Clé à emporter
- Les codes d'authentification sont piratés par des robots vocaux qui appellent et demandent vos informations.
- Les pirates peuvent utiliser les codes pour s'introduire dans des comptes allant d'Apple à Amazon.
- N'envoyez pas d'informations personnelles par SMS et raccrochez les appels qui insistent pour que vous les communiquiez, disent les experts.
Vous voudrez peut-être faire plus attention à qui vous parlez au téléphone.
Les pirates utilisent des robots vocaux sophistiqués pour voler les mots de passe. Les attaquants ciblent de plus en plus les codes d'authentification à deux facteurs (également appelés 2FA) qui sont utilisés pour tout sécuriser, des comptes Apple aux comptes Amazon.
"Les bots vocaux sont si bons que les utilisateurs peuvent facilement croire qu'ils sont authentiques, surtout lorsqu'ils semblent aider en arrêtant une activité malveillante, comme un achat suspect", a déclaré Joseph Carson de la société de cybersécurité ThycoticCentrify, à Lifewire dans un entretien par mail. "Malheureusement, en réalité, les pirates informatiques volent votre argent."
Chatty Bots
Les hackers utilisent des robots personnalisés pour passer des appels automatisés demandant votre mot de passe temporaire, a déclaré Jonathan Tian, co-fondateur de Mobitrix Perfix, une solution iPhone, à Lifewire. Certains bots vous font croire que vous parlez à un vrai représentant du service client avant de demander votre code. Le problème a récemment été mis en évidence dans Motherboard.
"Le pirate peut facilement se connecter à votre compte et effectuer des transactions ou tout ce qu'il veut une fois que vous avez soumis le code de vérification", a ajouté Tian.
Un attaquant utilisant un bot peut mettre la main sur une liste de comptes compromis contenant des e-mails, des noms et des numéros de téléphone, a déclaré à Lifewire l'expert en cybersécurité Steve Tcherchian. Le pirate peut alors essayer de se connecter à des services comme Amazon ou Google. Cliquer sur le lien "réinitialiser le mot de passe" déclenchera l'envoi d'un message texte au propriétaire sans méfiance.
"L'attaquant appelle ensuite le propriétaire à l'aide d'un bot disant que son compte a été compromis et pour entrer le code envoyé sur son téléphone pour valider la propriété de son compte", a-t-il ajouté. "Lorsque le propriétaire saisit le code, le voleur dispose désormais du deuxième facteur manquant pour compromettre le compte de l'utilisateur."
Les experts disent que les pirates vocaux sont un problème croissant.
"Il y a beaucoup plus de bots vocaux sur le marché aujourd'hui qu'il y a dix mois, bien qu'ils restent un investissement coûteux", a déclaré Hannah Hart, experte en confidentialité, à Lifewire.
Les bots peuvent imiter toutes sortes de services pour les pirates qui en paient le prix, ce qui signifie qu'il est possible qu'un large éventail de clients soient contactés et dupés pour leur remettre un code 2FA ou OTP (mot de passe à usage unique), dit Hart.
Il y a beaucoup plus de robots vocaux sur le marché aujourd'hui qu'il y a dix mois.
Parce que les bots vocaux n'exigent pas que les pirates soient exceptionnellement doués pour utiliser les techniques d'ingénierie sociale, n'importe qui pourrait en utiliser une, "il est donc probable que nous verrons des pirates imitateurs qui veulent tenter leur chance", Hart ajouté.
La fraude et les cyberattaques de toutes sortes ont rapidement augmenté ces dernières années, a déclaré Bob Lyle, vice-président principal de la société de cybersécurité SpyCloud, à Lifewire. Et l'utilisation par les criminels d'informations d'identification volées est devenue de plus en plus sophistiquée.
"L'un des principaux défis est le manque de compréhension de la menace", a-t-il déclaré. "En raison de la prolifération des escroqueries par télémarketing et des appels automatisés, de nombreux consommateurs supposent que leur numéro de téléphone a déjà été compromis sans se rendre compte de la manière dont il pourrait être utilisé pour accéder à leurs comptes."
Se protéger
Il existe des moyens d'empêcher les robots vocaux de voler vos précieux codes de sécurité.
N'entrez jamais votre code 2FA à moins que vous n'ayez initié la demande, a déclaré Carson. Il vous suggère également de toujours vous méfier de toute demande demandant votre code 2FA auquel vous ne vous attendiez pas.
"Assurez-vous de changer périodiquement vos mots de passe et d'utiliser un gestionnaire de mots de passe pour vous aider à créer des mots de passe longs et forts uniques pour chaque compte", a-t-il ajouté.
N'envoyez pas d'informations personnelles par SMS et raccrochez tous les appels qui insistent pour que vous les remettiez, a déclaré Hart. Au lieu de cela, consultez directement le service pour garder un œil sur l'activité de votre compte et signalez tout soupçon ou préoccupation à l'équipe du service client.
"Cela vaut également la peine de passer le mot à vos amis et à votre famille au sujet de ces tentatives de piratage malveillantes", a ajouté Hart. "Après tout, nous pourrions tous nous retrouver ciblés par un escroc potentiel, et il n'est pas toujours facile de déterminer si un système automatisé est légitime ou non."
