Les tentatives d’escroquerie ont considérablement augmenté en Allemagne au cours de l’année écoulée. Selon une étude de l’association professionnelle Bitkom e. V., huit personnes sur dix ont été touchées par la cybercriminalité – une augmentation significative par rapport à 2020. 15 % des participants à l’étude ont également déclaré avoir été victimes de fraude bancaire en ligne.
Selon les auteurs de l’étude, les criminels deviennent de plus en plus sophistiqués dans leurs méthodes et causent d’importants dommages financiers à leurs victimes. Leurs méthodes vont du SMS phishing (smishing), du voice phishing (vishing) à l’ingénierie sociale en temps réel. Cela peut être résolu par des solutions qui utilisent la biométrie comportementale pour identifier les tentatives de fraude à un stade précoce.
La cybercriminalité n’a cessé d’augmenter ces dernières années. Les scénarios d’entrée sont souvent des attaques d’ingénierie sociale soutenues par le phishing. Le facteur humain en tant que « maillon le plus faible » de la chaîne de sécurité informatique est exploité pour des attaques complexes et en plusieurs étapes.
Smishing comme scénario d’entrée
Le phishing par SMS, ou smishing, est une forme d’attaque d’ingénierie sociale dans laquelle la victime est contactée via un téléphone portable ou un smartphone. Les utilisateurs reçoivent un message texte qui semble provenir d’une organisation légitime et contient un lien qui redirige le destinataire vers un site de phishing. La victime potentielle est ainsi amenée à envoyer des informations privées à l’attaquant ou à charger des logiciels malveillants sur l’appareil final.
Des affaires de smishing plus récentes ciblent directement les consommateurs pour les avertir d’une escroquerie ou d’un autre problème avec leur compte bancaire. Une fois que l’utilisateur a répondu, l’escroc le contacte sur son téléphone portable, se faisant passer pour un supposé employé de banque. Les recherches de BioCatch montrent que les signalements de ce type d’escroquerie ont augmenté de 140 % dans le monde au cours de l’année écoulée.
Le smishing reste un problème majeur car les escrocs peuvent atteindre des milliers de victimes potentielles en quelques minutes via des robots SMS. Ces robots sont également utilisés pour intercepter les mots de passe à usage unique (OTP) afin de contourner l’authentification à deux facteurs pour les comptes bancaires.
Escroqueries vocales en temps réel et attaques d’ingénierie sociale
Le phishing vocal, ou vishing, est une méthode de fraude qui relève également de la catégorie de l’ingénierie sociale. Dans cette tactique, les cybercriminels se font passer pour les représentants d’une organisation réputée et appellent leurs victimes. La manipulation et la tromperie ciblée visent à prendre le contrôle de l’appareil final ou des données personnelles de la victime.
Dans la fraude dite Authorized Push Payment (APP), les auteurs ont préalablement collecté des informations personnelles sur leur victime. Cela facilite la manipulation de l’appelé. Le cybercriminel trompe ensuite l’utilisateur pour qu’il se connecte à son compte bancaire et transfère un montant spécifié sur un autre compte. Les attaques d’ingénierie sociale en temps réel sont souvent détectées trop tard par les experts en sécurité, car ce n’est pas le fraudeur qui interagit avec le compte, mais le véritable utilisateur.
Par conséquent, les contrôles de sécurité habituels tels que l’identification du terminal, l’emplacement ou l’adresse IP ne suffisent plus. Même l’authentification multifacteur (MFA) peut être facilement contournée par APP.
Détection des fraudes grâce à la biométrie comportementale
Les technologies basées sur la biométrie comportementale apportent un remède contre ce type de fraude. Ainsi, l’identité des personnes peut être vérifiée en temps réel lors du traitement de leurs transactions bancaires. Grâce à des informations basées sur des données, les comportements réels peuvent être distingués des comportements frauduleux. Car le comportement d’un utilisateur sous l’emprise d’un arnaqueur lors d’une transaction diffère de son comportement habituel :
- Durée de session inhabituelle : la session de compte prend beaucoup plus de temps que d’habitude et l’utilisateur connecté présente un comportement erratique tel que des mouvements de souris sans but. Cela suggère que la personne est nerveuse en attendant les instructions de l’escroc.
- Frappes asymétriques : si la frappe présente des interruptions, cela peut indiquer que le numéro de compte a été lu par le criminel et qu’aucune saisie de routine n’est donc possible pour l’utilisateur.
Action hésitante : Le temps pour des actions simples et intuitives augmente – comme la confirmation d’une étape franchie. - Manipulation inhabituelle de l’appareil terminal : L’orientation de l’appareil change fréquemment. Cela peut signifier que l’utilisateur pose ou décroche à plusieurs reprises son smartphone pour recevoir les instructions de l’escroc.
Les méthodes de fraude deviennent de plus en plus sophistiquées. Les attaques d’ingénierie sociale évoluent constamment. Les mesures traditionnelles de prévention de la fraude telles que la vérification des appareils et de l’adresse IP ou la vérification des attributs du réseau ne suffisent plus car les criminels peuvent facilement les contourner.
Il faut donc de nouveaux mécanismes de contrôle qui ne soient pas basés sur les appareils, mais analysent le comportement des utilisateurs en temps réel afin d’identifier à temps les tentatives de fraude.
Klaus Joachim Gährs est responsable de compte senior chez BioCatch.