Les cybercriminels ne cessent de chercher de nouvelles façons de commettre leurs crimes, faisant preuve d’une ingéniosité incontestable, en utilisant l’ingénierie sociale et les nouvelles technologies, de sorte qu’à travers ce type d’escroquerie, ils parviennent à obtenir le code de vérification, connu sous le nom d’authentification à deux facteurs (2FA), ou vérification en deux étapes. De cette manière, ils accèdent aux comptes des utilisateurs de services tels que CoinBase, Paypal, Amazon et autres.
Il est bien connu que de nombreuses entreprises utilisent des bots pour fournir des services d’assistance à la clientèle. Le manque de personnalisation de ces bots peut être si commun et familier qu’il est difficile de ne pas être victime de cette escroquerie si nous n’avons pas suffisamment de connaissances ou, plutôt, de bonnes habitudes de sécurité pour nous en méfier.
Pour que l’exécution soit réussie, les cybercriminels doivent disposer d’une liste ou d’une base de données contenant l’adresse électronique et le mot de passe de ces utilisateurs. Cette partie, bien qu’elle puisse sembler être la plus complexe du plan, s’avère souvent, de manière surprenante, la plus simple de l’acte ; car il faut se rappeler que lorsqu’un service ou une entreprise subit une violation de données, ces données sont publiées (même gratuitement) ou mises en vente sur des forums clandestins, où les données personnelles des utilisateurs sont exposées. Voir les cas récents de fuites de célèbres plateformes telles que Twitch ou la célèbre plateforme de trading RobinHood, où les données de plus de 7 millions d’utilisateurs ont été exposées.
Une fois que les cybercriminels disposent de ces données, il est temps de déployer l’artillerie, dans ce cas, par le biais de bots qui peuvent être achetés entre 100 et 1 000 dollars par abonnement.
L’étape suivante est aussi simple que logique. Il s’agit d’entrer le numéro de téléphone de la victime, ainsi qu’une commande et le nom du service que vous souhaitez usurper. Le robot appelle la victime en se faisant passer pour le service ou l’entreprise en question, sous prétexte qu’il y a eu un mouvement suspect ou un autre prétexte. Pour ce faire, il fait croire à la victime qu’elle doit vérifier son identité en saisissant un code qu’elle recevra sur son téléphone (2FA), et c’est lorsqu’elle saisit ce code que le cybercriminel recevra automatiquement le même code via cet outil.
Vous trouverez ci-dessous une vidéo où un utilisateur portant le nom de Metamask Giveaways nous montre en direct et pas à pas cette attaque.
Soyez toujours méfiant lorsque vous recevez un SMS, un e-mail ou un appel de ce type, car aucune entité ne vous demandera ces informations par ces moyens sans que vous l’ayez demandé.
Plus d’information:
https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon-bank-apple-venmo
