Comment les bots aident les pirates à braquer vos données bancaires

PIRATAGE De faux appels de banques tentent d’accéder aux mots de passe des utilisateurs pour leur soutirer de l’argent

David Manfredini pour 20 Minutes
— 
Des pirates utilisent des bots pour voler des données bancaires
Des pirates utilisent des bots pour voler des données bancaires — Geeko

Attention à vos identifiants et à vos mots de passe. Il arrive régulièrement que des pirates parviennent à mettre la main sur ceux d’utilisateurs peu méfiants. C’est pour cette raison que les experts en cybersécurité recommandent d’utiliser des mots de passe différents pour chaque plateforme ou d’utiliser l’authentification à deux facteurs qui imposent d’utiliser une méthode supplémentaire pour se connecter à un compte, comme la validation d’un SMS, d’un capteur biométrique ou la création d’un mot de passe à usage unique. L’authentification à deux facteurs est supposée garantir un plus haut niveau de sécurité en empêchant les pirates d’accéder à un compte s’ils ne disposent que du mot de passe. Microsoft a d’ailleurs récemment annoncé qu’il souhaite faire disparaître à long terme les mots de passe.

Malheureusement, les pirates parviennent à détourner ce système de sécurité pour accéder malgré tout aux données bancaires de leur victime et leur soutirer des milliers d’euros. Les chercheurs d’Intel 471 ont ainsi constaté depuis juin une augmentation du nombre de bots exploitant le service de messagerie Telegram pour proposer des services de contournement de sécurité. Le réseau est utilisé à la fois pour contrôler des bots et pour permettre aux cybercriminels de communiquer entre eux. « Dans ces canaux d’assistance, les utilisateurs partagent leurs succès liés à l’utilisation du bot et repartant souvent avec des milliers de dollars des comptes des victimes », décrivent les chercheurs.

BloodOTPbot et SMSRanger

Dans leur rapport, les chercheurs se sont concentrés sur deux bots en particulier : SMSRanger et BloodOTPbot. L’interface et les commandes de SMSRanger sont très similaires au fonctionnement de la plateforme de communication collaborative Slack, ce qui le rend particulièrement facile d’utilisation pour les novices. Il peut être utilisé pour cibler PayPal, Google Play ou encore Apple Pay​. BloodOTPbot est quant à lui un bot basé sur les SMS. Il peut être utilisé pour créer des appels automatiques en se faisant passer pour une banque et en demandant aux utilisateurs de leur fournir les mots de passe à usage unique pour accéder à leur compte.

Bien que des connaissances en programmation soient nécessaires pour créer les bots, elles sont beaucoup plus légères que pour la création de malwares. De plus, les bots Telegram peuvent être loués déjà configurés, facilitant encore davantage la tâche des apprentis pirates.

« Ces bots montrent que certaines formes d’authentification à deux facteurs peuvent avoir leurs propres risques de sécurité », préviennent les chercheurs d’Intel 471. « Bien que les services de mots de passe à usage unique basés sur les SMS et les appels téléphoniques soient mieux que rien, les criminels ont trouvé des moyens de contourner les mesures de protection. »

Enfin, il est important de rappeler que les banques ne demandent jamais les mots de passe par téléphone, SMS ou mail à leur adhérent. Si vous vous retrouvez confronté à des appels ou de messages vous demandant de leur fournir des codes d’authentification, il s’agit à coup sûr d’une arnaque.