Depuis quelques années, l’authentification à deux facteurs (A2F) s’est développée sur les différents services en ligne, cela peut concerner les sites marchands, les réseaux sociaux, les banques etc. Ce mécanisme consiste à ajouter un autre facteur d’authentification pour accéder aux comptes. En plus du mot de passe, il faut fournir un code qui a été envoyé par SMS, par WhatsApp, par mail ou encore par le biais d’une application comme Google Authenticator. Ce mécanisme permet de protéger votre compte même si le mot de passe a été compromis.
Malheureusement, les cybercriminels ont trouvé le moyen de contourner l’A2F. Comme le révèle une enquête de Kaspersky, les cybercriminels ont développés des tactiques de phishing qui incite les utilisateurs à révéler le code d’authentification. Avec ce code et les identifiants compromis en amont, les pirates peuvent accéder au compte.
Pour obtenir le code, les cybercriminels vont se servir d’un robot OTP (One-Time Password). Celui-ci va appeler la victime sur le numéro de téléphone qui reçoit le code de connexion. Là encore, le numéro de téléphone a du être obtenu au préalable par le biais d’une fuite de données. Le robot va se faire passer pour une organisation de confiance et il va suivre un script rédigé à l’avance pour persuader la cible de communiquer le code de sécurité.
Les robots peuvent également imiter un appel urgent, usurper l’identité d’organisations, fonctionner dans plusieurs langues et tout cela basé sur l’intelligence artificielle. Ils peuvent même usurper le numéro de téléphone d’une organisation car en recevant un appel d’un numéro officiel sur son smartphone, l’utilisateur est grandement susceptible de tomber dans le piège.
Pour en savoir plus : https://www.01net.com/actualites/hackers-trouve-astuce-contourner-authentification-deux-facteurs.html