Les robots vocaux arrivent pour vos mots de passe

December 02, 2021
DansNouvelles La Sécurité Sur Internet

Points clés à retenir

Les codes d'authentification sont piratés par des robots vocaux qui appellent et demandent vos informations.
Les pirates peuvent utiliser les codes pour pénétrer dans des comptes allant d'Apple à Amazon.
N'envoyez pas d'informations personnelles par SMS et raccrochez à tous les appels qui insistent pour que vous les transfériez, disent les experts.

Un code d'authentification à deux facteurs pour un site Web bancaire affiché sur un smartphone avec un clavier d'ordinateur portable en arrière-plan. — Dcdp / Getty Images

Vous voudrez peut-être faire plus attention à qui vous parlez au téléphone.

Les pirates informatiques utilisent des robots vocaux sophistiqués pour voler des mots de passe. Les attaquants ciblent de plus en plus les codes d'authentification à deux facteurs (également appelés 2FA) qui sont utilisés pour tout sécuriser, des comptes Apple aux comptes Amazon.

« Les robots vocaux sont si efficaces que les utilisateurs peuvent facilement croire qu'ils sont authentiques, en particulier lorsqu'ils semblent aider en arrêtant les activités malveillantes, telles qu'un achat suspect. » Joseph Carson de la société de cybersécurité ThycoticCentrify, a déclaré Lifewire dans une interview par e-mail. "Malheureusement, en réalité, les pirates informatiques volent votre argent."

Bots bavards

Les pirates utilisent des robots personnalisés pour passer des appels automatisés demandant votre mot de passe temporaire, Jonathan Tian, le co-fondateur de Perfix Mobitrix, une solution iPhone, a déclaré Lifewire. Certains bots vous font croire que vous parlez à un vrai représentant du service client avant de demander votre code. Le problème était récemment mis en évidence dans Carte mère.

"Le pirate peut facilement se connecter à votre compte et effectuer des transactions ou tout ce qu'il veut une fois que vous avez soumis le code de vérification", a ajouté Tian.

Un attaquant utilisant un bot peut mettre la main sur une liste de comptes compromis qui contient des e-mails, des noms et des numéros de téléphone, expert en cybersécurité Steve Tcherchian dit Lifewire. Le pirate peut alors essayer de se connecter à des services comme Amazon ou Google. Cliquer sur le lien « réinitialiser le mot de passe » déclenchera un message texte envoyé au propriétaire sans méfiance.

"L'attaquant appelle ensuite le propriétaire à l'aide d'un bot pour lui dire que son compte a été compromis et pour saisir le code envoyé sur son téléphone pour valider la propriété de son compte", a-t-il ajouté. "Lorsque le propriétaire entre le code, le voleur dispose désormais du deuxième facteur manquant pour compromettre le compte de l'utilisateur."

Les experts disent que les robots vocaux des pirates sont un problème croissant.

"Il y a beaucoup plus de robots vocaux sur le marché aujourd'hui qu'il y a dix mois, même s'ils restent un investissement coûteux", a déclaré un expert en confidentialité. Hannah Hart dit Lifewire.

Les bots peuvent imiter toutes sortes de services pour les pirates qui en paient le prix, ce qui signifie qu'il y a un potentiel pour un large éventail de clients à contacter et dupé en remettant un code 2FA ou OTP (mot de passe à usage unique), Hart mentionné.

« Il y a beaucoup plus de robots vocaux sur le marché aujourd'hui qu'il y a dix mois. »

Parce que les robots vocaux n'exigent pas que les pirates soient exceptionnellement qualifiés pour utiliser les techniques d'ingénierie sociale, n'importe qui pourrait en utiliser un, "il est donc probable que nous verrons des pirates informatiques qui veulent tenter leur chance", Hart ajoutée.

Les fraudes et cyberattaques en tout genre se sont multipliées ces dernières années, Bob Lyle, un vice-président principal de la société de cybersécurité SpyCloud, a déclaré à Lifewire. Et l'utilisation par les criminels des identifiants volés est devenue de plus en plus sophistiquée.

"L'un des principaux défis est le manque de compréhension de la menace", a-t-il déclaré. « En raison de la prolifération des escroqueries par télémarketing et des appels automatisés, de nombreux consommateurs supposent que leur numéro de téléphone a déjà été compromis sans savoir comment il pourrait être utilisé pour accéder à leur comptes."

Se protéger

Il existe des moyens d'empêcher les robots vocaux de voler vos précieux codes de sécurité.

N'entrez jamais votre code 2FA à moins que vous n'ayez initié la demande, a déclaré Carson. Il suggère également de toujours se méfier de toute demande demandant votre code 2FA à laquelle vous ne vous attendiez pas.

"Assurez-vous de changer périodiquement vos mots de passe et d'utiliser un gestionnaire de mots de passe pour vous aider à créer des mots de passe uniques, longs et forts pour chaque compte", a-t-il ajouté.

Une main robotique tenant un smartphone avec un ordinateur portable affiché en arrière-plan. — Baona / Getty Images

N'envoyez pas d'informations personnelles par SMS et raccrochez à tous les appels qui insistent pour que vous les transfériez, a déclaré Hart. Au lieu de cela, consultez directement le service pour garder un œil sur l'activité de votre compte et signaler tout soupçon ou préoccupation à l'équipe du service client.

"Cela vaut également la peine de faire passer le mot à vos amis et à votre famille au sujet de ces tentatives de piratage malveillantes", a ajouté Hart. "Après tout, nous pourrions tous nous retrouver ciblés par un escroc potentiel, et il n'est pas toujours facile de déterminer si un système automatisé est légitime ou non."