néfastes.

Ce qui suit est une explication détaillée du fonctionnement des attaques de piratage de compte :

Reconnaissance

Les attaquants commencent par recueillir des informations sur leurs cibles potentielles. Les comptes de réseaux sociaux présentent de vastes mines d'or d'informations personnelles facilement accessibles, qui peuvent être créées en attaques d'ingénierie sociale sur mesure. Parallèlement, les munitions des attaquants sont renforcées par les données provenant de violations de données précédentes.

Credential Stuffing

Armés des données acquises, les attaquants utilisent des outils automatisés pour tester systématiquement les informations d'identification volées sur plusieurs sites Web et applications. Puisque les gens souvent réutiliser les mots de passe sur différentes plateformes, les connexions réussies sont probables lorsque les mots de passe ont été compromis lors de violations précédentes. La liste RockYou21 est une base de données incroyablement courante – et incroyablement volumineuse – d’informations d’identification en texte clair qui ont déjà été divulguées. Compilé de plus 8.4 milliards d'entrées, les attaquants peuvent causer d’importants dégâts sans aucun avertissement.

Attaques par force brute

Tandis que bourrage d'informations d'identification tente de faire correspondre un mot de passe divulgué avec le mot de passe correct, les attaques par force brute essaient simplement toutes les combinaisons possibles, dans le but de le deviner. Avec un logiciel automatisé qui génère et teste systématiquement différentes combinaisons de noms d'utilisateur et de mots de passe, les attaques par force brute présentent un risque particulier pour les mots de passe faibles et couramment utilisés.

Phishing

Au lieu de perdre du temps à deviner, les attaques de phishing incitent les utilisateurs à simplement communiquer leurs mots de passe. Avec des e-mails, des messages et des sites Web trompeurs, les attaquants imitent des marques ou des services bien connus. Les utilisateurs sans méfiance sont incités à fournir leurs identifiants de connexion sur ces faux sites, transmettant sans le savoir les détails de leur compte aux attaquants.

Vol d'identifiants

Le phishing n'est pas la seule forme de tromperie : les cybercriminels tentent souvent de déployer des logiciels malveillants et des enregistreurs de frappe sur des appareils vulnérables. Ceux-ci permettent de voler les informations d’identification directement sur les appareils des utilisateurs.

Types d'attaques de piratage de compte

Le grand nombre de types d’attaques se concentrent sur deux faiblesses clés : les utilisateurs et les logiciels.

Ingénierie sociale

L'ingénierie sociale décrit des tactiques trompeuses qui profitent aux individus, les persuadant de divulguer des informations sensibles ou d'effectuer des actions qui compromettent leur sécurité. Le phishing est l'une des formes les plus courantes d'attaques d'ingénierie sociale et implique un recours massif à des e-mails, messages ou sites Web frauduleux qui imitent leurs homologues légitimes. En se faisant passer pour une personne de confiance ou une figure d'autorité, les attaquants se font passer pour un collègue, un représentant d'une banque ou un agent des forces de l'ordre pour gagner la confiance et extraire des informations sensibles.

Il existe cependant d’autres distinctions entre les types d’attaques de phishing. Pour les campagnes qui adoptent une approche large, l’appâtage est une tactique extrêmement courante. Les victimes sont attirées par des promesses de récompenses en échange de l'accomplissement de certaines actions. Les attaquants peuvent laisser des clés USB infectées ou envoyer des liens malveillants déguisés en offres alléchantes, incitant les individus à compromettre leur sécurité. Les attaques de spear phishing, quant à elles, se concentrent sur des individus ou des organisations très spécifiques. Les attaquants passent des heures à rechercher et à collecter des informations sur la cible pour créer des messages hautement personnalisés et convaincants. Les attaques de spear phishing sont souvent exploitées contre les « baleines », c'est-à-dire des individus de haut niveau comme des PDG ou des cadres de haut rang.

Vulnérabilités logicielles

Même si les utilisateurs constituent une porte d’entrée, de nombreux attaquants exploitent les logiciels avec lesquels ils interagissent quotidiennement. La tendance croissante des utilisateurs à recourir à des services tiers pour accéder facilement à plusieurs comptes a eu des conséquences drastiques sur le paysage du piratage de comptes. Après tout, si ces services tiers sont compromis, les attaquants peuvent accéder aux comptes d'utilisateurs liés. En 2021, il a été révélé que Facebook avait subi une grave violation des détails de 533 millions de comptes utilisateurs. Ces données, notamment les e-mails et les mots de passe, ont alimenté un torrent de campagnes ATO en cours.

Comment détecter les attaques de piratage de compte

Détecter les signes d’attaques de piratage de compte est crucial pour empêcher les comptes compromis. Des messages entrants aux performances de votre système, voici quelques indications d'une compromission potentielle.

Activité inattendue sur le compte

Les attaques ATO peuvent se manifester de plusieurs manières clés. Par exemple, si un utilisateur reçoit des notifications de réinitialisation de mot de passe ou des e-mails pour des comptes qu'il n'a pas initiés, cela pourrait indiquer qu'un attaquant tente de prendre le contrôle de son compte. Dans de tels cas, les utilisateurs doivent enquêter indépendamment du lien de l'e-mail suspect. Cette même tactique est utilisée pour inciter les utilisateurs sans méfiance à saisir leurs informations sur une fausse page de connexion, alors passez toujours par les canaux vérifiés. Si les utilisateurs se retrouvent soudainement incapables d’accéder à leurs comptes, malgré l’utilisation d’informations d’identification correctes, cela pourrait être le signe d’une attaque ATO. Les attaquants peuvent avoir modifié les mots de passe ou bloqué l'accès des utilisateurs à leurs propres comptes.

Les réinitialisations de mots de passe ne sont pas la seule activité inhabituelle générée par les ATO : des tentatives de connexion non reconnues, des modifications d'informations personnelles ou des transactions inconnues peuvent indiquer un accès non autorisé. Si une augmentation significative du spam ou des e-mails de phishing commence à inonder une boîte de réception, cela peut indiquer que l'adresse e-mail associée a été divulguée ou compromise.

Mauvaises performances du PC

Dans certains cas, les comptes compromis peuvent rencontrer un comportement inhabituel du système, tel qu'un ralentissement des performances, des pannes fréquentes ou des fenêtres contextuelles inattendues. Ces signes pourraient indiquer la présence de logiciels malveillants tels que des enregistreurs de frappe.

Comment détecter les ATO dans les organisations financières ?

Les organisations financières peuvent recourir à des approches clés pour renforcer leur défense contre les attaques de piratage de compte. L'analyse du comportement des utilisateurs fournit des outils essentiels qui surveillent et détectent les modèles anormaux. Les écarts dans les délais de connexion, la géolocalisation, l’utilisation des appareils et l’historique des transactions peuvent tous former une vision cohérente d’une compromission potentielle. Parallèlement, l'analyse de la réputation IP permet aux organisations d'évaluer les différentes adresses IP accédant à leurs systèmes, contribuant ainsi à identifier et à bloquer le trafic suspect. Les techniques d'empreinte digitale des appareils aident à reconnaître et à suivre les appareils utilisés pour accéder au compte, détectant ainsi les tentatives de piratage de compte. Les systèmes de surveillance des transactions en temps réel, utilisant l'analyse comportementale et la détection des anomalies, permettent aux institutions financières d'identifier et de bloquer rapidement les transactions suspectes ou frauduleuses, atténuant ainsi l'impact des attaques ATO.

Ces approches renforcent collectivement la posture de sécurité des organisations financières, formant ainsi une barrière contre la compromission totale des comptes.

Protégez votre entreprise contre les attaques de piratage de compte

Pour se protéger contre toute attaque de piratage de compte, toutes les organisations doivent mettre en œuvre plusieurs niveaux de bonnes pratiques, tant au niveau individuel qu'organisationnel.

Individuelle

Il est essentiel de donner aux utilisateurs finaux les connaissances et les outils nécessaires pour sécuriser leurs comptes. En tant qu'utilisateur sur le terrain de chaque compte, chaque individu joue un rôle clé dans la stratégie de sécurité d'une organisation. Les mots de passe uniques et robustes ne sont qu'un début : les outils de gestion des mots de passe permettent aux utilisateurs non seulement d'utiliser des pratiques de mot de passe sécurisées, mais aussi de les suivre sans risquer d'oublier des mots de passe hautement sécurisés et uniques.

Parallèlement à cela, l'authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire en obligeant les utilisateurs à fournir plusieurs facteurs d'authentification, tels que la biométrie, les jetons de sécurité et, bien sûr, les mots de passe. Cela atténue le risque d'attaques ATO, car même si les mots de passe sont compromis, les attaquants ne peuvent pas accéder sans le facteur d'authentification supplémentaire.

Organisationnel

Soutenant les efforts de chaque employé, les défenses organisationnelles contre les ATO sont tout aussi cruciales. La réponse aux incidents de sécurité doit être ancrée dans les routines des employés. L’établissement d’un plan efficace de réponse aux incidents de sécurité est crucial. Les organisations doivent mettre en place des protocoles pour gérer les incidents ATO, notamment une communication rapide avec les utilisateurs concernés, une enquête et une correction des comptes compromis, ainsi qu'une analyse post-incident pour améliorer les mesures de sécurité. Parallèlement, la surveillance de l'activité des comptes permet aux organisations de détecter et de répondre rapidement aux activités suspectes des comptes. En analysant les modèles, les anomalies et les indicateurs comportementaux, les organisations peuvent identifier les tentatives d'ATO, signaler les accès non autorisés et prendre les mesures appropriées. Enfin, des évaluations de sécurité et des tests d'intrusion réguliers permettent d'identifier les vulnérabilités et les faiblesses des systèmes et des applications. En abordant ces problèmes de manière proactive, les organisations peuvent renforcer leurs défenses contre les attaques ATO et améliorer la sécurité globale.

En mettant en œuvre ces pratiques, les organisations peuvent réduire considérablement le risque d'attaques ATO, protéger les données sensibles et maintenir la confiance de leurs utilisateurs. Une approche globale combinant solutions technologiques, éducation des utilisateurs et surveillance proactive est essentielle pour lutter efficacement contre les menaces ATO.

Prévention des attaques de piratage de compte avec LayerX

L'extension de navigateur de LayerX est une solution innovante conçue pour empêcher les attaques de piratage de compte. LayerX offre une protection complète contre le phishing, le credential stuffing et le détournement de session. L'outil utilise des algorithmes avancés et des techniques d'apprentissage automatique pour analyser le comportement des utilisateurs, détecter les anomalies et bloquer les activités suspectes en temps réel. Il s'intègre également de manière transparente à l'infrastructure de sécurité existante, ce qui le rend compatible avec différents navigateurs et plates-formes. Avec la première approche de prévention ATO centrée sur l'utilisateur, LayerX aide les organisations à améliorer la sécurité de leurs comptes, à protéger les informations sensibles et à atténuer les risques associés aux attaques de piratage de compte.

Capacités de prévention du piratage de compte LayerX :

Exigences d'accès renforcées basées sur la transformation du navigateur en facteur d'authentification supplémentaire, empêchant pratiquement tout accès sauf s'il est initié par le navigateur protégé par LayerX.
Politiques configurables qui exploitent la capacité de LayerX à déclencher une action de protection lors de la détection d'anomalies comportementales d'utilisateur indiquant un piratage potentiel de compte.
Politiques configurables qui alertent ou bloquent l'accès lors de la détection d'un risque véhiculé par le Web. basé sur les capacités de détection des menaces du moteur de risque de LayerX.