Accéder directement au contenu principal
Une dame debout regarde quelque chose sur son IPAD

En quoi consiste une prise de contrôle de compte ?

La prise de contrôle de compte est une forme d’usurpation d’identité en ligne, où un tiers accède illégalement au compte en ligne d’une victime pour réaliser un profit en modifiant les détails du compte, en effectuant des achats et en exploitant les informations dérobées afin d’accéder à d’autres comptes.

La prise de contrôle de compte figure parmi les principales menaces de cybersécurité pour les entreprises et les consommateurs, dont le coût a été estimé à 4 milliards USD en 2018.

Reconnaître les types de prise de contrôle de compte

Ces dernières années, les prises de contrôle de comptes réussies, ciblant les secteurs de la banque, du e-commerce, du voyage, de l’assurance et de la distribution n’ont cessé d’augmenter. Elles correspondent généralement à l’un des quatre scénarios de fraude courants en termes de prise de contrôle de compte :

  1. Cracking d’informations d’identification : ceci se produit lorsqu’un utilisateur malveillant accède au nom d’utilisateur ou à l’adresse e-mail d’une victime. Ces informations sont relativement faciles à obtenir car de nombreuses personnes utilisent leur adresse e-mail à plusieurs endroits et répètent le même nom d’utilisateur sur plusieurs sites Web. Pour y accéder, un pirate malveillant utilise des bots qui essaient automatiquement diverses combinaisons des mots de passe et des phrases générales les plus couramment utilisés afin de trouver l’accès.
  2. Credential stuffing : cette attaque, l’une des plus courantes, est en pleine expansion. Dans ce scénario, des utilisateurs malveillants ont accès à un grand nombre de noms d’utilisateurs et de mots de passe volés. Au moyen d’une attaque de bot, ils automatisent alors les tentatives de connexion avec ces informations d’identification volées, en les « bourrant » sur différents sites Web. Ces tentatives réussissent souvent car de nombreuses personnes ont recours au même nom d’utilisateur et au même mot de passe sur divers sites. Une fois l’accès obtenu, le criminel effectue des achats, utilise les points de fidélité et/ou transfère les fonds vers d’autres comptes.
  3. Pulvérisation de mots de passe : contrairement au « cracking d’informations d’identification » et au « credential stuffing », qui affectent les utilisateurs connus et leurs mots de passe, cette méthode se concentre sur les utilisateurs inconnus dans le but de contourner les mesures de prévention courantes contre la prise de contrôle de compte. Ici, un utilisateur malveillant cible certains sites Web spécifiques : au moyen d’une attaque de bot, il effectue plusieurs tentatives de connexion en utilisant des noms d’utilisateurs courants ou connus, tels que « password123 » ou « 123456 ». Si la connexion échoue, il réessaie en utilisant un autre nom de compte, car cette méthode déclenche généralement un verrouillage après trois à cinq tentatives infructueuses.
  4. Attaque par échange de carte SIM : ceci se produit lorsque des pirates malveillants, grâce à des techniques d’ingénierie sociale, exploitent un service légitime pour échanger la carte SIM d’un utilisateur. En prenant le contrôle du téléphone d’une victime, les pirates sont alors en mesure d’intercepter les codes d’authentification et de valider des transactions frauduleuses.

Les signaux d’alerte fréquents pouvant suggérer des attaques par prise de contrôle de compte incluent entre autres :

  • Pics irréguliers dans les tentatives de connexion.
  • Augmentation du nombre d’échecs de connexion.
  • Pics dans les verrouillages de comptes.
  • Signalisations d’e-mails ou de SMS frauduleux envoyés par une personne se faisant passer pour une entité légitime.
  • Plaintes des clients concernant des mouvements de fonds non autorisés.
  • Signatures TCP et HTTP incompatibles.

Tactiques courantes qui mènent à des prises de contrôle de compte

Les utilisateurs malveillants ont recours à un certain nombre de stratégies pour obtenir les informations dont ils ont besoin pour effectuer une prise de contrôle de compte. Ces stratégies incluent, entre autres :

  1. Hameçonnage : ici, les criminels créent généralement un faux sentiment d’urgence en obligeant un utilisateur à ouvrir ou à cliquer sur un e-mail. L’utilisateur est alors renvoyé vers un faux site web identique, ou pratiquement identique, à son institution financière, où ses informations d’identification sont dérobées.
  2. Logiciel malveillant : ceci est à la fois courant et difficile à détecter. Le logiciel malveillant est installé sur l’ordinateur d’une victime par un utilisateur malintentionné qui capture les informations de la victime au moyen d’un enregistreur de frappe ou de la redirection vers un site web frauduleux.
  3. Attaque de l’intercepteur : ceci se produit lorsqu’un pirate informatique malveillant se positionne entre la victime et l’institution qu’il tente de contacter. Ensuite, le criminel utilise un point d’accès non autorisé pour intercepter les données du client afin d’accéder à son compte. Les applications bancaires mobiles peuvent être particulièrement vulnérables à ce type d’attaque si des mesures de sécurité appropriées ne sont pas mises en place.

Impact des prises de contrôle de comptes sur votre organisation

Certains secteurs d’activités sont particulièrement ciblés par les attaques de prise de contrôle de comptes. Toutefois, toute entreprise disposant d’un système d’adhésions ou de comptes d’utilisateurs est vulnérable.

Il s’agit de l’une des menaces de cybersécurité les plus dommageables auxquelles votre entreprise est confrontée. Et sans prévention contre la prise de contrôle de compte, ces attaques menacent non seulement vos revenus, mais également votre réputation, ce qui peut entraîner une perte de confiance de la part de vos clients.

Moyens d’éviter la fraude par prise de contrôle de compte

La bonne nouvelle est que les organisations peuvent prendre des précautions pour atténuer les risques de fraude par prise de contrôle de compte, dans un environnement de plus en plus mobile.

Afin de réduire les incidents de prise de contrôle de compte, les organisations doivent mettre en place une stratégie de prévention des fraudes qui inclut, entre autres :

  • Mettre en œuvre une solution de détection de bots pour identifier le comportement des visiteurs, grâce à l’analyse des données techniques et comportementales.
  • Fournir des options d’authentification multifacteur (MFA) pour tous les comptes.
  • Surveiller les activités souterraines cybercriminelles ciblant votre organisation.
  • Encourager les clients à utiliser un gestionnaire de mots de passe pour définir un mot de passe unique et fort pour chacun de leurs comptes en ligne.

Démarrer avec Fraud Protection

La plateforme que votre organisation utilise pour la détection et la prévention des prises de contrôle de comptes doit rester en phase avec les cyberattaques de plus en plus sophistiquées ciblant votre entreprise. Et en ce qui concerne les achats, les comptes et la prévention des pertes, la technologie contre la prise de contrôle de compte est essentielle pour accroître la sensibilisation à la fraude et améliorer les expériences des clients.

Dans cet esprit, au moment d’évaluer vos options de protection contre la prise de contrôle de compte, assurez-vous d’en rechercher une qui inclut, entre autres :

  • Technologie d’IA adaptative
  • Protection bot
  • Connexion protégée aux comptes
  • Génération de rapports décisionnels
  • Système amélioré de prévention des pertes

Microsoft Dynamics 365 Fraud Protection aide les détaillants en ligne à diagnostiquer les transactions, à détecter le trafic des bots, à évaluer le potentiel de fraude et à protéger les entreprises, grâce à des règles personnalisables permettant d’obtenir des recommandations pour les décisions relatives aux transactions en ligne.