Adresse IP
L'adresse IP/l'emplacement habituel de la victime, générant globalement des réseaux connus (l'adresse IP est celle du fournisseur d'accès à Internet de la victime, et non celle de l'attaquant distant).
L'ATTAQUE
Faux appels d'assistance
L’hacker à distance prétendant appeler au nom du soutien des institutions financières
Les attaques dites «Fake Support» visent aussi bien les particuliers que les entreprises. L'attaquant distant, prétendant appeler au nom du support d'une institution financière, ou du support d'un fournisseur générique (par exemple Microsoft), demande à la victime d'installer une application de contrôle à distance (telle que TeamViewer, AnyDesk, etc.). La victime est persuadée qu’elle doit suivre les instructions de l'attaquant, car il semble vouloir résoudre des problèmes informatiques (ce qui est typique) ou vérifier si tout va bien suite à une mise à jour du côté de l'institution financière. L'attaquant prétend vouloir aider la victime en s'assurant qu'elle peut toujours accéder au portail de banque en ligne et effectuer des transactions.
Une fois que la transaction "test" a été soumise avec succès, l'attaquant prend le contrôle de la machine de la victime par le biais du logiciel à distance, demande à la victime de laisser l'ordinateur allumé pendant quelques minutes, et procède à un certain nombre de paiements, généralement sur le même compte de mule.
Le Problème
Rien de suspect n'est détecté par le moteur de fraude : l'utilisateur approuve manuellement une première transaction.
L’attaque est réussie pour un certain nombre de raisons. Tout d'abord, le moteur de détection des fraudes du service financier travaille généralement sur les points de données suivants : Adresses IP/localisation, comportement anormal de l'utilisateur, whitelist des destinataires inconnus. Deuxièmement, contrairement aux attaques de phishing à distance ou de détournement de session, ces informations sont communiquées au moteur de détection des fraudes.
Comportement anormal de l'utilisateur
La victime effectue des opérations standard, telles que la saisie d'un nouveau paiement et son approbation lorsque le processus de passage à l'étape supérieure est initialisé, y compris l'exécution de l'étape MFA correspondante.
Whitelist des destinataires inconnus
Après le premier paiement, le compte de la mule est mis sur une whitelist et aucune étape supplémentaire n'est requise pour effectuer des transactions ultérieures sur le compte de la mule.
La Solution
Futurae a développé un composant JavaScript (blitz.js) qui peut être installé sur le portail de banque électronique des services financiers. Blitz enregistre les détails et l'activité de l'utilisateur sous forme anonyme et les soumet au serveur de traitement de Futurae. Les serveurs de Future communiquent ensuite en temps réel avec le composant Blitz lorsqu'une attaque est détectée et enregistrent l'activité suspecte en interne.
Loop de rétroaction
La boucle de rétroaction peut être réalisée de backend à frontend (typiquement utilisé pendant le PoC), ou de backend à backend (typiquement utilisé pour les systèmes de production). En outre, la solution peut également être intégrée aux mécanismes de détection des fraudes déjà utilisés par l'institution financière.
Comment ça marche
Opération du blitz.js
Le composant blitz.js doit être intégré aux pages du site de banque en ligne et initialisé avec un identifiant aléatoire, qui persiste tout au long de la session de l'utilisateur. Nous nous référons à la documentation technique pour une initialisation et une utilisation correcte.
Le composant JavaScript effectuera les opérations suivantes, en rendant des comptes au serveur Futurae:
- Lors de l'initialisation, il indique l'empreinte du navigateur (lorsque les fonctionnalités sont disponibles) : agent utilisateur, langue, profondeur de couleur, mémoire du dispositif, capacités de concurrence, résolution de l'écran, fuseau horaire, capacités de stockage, plate-forme, plugins, moteur de rendu webGL, AdBlock, support tactile, polices.
-
Il s'accroche à des instances liées à l'appui sur une touche et aux instances de mouvement de la souris déclenchés par le navigateur de l'utilisateur ; il les accumule dans le stockage local, et les rapporte sous la forme suivante: "touche haut", "touche bas", "mouvement de la souris", "(x,y) coordonnées", timestamp
- Lors de la déclaration, le stockage local est effacé.
- À la demande du client, le serveur de Futurae ne conserve aucun enregistrement de l'adresse IP du navigateur.
Les opérations JavaScript de Blitz ont été testées sur une variété de navigateurs (Chrome, Firefox, Safari, Opera, Internet Explorer jusqu'à IE11). Les navigateurs incompatibles échouaient délicatement, sans dégradation de l'expérience de l'utilisateur (et, évidemment, sans possibilité de détection de l'attaque).
Dans les coulisses
Opérations du serveur
Les serveurs de Futurae analysent en temps réel les informations capturées et détectent les anomalies.
Le serveur Futurae accepte les mesures entrantes uniquement lorsqu'elles sont correctement autorisées par une clé API partagée. Pour chaque session créée, le serveur mesure une série de données analytiques et indique, par le biais de la boucle de rétroaction, si un utilisateur distant interagit avec le site Web. Pour chaque session créée, le serveur mesure une série de données et communique via le canal de retour d'information si un utilisateur distant interagit avec le site.
Le serveur de Futurae ne stocke aucune information sensible ou personnellement identifiable (PPI) de l'utilisateur et est hébergé dans un centre de données en nuage conforme à la FINMA suisse.
Prêt à commencer?
La meilleure façon de tout comprendre est de réserver une démo. Notre équipe est fière de vous trouver une solution de sécurité qui vous convient. Adaptée à vos besoins, à vos utilisateurs et à votre vision.
Organiser une Démo Contactez-Nous