Les robots OTP basés sur l’IA sont utilisés par les pirates pour obtenir votre code de sécurité via des appels téléphoniques frauduleux. Cette méthode leur permet de contourner la double authentification.
- Les pirates utilisent des robots OTP pour vous appeler et vous pousser à dévoiler votre code de sécurité
- Une fois votre code de sécurité obtenu, les pirates contournent la double authentification
- Ces robots OTP sont vendus sur des canaux pirates via un abonnement mensuel avec un suivi de mises à jour
Face aux attaques en ligne qui ne cessent de prendre de l’ampleur, l’authentification à deux facteurs (2FA) est l’une des meilleures options de sécurité. Elle demande d’entrer un code de sécurité généré par une application toutes les trente secondes, reçu par SMS ou par mail. Bref, une protection supplémentaire bienvenue. Sauf qu’elle a également ses failles puisque les pirates utilisent un nouvel outil pour contourner le 2FA et ça ne vous étonnera pas, il se base sur l’IA.
À lire > Ce malware s’empare des données bancaires en contournant la double authentification
Comment les pirates contournent la double authentification ?
Comme le révèle Kaspersky, les pirates utilisent une méthode redoutable pour contourner le 2FA. Pour ce faire, un robot OTP (pour One-Time Password) appelle le numéro de téléphone de la victime et tente de la convaincre de révéler son code de sécurité. La voix, masculine comme féminine et générée par l’IA, prétexte une urgence en se faisant passer par un organisme officiel : banque, administration, etc.
Lorsque le code a été obtenu, les pirates s’emparent du compte ciblé dont ils ont préalablement récupéré les identifiants lors d’une fuite de données ou d’une attaque de phishing. Il ne leur manquait que le code de sécurité pour passer la barrière de sécurité.
Quant aux robots OTP, les pirates les achètent sur le dark net ou sur Telegram depuis des canaux dédiés au piratage, screens à l’appui ci-dessus. Comme beaucoup de logiciels malveillants, cet outil bénéficie d’un suivi, de mises à jour, d’un support 24/24 et 7/7, etc. Les escrocs y accèdent via des formules d’abonnement comme Netflix ou le Xbox Game Pass, en somme.
Comment se protéger contre les robots OTP ?
Pour éviter de vous faire avoir par ces robots OTP, il existe plusieurs conseils à suivre, très rudimentaires mais qui permettront d’éviter que quelqu’un accèdent à vos comptes sensibles comme celui de votre banque :
- Si vous recevez un appel demandant votre code de sécurité ou toute autre information sensible, ne communiquez rien. Jamais. Même si l’appelant semble légitime puisqu’il s’agit d’une pratique courante chez les pirates. Encore plus si la personne à l’autre bout du fil vous semble très pressante et insistante.
- Si, par exemple, la personne vous indique être de l’administration fiscale ou de votre banque, raccrochez et contactez ces structures depuis les numéros de téléphone officiel ou tout autre méthode de contact vérifiée comme la page contact d’un site web légitime.
- Soyez toujours sceptique vis-à-vis des appels non sollicités, surtout lorsqu’ils concernent des informations personnelles comme votre code de sécurité.
- Utilisez des fonctionnalités de filtrage des appels et méfiez-vous de certains indicatifs utilisés par les pirates.
Et surtout, le plus important : restez ferme sur le fait de ne jamais partager votre code de sécurité par téléphone, quelles que soient les circonstances. Ne laissez surtout pas votre interlocuteur prendre le dessus sur vous.