Prévenir le piratage de comptes : l'efficacité des systèmes de surveillance des transactions

La fraude par prise de contrôle de compte, qui était autrefois un phénomène rare faisant la une des journaux, est désormais devenue une menace omniprésente dont chacun doit prendre conscience.

Ce qui est particulièrement préoccupant, c'est que les comptes ouverts auprès de banques ou d'entreprises de technologie financière présentent un intérêt particulier pour les fraudeurs, car ces comptes permettent de stocker et de transférer de l'argent — ce qui constitue l'objectif ultime de toute opération frauduleuse.

Rien qu'aux États-Unis, les statistiques indiquent que 22 % de la population a été victime d'attaques visant à prendre le contrôle de comptes, ce qui a entraîné environ 13 milliards de dollars de pertes en 2023.

Pour mettre les choses en perspective, le FBI a recensé 1 401 cas de vol par 100 000 habitants en 2022, soit environ 1,4 %. Cela signifie que vous avez plus de 15 fois plus de chances de vous faire pirater votre compte que d'être victime d'un vol.

Il est frustrant de constater que cette recrudescence des piratages de comptes survient alors même que les mesures de sécurité se sont considérablement améliorées. Les mots de passe faibles sont remplacés par des clés d'accès générées, et les mots de passe à usage unique (OTP) font désormais partie intégrante de presque toutes les applications. Malgré ces progrès, les fraudeurs continuent de trouver des moyens de déjouer les systèmes de sécurité et de contourner les défenses. Au-delà de l'impact financier, les piratages de comptes peuvent entraîner une perte de clientèle et nuire à la réputation des entreprises, car les consommateurs s'attendent à ce que celles-ci protègent leurs comptes et leur en tiennent souvent rigueur lorsqu'elles ne le font pas.

Si l'on considère la situation dans son ensemble, il apparaît clairement que de nombreuses entreprises concentrent leurs efforts de protection de leurs utilisateurs principalement au niveau de l'accès. Cependant, la fraude persiste, car cette approche peut s'avérer insuffisante en l'absence d'un dispositif de sécurité ou d'un filet de sécurité solide.

Dans cet article, nous allons examiner comment se déroulent les fraudes par prise de contrôle de compte et comment vous pouvez tirer parti de votre système de surveillance des transactions pour protéger plus efficacement vos clients.

De nombreux problèmes de fraude persistent car les cybercriminels savent parfaitement repérer les failles dans les systèmes de protection des entreprises. D’un point de vue technique, les connexions et l’authentification des utilisateurs sont souvent gérées par une couche de cybersécurité qui inclut la prévention des bots et qui est distincte des systèmes de paiement ou d’autres systèmes liés aux actions des utilisateurs.

Toutefois, si cette première couche de protection valide un utilisateur et que les signaux ne sont pas transmis au système de surveillance des transactions, le pirate peut exploiter la « confiance » acquise grâce à une connexion réussie pour commettre une fraude.

L'augmentation des piratages de comptes s'explique en grande partie par le fait que les fraudeurs ont identifié l'utilisateur final comme le maillon faible. Le recours aux mots de passe à usage unique (OTP) pour l'authentification à deux facteurs (2FA) a entraîné une recrudescence des stratagèmes visant à inciter les clients à révéler ces codes.

Voici quelques exemples notables des tactiques utilisées par les fraudeurs :

1. Vous avez mis en place des mots de passe à usage unique (OTP) pour les opérations sensibles telles que les connexions.

2. Le fraudeur se procure vos identifiants d'utilisateur et se heurte à la demande de mot de passe à usage unique (OTP) lors de la connexion.

3. Le pirate utilise un bot OTP pour appeler la victime à l'aide d'un script d'ingénierie sociale afin d'obtenir le code OTP.

4. Le bot transmet le mot de passe à usage unique (OTP) au fraudeur, qui parvient alors à accéder au compte de l'utilisateur.

Selon le niveau de sophistication du bot, cela peut coûter à un fraudeur entre 140 et 420 dollars par semaine.

Cette méthode suit un processus similaire, mais au lieu d'utiliser un bot, l'escroc recourt directement à l'ingénierie sociale. Il se fait souvent passer pour un employé de la banque de la victime ou de l'organisme concerné par le piratage de compte.

Même si cette méthode peut sembler moins sophistiquée que l'utilisation de bots, ces attaques sont souvent menées par des centres d'appels spécialisés, dont les opérateurs sont formés à l'ingénierie sociale et disposent de scripts et de primes pour les meilleurs éléments, à l'instar des opérations de type « boiler room ».

En effet, le rapport 2024 de LexisNexis sur la cybercriminalité a souligné que près de trois incidents de cyberfraude sur dix concernaient la phase de connexion au compte, ces attaques ayant augmenté de 18 % par rapport à l'année précédente, ce qui confirme que la prise de contrôle de compte constitue l'une des principales menaces de fraude, en particulier pour les néobanques.

Les kits de phishing sont des outils utilisés par les cybercriminels pour créer de fausses pages d'accueil imitant celles d'entreprises légitimes, ce qui leur permet de se faire passer pour ces dernières à grande échelle. Ils ont gagné en popularité au moment où l'authentification à deux facteurs (2FA) s'est généralisée, car ils constituent un moyen efficace de manipulation psychologique.

Les cybercriminels s'en servent souvent pour récupérer des identifiants de connexion ou des informations de paiement, mais ces sites peuvent également être spécialement conçus pour voler des mots de passe à usage unique (OTP) en se faisant passer pour votre page d'OTP.

En 2021, Krebs on Security a révélé l'existence d'un kit de hameçonnage qui avait permis de dérober des cryptomonnaies à plus de 6 000 clients de Coinbase, et ces attaques n'ont cessé de gagner en sophistication depuis lors.

Les systèmes d'authentification à deux facteurs (2FA) par SMS ont relancé une forme de fraude de niche connue sous le nom de « fraude par SMS », désormais appelée « SMS pumping ». Voici comment cela se déroule généralement :

1. Le fraudeur se procure un numéro de téléphone surtaxé pour envoyer des SMS.

2. Ils utilisent ce numéro pour créer divers comptes et activer l'authentification à deux facteurs (2FA).

3. Ils inondent le service de requêtes, ce qui le pousse à envoyer plusieurs codes OTP vers le numéro surtaxé.

Dans ce cas, ce sont les failles de sécurité inhérentes aux méthodes de vérification par mot de passe à usage unique (OTP) qui constituent un risque, car le système peut être exploité à des fins lucratives.

Si l'authentification à deux facteurs (2FA) s'avère efficace contre les méthodes élémentaires de piratage de compte, telles que le « credential stuffing », elle s'avère insuffisante face à des attaquants plus déterminés.

C'est là que votre système de surveillance des transactions joue un rôle crucial : il fait office de protection. Même si la sécurité de vos identifiants de connexion permet de bloquer 99 % des attaquants, la surveillance des transactions doit rester vigilante pour empêcher ce 1 % restant de causer des dommages.

En substance, la surveillance des transactions constitue votre filet de sécurité.

L'efficacité de la surveillance des transactions augmente avec la quantité de données disponibles. Elle ne repose pas uniquement sur les signaux recueillis lors de la création de compte ou des transactions ; vous pouvez également demander de manière proactive des informations à vos utilisateurs afin de les aider à protéger leurs comptes. Par exemple, Monzo permet à ses utilisateurs de définir des lieux de confiance où les transactions dépassant un certain seuil doivent être bloquées ou validées par une personne en qui l'utilisateur a confiance.

Concrètement, la surveillance des transactions est particulièrement efficace lorsqu’elle permet de répondre à des situations réelles :

Il est essentiel de ne pas se contenter de vérifier si un client saisit correctement son mot de passe à usage unique (OTP) lors de la connexion. Une prévention proactive de la fraude consiste à examiner l'ensemble du parcours de l'utilisateur menant à une transaction :

Les prises de contrôle de compte s'écartent souvent des schémas habituels, et les bonnes pratiques préconisent une approche de type « faire confiance, mais vérifier ». Plus les actions d'un utilisateur s'écartent de la norme, plus la vérification doit être rigoureuse, les cas atypiques devant être purement et simplement rejetés.

Les fraudeurs utilisent souvent des serveurs proxy et des émulateurs pour dissimuler leurs activités, mais il est peu probable qu’ils parviennent à reproduire à la perfection les caractéristiques de l’appareil du titulaire du compte, à moins que celui-ci n’ait été piraté ou volé. Examinez attentivement ces informations et ajustez les scores de risque en cas de divergences susceptibles d’indiquer une prise de contrôle du compte.

Avec l'essor des kits de phishing, des bots OTP et d'autres outils sophistiqués, vous risquez davantage d'être confronté à des organisations criminelles qu'à des attaquants isolés. Ces criminels ont leurs propres schémas de comportement et cherchent à étendre rapidement la portée de leurs attaques.

Votre système de surveillance des transactions doit offrir à vos analystes une flexibilité en temps réel, en permettant l'intégration rapide de nouvelles règles et sources de données afin de faire face à ces menaces en constante évolution. Il doit prendre des décisions en temps réel, et non pas uniquement par le biais d'un traitement par lots.

Sur Taktile, par exemple, notre Data Marketplace propose un large éventail de fournisseurs qui vous permettent de personnaliser les scores de risque et de prendre des décisions en temps réel afin de prévenir la fraude par prise de contrôle de compte.

Lorsque vous êtes pris pour cible par des gangs criminels, certains signes et comportements — révélateurs de leur mode opératoire — apparaissent. En analysant les cas connus de piratage de comptes, vous pouvez recourir à l'apprentissage automatique pour identifier des schémas pouvant être traduits en règles permettant de refuser rapidement les transactions initiées par ces criminels.

Soyez attentifs à tout, car les schémas criminels se révèlent souvent à travers le choix des intermédiaires, des appareils ou même du moment choisi pour lancer l'attaque.

De nombreuses organisations hésitent à appliquer des règles strictes en matière de transactions, par crainte de causer des désagréments aux utilisateurs. Cependant, si une activité suspecte est détectée — même s'il s'agit d'activités à faible risque n'impliquant pas de transactions financières —, la meilleure pratique consiste à alerter l'utilisateur et à vérifier son consentement.

Tant que ces alertes restent raisonnables, les clients apprécient généralement ces mesures de sécurité supplémentaires et les préfèrent à la perspective de voir leur compte piraté.

L'authentification à deux facteurs est désormais une pratique courante dans le secteur financier, mais malheureusement, les cybercriminels ont trouvé des moyens de la contourner. Se fier exclusivement aux codes OTP envoyés par SMS n'est plus une solution viable. Face à la menace croissante des attaques visant à prendre le contrôle des comptes à l'échelle mondiale, les leaders du marché renforcent leurs mesures de sécurité proactives. Pour y parvenir efficacement, les entreprises doivent tirer parti de tous les outils à leur disposition, en particulier les systèmes de surveillance des transactions, afin de lutter contre les cyberattaques sous toutes leurs formes.

La solution la plus efficace consiste en un système de prise de décision en temps réel qui intègre diverses sources de données et des outils d'évaluation des risques, permettant ainsi une approche personnalisée fondée sur des indicateurs complets adaptés au parcours de l'utilisateur.

La plateforme décisionnelle de nouvelle génération de Taktile permet déjà à des équipes du monde entier de se prémunir contre les menaces de fraude, y compris celles qui sont complexes et évoluent rapidement, comme les détournements de compte.

Q : Qu'est-ce que la fraude par prise de contrôle de compte et pourquoi est-elle en hausse ?

R : La fraude par prise de contrôle de compte (ATO) se produit lorsque des pirates prennent le contrôle du compte d’un utilisateur afin de dérober des fonds ou des données. Avec les bots OTP, les kits de phishing et les escroqueries par vishing, les attaques ATO ont explosé, touchant 22 % des Américains et coûtant 13 milliards de dollars en 2023.

Q : Pourquoi l'authentification à deux facteurs ne suffit-elle pas à empêcher les attaques par usurpation d'identité (ATO) ?

R : Les fraudeurs contournent de plus en plus souvent les mots de passe à usage unique (OTP) à l'aide de bots de hameçonnage, d'arnaques par centre d'appels et de techniques de « SMS pumping ». C'est pourquoi la surveillance des transactions en temps réel est indispensable comme mesure de sécurité supplémentaire pour détecter les fraudes qui pourraient échapper aux dispositifs de protection lors de la connexion. 

Q : Comment les systèmes de surveillance des transactions peuvent-ils empêcher le piratage de comptes ?

R : Les systèmes modernes sont capables d'analyser en temps réel les empreintes numériques des appareils, les données de géolocalisation, les anomalies comportementales et les habitudes de paiement, afin de signaler les activités suspectes et de bloquer les transactions frauduleuses avant qu'elles ne causent des dommages.

Q : Quel rôle joue l'analyse prédictive dans la détection des fraudes liées à l'ATO ?

R : L'apprentissage automatique et l'analyse prédictive permettent d'identifier les comportements récurrents des fraudeurs, tels que le moment choisi pour les attaques, l'utilisation de serveurs proxy ou les anomalies au niveau des appareils. Cela aide les établissements à s'adapter rapidement et à prévenir les opérations de prise de contrôle de comptes à grande échelle.

Q : Comment les établissements financiers peuvent-ils renforcer la confiance de leurs clients tout en luttant contre la fraude ?

R : Des alertes proactives destinées aux utilisateurs, des mesures transparentes de prévention de la fraude et une vérification fluide permettent de trouver un juste équilibre entre sécurité et expérience client. Des plateformes telles que Taktile permettent aux équipes chargées de la gestion des risques de mettre en œuvre des règles de surveillance des transactions flexibles et segmentées qui renforcent la protection des clients sans créer de frictions inutiles. Demandez une démonstration de Taktile pour découvrir en action une surveillance des transactions à la fois flexible et efficace.