« Si on vous appelle en prétendant être PayPal, méfiez-vous, voilà ce qui peut arriver… »

Imaginez, votre téléphone sonne et s’affiche : « PayPal Security ». Une voix robotique vous demande de vérifier une activité inhabituelle en entrant un code de sécurité envoyé sur votre mobile. Vous, confiant mais ignorant, entrez ce fameux code à 6 chiffres… et bam ! Votre compte est piraté avant même que vous ne raccrochiez.

Depuis la mi-2023, une opération d’interception baptisée « Estate » permet à des centaines de membres de réaliser des milliers d’appels automatisés, trompant les victimes pour qu’elles entrent ces codes à usage unique (OTP). Ces codes peuvent permettre aux attaquants de mettre la main sur les comptes bancaires, cartes de crédit, portefeuilles crypto, etc. Ce qui semble être une mesure de sécurité supplémentaire, se transforme en piège à cybercriminels des plus efficaces.

En révélant les failles d’Estate, TechCrunch lève le rideau sur un opéra du mal numérique.

Un bug dans le code du site Estate a exposé la base de données du site, qui n’était pas chiffrée. Cette base contient non seulement des informations sur son fondateur et ses membres, mais également des logs détaillés de chaque attaque menée. Vangelis Stykas, expert en sécurité, a transmis cette base à TechCrunch pour analyse, dévoilant ainsi les rouages d’un système souterrain.

Estate se présente comme un service de test de la résilience aux attaques d’ingénierie sociale pour des raisons « légitimes ». Mais avouons-le, il est essentiellement utilisé à des fins criminelles. Dans le passé, certains opérateurs de services similaires ont été poursuivis. Une analyse des logs montre près de 93 000 attaques ciblant des géants comme Amazon, Bank of America et PayPal.

L’ironie du sort veut que les cybercriminels de Estate, qui prônent l’anonymat et la confidentialité, aient laissé des traces numériques explicites. En analysant la base de données, nous découvrons non seulement les scripts utilisés pour piéger les victimes, mais aussi des fragments d’informations identifiables sur les membres eux-mêmes. Un peu comme si un cambrioleur laissait sa carte de visite sur les lieux du crime.

Bien que les services offrant des OTP renforcent la sécurité, le fait qu’ils puissent être contournés souligne un besoin urgent pour les entreprises tech, les banques et autres de combler les failles. Pour paraphraser Brian Krebs : « Si vous n’avez pas initié l’appel, raccrochez! ». Un conseil valable, hier comme aujourd’hui.

Méditez bien ces incidents lors de votre prochaine authentification basée sur OTP et souvenez-vous : l’authentification forte reste meilleure que rien, mais elle peut toujours être concurrencée par l’ingéniosité (ou la malice) humaine. Alors évitons les mésaventures : ne leur répondez plus, raccrochez !