Discussion :

[Bill Fassinou]

Des bots permettent aux pirates de pénétrer sans effort et de manière convaincante dans les comptes Coinbase, Amazon, PayPal et bancaires
malgré l'utilisation de l'authentification à deux facteurs

Une récente étude du média canado-américain Vice (Motherboard) suggère que le mécanisme d'authentification à deux facteurs (2FA) ne protège pas les utilisateurs aussi bien qu'on le croit. L'étude met en lumière une vulnérabilité de sécurité de l'utilisation de l'OTP (one-time password) par SMS pour la 2FA. Faisant preuve d'un nouveau niveau d'ingéniosité, les cybercriminels utilisent désormais des bots pour cibler Apple Pay, PayPal, Amazon, Coinbase et un large éventail de banques spécifiques, afin de voler les codes 2FA à usage unique, dans l'intention de prendre le contrôle du compte.

Les bots OTP menacent l'authentification à deux facteurs

Les services informatiques de tous les secteurs d'activité mènent une lutte constante pour protéger les réseaux d'entreprise contre les pirates et les fraudeurs. Les responsables de la cybersécurité emploient plusieurs méthodes pour assurer la sécurité et l'intégrité des données des organisations, dont l'une des plus populaires est l'authentification à deux facteurs (2FA). L'authentification à deux facteurs offre un niveau de protection supplémentaire pour les comptes d'utilisateur qui, sans être inexpugnable, réduit considérablement le risque d'accès non autorisé et de violation du système.

L'utilisation de la 2FA est étonnamment faible parmi les utilisateurs finaux, tant dans les environnements d'entreprise que dans la communauté des utilisateurs au sens large. Google, par exemple, a révélé au début de l'année que très peu d'utilisateurs de Gmail ont activé les mesures de sécurité 2FA disponibles pour protéger leur compte. La société a ensuite annoncé qu'il prévoyait de faire passer de force le plus grand nombre possible d'utilisateurs à la 2FA. Elle a donné plus de détails en octobre, disant qu'elle prévoyait d'inscrire automatiquement 150 millions de comptes Gmail à l'authentification à deux facteurs d'ici la fin de l'année.

Outre Google, plusieurs autres entreprises de services en ligne - notamment Facebook, Apple, PayPal, etc. - encouragent leurs utilisateurs à activer la 2FA. Toutefois, même si la plupart de ces entreprises plébiscitent la 2FA, elles sont conscientes qu'elle n'est pas inviolable. L'étude de Motherboard, intitulé "The Booming Underground Market for Bots That Steal Your 2FA Codes", a exposé une vulnérabilité de sécurité de l'utilisation de l'OTP par SMS pour la 2FA. Elle a révélé que les cybercriminels se servent désormais de ce que l'équipe de recherche appelle "les bots OTP" pour renforcer leur stratégie de prise de contrôle des comptes.

Ils ne se contentent plus d'utiliser des bots pour automatiser la tâche consistant à tester d'énormes volumes d'informations d'identification volées dans le cadre d'attaques par bourrage d'informations d'identification. Selon les chercheurs, l'utilisation de bots OTP augmente le risque de prise de contrôle de comptes, car les applications utilisant le protocole OTP par SMS comme authentification à deux facteurs peuvent également être compromises. L'étude estime que le protocole OTP par SMS ne fait que créer une illusion de sécurité.

Mais qui est exposé au risque des bots OTP ? Dans une récente étude d'Incognia, une entreprise de cybersécurité, sur les méthodes d'authentification utilisées par les principales applications mobiles bancaires et fintech, la grande majorité des applications (17 sur 20) s'appuient toujours sur le protocole OTP par SMS pour l'authentification à deux facteurs. Cela signifie que les bots OTP représentent une menace pour de nombreuses applications de services financiers de premier plan.

Quel est le mode de fonctionnement des bots OTP ?

Selon l'étude, les cybercriminels utilisent désormais des outils automatisés pour contacter les utilisateurs en leur faisant croire qu'ils sont contactés par l'entreprise. À l'aide de scripts automatisés transmis par la voix ou le texte, le bot OTP demande à l'utilisateur de partager le mot de passe à usage unique qui lui a été envoyé pour vérifier la sécurité de son compte - au lieu de cela, le bot OT l'utilise pour accéder au compte de l'utilisateur et en prendre le contrôle. Voici un exemple typique qui a été repéré par l'équipe de recherche.

Un détenteur d'un compte PayPal a reçu un appel prétendument provenant du système de prévention des fraudes de la société. La voix au bout du fil lui a notifié que quelqu'un avait essayé d'utiliser son compte pour dépenser 58,82 dollars. PayPal devait donc vérifier son identité pour bloquer le transfert. « Afin de sécuriser votre compte, veuillez saisir le code que nous avons envoyé à votre appareil mobile maintenant », a déclaré la voix. PayPal envoie parfois un code par SMS aux utilisateurs afin de protéger leur compte. Après avoir saisi une chaîne de six chiffres, la voix a dit : « Merci, votre compte a été sécurisé et cette demande a été bloquée ».

« Ne vous inquiétez pas si un paiement a été débité sur votre compte : nous le rembourserons dans les 24 à 48 heures. Votre numéro de référence est 1549926. Vous pouvez maintenant raccrocher », a ajouté la voix. Cependant, l'appel ne provenait pas de PayPal, mais d'un pirate informatique. Le fraudeur a utilisé un type de bot qui simplifie considérablement le processus permettant aux pirates de tromper les victimes en leur faisant donner leurs codes d'authentification multifactorielle ou leurs mots de passe à usage unique pour toutes sortes de services, les laissant se connecter ou autoriser des transferts d'argent.

L'équipe de recherche a déclaré que divers bots ciblent Apple Pay, PayPal, Amazon, Coinbase et un large éventail de banques spécifiques. Lors d'un test, Motherboard a demandé à un dénommé Kaneki, qui vendait l'un de ces bots en ligne, de faire une démonstration en envoyant un appel automatique sur le téléphone d'un journaliste de Motherboard. Après avoir entré un code, Kaneki a montré que son bot avait reçu le même code. « Le bot est idéal pour les personnes qui n'ont pas de compétences en ingénierie sociale. Vous savez, tout le monde n'est pas à l'aise et persuasif au téléphone », a déclaré un autre pirate informatique.

Avec ces bots qui coûtent quelques centaines de dollars, n'importe qui peut commencer à contourner l'authentification multifactorielle, une mesure de sécurité que de nombreuses personnes peuvent supposer être largement sécurisée. L'étude indique que l'existence et la popularité croissante de ces bots soulèvent la question de savoir si les services en ligne doivent proposer des formes d'authentification plus résistantes à l'hameçonnage pour protéger les utilisateurs. Pour s'introduire dans un compte, un pirate a besoin du nom d'utilisateur ou de l'adresse électronique et du mot de passe de la victime.

Sur Telegram ou Discord, le pirate entre le numéro de téléphone de sa cible et la plateforme sur laquelle il souhaite s'introduire. En arrière-plan, le robot passe l'appel automatisé à la cible. Kaneki a déclaré que les bots utilisent des sites similaires à Twilio, une société de communication pour les entreprises qui permet aux clients d'envoyer des messages et de passer des appels, bien que Kaneki ait dit que tous les bots n'utilisent pas Twilio spécifiquement. Cris Paden, directeur des communications d'entreprise chez Twilio, a confirmé que Twilio est au courant que les bots OTP utilisent sa plateforme.

«Nous avons une équipe en place qui est bien consciente de ce problème et le surveille activement. Dès qu'ils ont connaissance d'un cas, ils enquêtent immédiatement et prennent des mesures, y compris la fermeture du numéro et du compte utilisé si nécessaire », a ajouté Paden. Outre les sites ou services tels qu'Amazon, PayPal et Venmo, certains bots ciblent également des banques spécifiques, comme Bank of America et Chase Bank. Par ailleurs, ils seraient également en mesure d'obtenir des codes générés par une application mobile d'authentification multifacteurs, comme Google Authenticator.

Faut-il abandonner l'utilisation de l'OTP par SMS ?

Les utilisateurs sont-ils en train de perdre le combat pour protéger leurs comptes ? L'étude estime que pour les utilisateurs, le niveau d'expertise en matière de sécurité nécessaire pour rester en sécurité en ligne ne fait qu'augmenter. Pour se protéger contre l'ingénierie sociale, les utilisateurs doivent désormais être conscients non seulement des cybercriminels, mais aussi des bots automatisés. Mais est-il raisonnable d'attendre de chaque utilisateur qu'il soit un expert en sécurité et est-ce la faute des utilisateurs ou celle des entreprises qui doivent améliorer leur niveau de sécurité ?

En effet, l'OTP par SMS est connu pour être vulnérable. L'OTP par SMS est connu comme une méthode vulnérable d'authentification à deux facteurs depuis un certain temps. Dès 2016, le NIST (National Institute of Standards and Technology), une entité du département du Commerce des États-Unis, a proposé de "déprécier" l'OTP par SMS comme forme d'authentification, et a essuyé quelques critiques pour cette suggestion. À l'époque, le NIST a abordé ses préoccupations en matière de sécurité concernant l'OTP par SMS dans son blogue sur la cybersécurité dans le cadre de la période de commentaires publics.

« Les chercheurs en sécurité ont démontré le succès croissant de la redirection ou de l'interception de SMS en masse. Il ne s'agit pas seulement de la vulnérabilité de quelqu'un qui vole votre téléphone, mais aussi du fait que les SMS envoyés à l'utilisateur peuvent être lus par un acteur malveillant sans avoir mis la main sur votre téléphone. En raison de ces risques, nous décourageons l'utilisation des SMS comme "authentifiant hors bande" - qui est, essentiellement, une méthode pour délivrer un code à usage unique pour l'authentification multifactorielle » a déclaré le NIST à l'époque.

Cinq ans plus tard, le protocole OTP par SMS est toujours utilisé, et toujours vulnérable. Pourquoi les entreprises n'ont-elles pas mis à jour plus rapidement leurs méthodes d'authentification ? En effet, dans de nombreux cas, c'est parce qu'une sécurité accrue s'accompagne de frictions supplémentaires, et pour les utilisateurs de téléphones portables, les frictions sont la principale raison pour laquelle ils changent de service. Cependant, avec la récente violation de compte chez Coinbase qui a exploité la vulnérabilité de l'OTP par SMS, la priorité de la mise en œuvre d'une authentification plus forte est devenue un impératif.

« Les cybercriminels cherchent constamment de nouveaux moyens d'escroquer les gens et ce bot voleur de code OTP/2FA n'est qu'un exemple de plus de la créativité des fraudeurs. Il convaincrait de nombreuses victimes peu méfiantes de donner leurs codes OTP/2FA et le cybercriminel n'a même pas besoin d'être un ingénieur social qualifié, il peut simplement utiliser ce bot pour tenter de prendre le contrôle d'un compte », a déclaré Rachel Tobac, PDG et cofondatrice de la société de cybersécurité SocialProof Security. Selon d'autres sources, les cybercriminels ajoutent constamment de nouvelles capacités à ces bots.

Jessica Barker, cofondatrice de la société de cybersécurité Cygenta, a déclaré que l'utilisation des bots OTP/2FA est troublante, car elle permet aux criminels de réaliser plus facilement leurs escroqueries et nous rend plus vulnérables. « Nous sommes devenus tellement plus habitués à ce que des systèmes automatisés communiquent avec nous, que cela devient plus convaincant. Ajoutez à cela la manipulation classique par la peur et les petites touches comme le code de référence et la nécessité de ne pas s'inquiéter des paiements non autorisés qui passent, et cela devient encore plus persuasif », a-t-elle fait remarquer.

Source : Le NIST

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des bots voleurs de code OTP/2FA ?
Selon vous, de quels moyens dispose-t-on pour se protéger contre ce type d'attaque ?
Pensez-vous que l'OPT par SMS est une méthode d'authentification qu'il faut déprécier dans l'immédiat ?
Y a-t-il des alternatives plus sécurisées à l'OTP par SMS ? Sont-elles faciles à mettre en œuvre pour les utilisateurs ?

Voir aussi

Google va activer l'authentification à deux facteurs par défaut pour des millions d'utilisateurs d'ici la fin de l'année pour mieux protéger l'accès à vos contacts

Malgré l'authentification à deux facteurs, il se fait voler de l'argent sur son compte Uber, qui ne le rembourse pas en intégralité

Sécurité : Apple veut normaliser le format des SMS contenant des codes d'accès à usage unique (OTP) pour automatiser le processus de réception et de saisie via un navigateur ou une appli

Microsoft estime que l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes et encourage les utilisateurs à l'adopter

[cdubet]

si l utilisateur est assez c.. pour donner le code, n importe quel systeme sera mit en defaut

[L20160915H]

A tout système de sécurité, il faut le relier à son utilisateur final qui représente en fait le risque majeur de la faille.

[Christian_B]

si l utilisateur est assez c.. pour donner le code, n importe quel systeme sera mit en defaut

Je te trouve bien méprisant pour ceux qui n'ont pas les mêmes centres d'intérêt que toi (et sans doute que les participants à un forum comme celui-ci).
Est-ce que tu dirais, par exemple, qu'un peintre de talent (ou autres personnes de ton choix ne manquant pas de qualités), mais peu à l'aise avec l'informatique est "assez con" ? Je trouve que c'est assez ... non je ne le dirai pas.

Tout le monde n'est pas supposé avoir le sens de la technique, d'autant plus que cela évolue vite.
Et le plus souvent, l'utilisation d'appareils divers accédant à internet ne s'accompagne pas de la moindre formation ou même information. Un téléphone 3g (maintenant sans doute inévitable si on ne veut pas de l'occasion) n'est même plus vendu avec une notice d'utilisation.
De même, la mise en service (disons par une banque) de l'authentification par SMS ou ses utilisations ne s'accompagnent pas forcément (à supposer que cela arrive) d'un avertissement simple et clair bien mis en évidence sur le seul emploi correct du code envoyé et le danger de toute autre utilisation. C'est plus simple que de donner de longues explications sur tout ce qu'il ne faut pas faire.

Si des services qui ne sont pas pensés en fonction des utilisateurs et des risques créent des problèmes, c'est sûrement la faute des utilisateurs.
Si un avion mal conçu ou bogué se crashe, c'est sûrement la faute du pilote, etc

[Christian_B]

Pardon, je voulais dire "un téléphone 4g". Ou dirait que moi aussi j'ai du mal à suivre

[Stéphane le calme]

Des utilisateurs de Coinbase, qui ont été escroqués de 21 Ms $, poursuivent l'entreprise pour négligence.
Ils sont près de 100 utilisateurs poursuivent Coinbase pour avoir prétendument négligé une faille de sécurité

L'automne dernier, des escrocs ont infiltré des plateformes sociales telles que des applications de rencontres, WhatsApp, Facebook et Twitter, tentant de convaincre les internautes de télécharger Coinbase Wallet. Une fois que les utilisateurs ciblés téléchargent le portefeuille, l'escroc envoie alors des liens vers des sites Web frauduleux, incitant les utilisateurs à acheter un « bon » qui semble être une transaction sécurisée protégée et facilitée par la plateforme de confiance de Coinbase, mais est « en fait un contrat intelligent malveillant ». Des utilisateurs horrifiés ont finalement découvert que le contrat intelligent donnait « aux escrocs un accès complet à l'intégralité des fonds dans les portefeuilles de la victime » sans avoir besoin d'autorisations pour retirer des fonds.

Aujourd'hui, près de 100 personnes dans le monde cherchent à faire payer Coinbase, l'une des plus grandes plateformes de trading d'actifs crypto au monde, pour n'avoir prétendument rien fait pour protéger les utilisateurs. Les utilisateurs allèguent que Coinbase n'a pas été ému par les informations selon lesquelles les escrocs vidaient des comptes de dizaines ou de centaines de milliers de dollars de crypto-monnaie. Au total, les utilisateurs de Coinbase Wallet qui poursuivent collectivement l'entreprise ont perdu 21 millions de dollars.

Pendant des mois, les utilisateurs auraient averti l'entreprise de cette apparente faille de sécurité. Au lieu d'agir pour protéger les utilisateurs, cependant, Coinbase « n'a pris aucune mesure pour corriger la faille de sécurité ou même avertir les clients de ce problème majeur, bien qu'ils aient averti les clients d'autres risques de sécurité », selon une demande d'arbitrage récemment déposée. Cela aurait permis à des « centaines » d'utilisateurs supplémentaires de devenir la cible d'une escroquerie de pool d'extraction de liquidités « facilement évitable ».

« Ils n'ont même pas semblé essayer de prendre des mesures », a déclaré Eric Rosen, avocat de Roche Freedman LLP, le cabinet d'avocats représentant les utilisateurs, au Washington Post. « Bien sûr, les escrocs ont rapidement compris cela et ont littéralement demandé aux victimes de télécharger le portefeuille Coinbase ».

Les pools d'extraction de liquidités légitimes promettent des rendements élevés aux utilisateurs qui achètent des bons pour de petites sommes, ce qui les rend attrayants pour les nouveaux utilisateurs de crypto, mais pour les utilisateurs de Coinbase Wallet, « cliquer sur ces bons d'apparence inoffensive enregistrerait une seule ligne de code informatique accordant aux escrocs l'autorisation de voler la crypto déposée sur un compte, des semaines ou des mois plus tard », a rapporté le Post.

Ce cas est différent des autres escroqueries crypto qui incitent les utilisateurs à autoriser des transactions frauduleuses. Les demandeurs allèguent que les conditions d'utilisation de Coinbase n'ont jamais mis en garde contre le risque, assurant aux utilisateurs que seul le partage d'un mot de passe secret pourrait compromettre un compte.

Coinbase est une grande enseigne dans le monde de la crypto, qui vante régulièrement ses fonctionnalités de sécurité, mais la demande d'arbitrage indique que « les escrocs ont dirigé les clients vers le portefeuille Coinbase en raison de sa sécurité désastreuse ». Plutôt que d'agir sur la base de ces informations, Coinbase aurait attendu six mois avant de prendre des mesures pour empêcher davantage d'utilisateurs d'être victime d'une arnaque.

La réponse de Coinbase

Depuis que l'entreprise a été menacé de poursuites judiciaires pour la première fois, Coinbase a changé ses habitudes et fournit désormais des avertissements aux utilisateurs « lorsqu'un site Web demande l'autorisation de retirer une énorme somme d'argent d'un compte », a rapporté le Post. Ce type d'avertissement était déjà d'usage sur les produits concurrents, comme MetaMask et Trust Wallet.

« À notre avis, il s'agit en fait d'un aveu que Coinbase ne faisait pas assez pour protéger ses clients auparavant », a déclaré Jordana Haviv, une autre avocate de Roche Freedman pour les demandeurs. Selon elle, dans les semaines ou peut-être les mois à venir, un arbitre sera sélectionné et Coinbase aura alors la possibilité de répondre aux allégations, puis la découverte pourra le processus sera enclenché.

Les utilisateurs qui poursuivent Coinbase espèrent que l'arbitrage se terminera par la récupération longtemps recherchée des fonds perdus, qui pour certains représentaient l'ensemble de leurs économies. Ils veulent également que Coinbase compile une liste de tous les comptes touchés par l'arnaque.

Coinbase a déclaré que ses produits fonctionnent déjà pour empêcher les arnaques à l'extraction de liquidités.

« Coinbase s'engage à protéger ses clients contre les escroqueries, les fraudes et autres crimes et a investi des ressources importantes dans la protection des utilisateurs contre les arnaques à l'extraction de liquidités », a déclaré la porte-parole de Coinbase, Lisa Johnson. La société semble maintenir qu'elle n'est pas responsable du vol de crypto-monnaie en raison de failles de sécurité dans son produit Wallet (la même réponse qu'elle a donnée aux utilisateurs qui la poursuivent maintenant lorsqu'ils ont signalé l'activité frauduleuse).

« Les activités d'un client sur Coinbase Wallet, y compris la gestion des clés de sécurité privées du portefeuille et l'accès au contenu du portefeuille, sont exclusivement contrôlées par le client, et non par Coinbase », a déclaré Johnson. « C'est pourquoi Coinbase propose à ses clients plusieurs offres de produits, afin qu'ils puissent choisir les produits qui leur conviennent le mieux ».

Plaintes du service client Coinbase

La demande d'arbitrage décrit comment les utilisateurs poursuivant Coinbase se sont plaints qu'au lieu d'enquêter sur le problème, Coinbase leur a envoyé une spirale sans fin de réponses automatisées. N'atteignant jamais un véritable représentant du service client de Coinbase, les utilisateurs n'avaient la possibilité que d'interagir avec des robots présumés qui semblaient programmés pour nier la responsabilité de Coinbase, refuser les remboursements et insister sur le fait que les utilisateurs eux-mêmes avaient clairement compromis leurs propres comptes, allant même parfois jusqu'à « déclarer à tort que les 12 mots des phrases de départ des clients avaient été compromis et que Coinbase ne pouvait rien faire à propos des fonds manquants ». Pour mémoire, Coinbase Wallet génère une phrase de récupération de 12 mots, également appelée phrase de départ, à laquelle vous et vous seul avez accès. Cela signifie que si vous perdez votre phrase de récupération, vous perdrez l'accès à votre portefeuille Coinbase.

Mais les phrases de départ de personne n'ont été compromises, et au fur et à mesure que de nouveaux rapports arrivaient, Coinbase s'en tenait à ses affirmations, insistant sur le fait que la phrase de départ « est le seul moyen d'accéder à la crypto-monnaie » dans un portefeuille Coinbase. Bien que les utilisateurs aient envoyé des URL spécifiques à Coinbase et des noms d'applications décentralisées (également appelées dapps) qui les ont escroqués, « Coinbase n'a même pas bloqué ou supprimé les dapps malveillants », indique la demande d'arbitrage.

Les utilisateurs qui poursuivent l'entreprise disent que la décision de Coinbase d'externaliser son service client alors que sa base d'utilisateurs augmentait rapidement était un risque calculé que la société a pris, disant aux investisseurs dans un dossier de la Securities and Exchange Commission des États-Unis que ses moyens de recherche de profit pourraient avoir un impact sur la sécurité des produits.

À un moment donné au cours de l'année écoulée, un utilisateur a échangé des e-mails avec le service client de Coinbase avant de cliquer sur le bon. Cet utilisateur n'a cliqué que sur le bon, dit-il, après que ce représentant lui a assuré que le seul moyen pour quiconque d'accéder à son portefeuille était avec sa phrase de départ de 12 mots. Convaincu que sa phrase de départ n'a pas été compromise, l'utilisateur a cliqué et est devenu la prochaine victime d'escroquerie, perdant 60 000 $ en crypto-monnaie Tether, malgré ses tentatives de prudence.

Un autre utilisateur poursuivant l'entreprise a reçu un rare message du service client de Coinbase confirmant que sa phrase de départ n'avait pas été compromise. Le message informait l'utilisateur que « l'activité non autorisée que vous avez signalée semble résulter d'une transaction signée qui a autorisé un tiers malveillant à transférer des fonds depuis votre portefeuille ». Même si Coinbase reconnaît que c'était « non autorisé », le représentant a soutenu que Coinbase n'était pas responsable. « Il est de la responsabilité du client d'examiner les détails de la dapp avec laquelle il interagit et de comprendre le risque lorsqu'il interagit avec elle », a déclaré Coinbase à l'utilisateur, l'informant qu'il aurait dû révoquer l'accès accordé après avoir cliqué sur le bon pour empêcher le retrait.

« Maintenant que j'ai perdu les fonds, il est trop tard pour m'informer que je devais révoquer cet accès caché sous une transaction d'apparence tout à fait normale », a répondu l'utilisateur, dans ce qui est devenu sa dernière correspondance avec Coinbase à ce sujet.

Ce n'est qu'après que Roche Freedman a envoyé à Coinbase un brouillon de sa plainte que Coinbase a « immédiatement » publié des avertissements sur « de nombreux dapps frauduleux qui volaient l'argent de ses clients ».

« Si le portefeuille avait simplement informé les utilisateurs de ce que le dapp demandait réellement de faire, au lieu de le cacher aux utilisateurs, rien de tout cela ne se serait probablement produit », indique la demande d'arbitrage.

Délit d'initié d'un dirigeant de Coinbase

En juillet, nous avons présenté cette situation où un ancien gestionnaire de Coinbase, son frère et un ami ont été inculpés de complot et de fraude télégraphique dans le cadre du tout premier délit d'initié en cryptomonnaies. Ishan Wahi, un ex-gestionnaire de produits chez Coinbase Global âgé de 32 ans qui vit à Seattle, dans l'État de Washington, et son frère Nikhil Wahi, âgé de 26 ans, également de Seattle, ont été arrêtés en juillet. Un troisième co-conspirateur, Sameer Ramani, 33 ans, de Houston, Texas, était toujours en fuite. Nikhil Wahi a effectué des transactions sur la base des conseils d'un ancien employé de Coinbase concernant des actifs cryptographiques qui allaient être cotés sur les bourses de Coinbase.

Damian Williams, procureur des États-Unis pour le district sud de New York, a annoncé en septembre que NIKHIL WAHI, le frère d'un ancien chef de produit de Coinbase Global, a plaidé coupable d'un chef d'accusation de conspiration en vue de commettre une fraude électronique dans le cadre d'un plan visant à commettre un délit d'initié sur des actifs cryptographiques en utilisant des informations confidentielles de Coinbase concernant les actifs cryptographiques dont la cotation était prévue sur les bourses de Coinbase. WAHI a été arrêté en juillet de cette année et a plaidé coupable devant le juge de district américain Loretta A. Preska.

Le procureur américain Damian Williams a déclaré : « Moins de deux mois après son inculpation, Nikhil Wahi a admis aujourd'hui devant le tribunal qu'il a négocié des cryptoactifs sur la base d'informations commerciales confidentielles de Coinbase auxquelles il n'avait pas droit ». Pour la toute première fois, un accusé a reconnu sa culpabilité dans une affaire de délit d'initié impliquant les marchés des cryptomonnaies.

Nikhil Wahi attend maintenant de connaître sa peine pour son crime et doit également renoncer à ses profits illicites. Cette affaire concerne un délit d'initié portant sur certains titres d'actifs cryptographiques que Coinbase a annoncé comme devant être « listés », ou rendus disponibles pour le commerce, sur sa plateforme de commerce d'actifs cryptographiques.

De juin 2021 à avril 2022 au moins, Ishan Wahi, un gestionnaire du groupe Actifs et produits d'investissement de Coinbase, a transmis à plusieurs reprises des informations matérielles non publiques sur le calendrier et le contenu des « annonces de cotation » de Coinbase, dans lesquelles Coinbase annonçait que des actifs cryptographiques seraient cotés sur sa plateforme de négociation à son frère Wahi Nikhil ainsi qu'à son ami proche Sameer Ramani.

Source : demande d'arbitrage

Et vous ?

À qui incombe, selon vous, la responsabilité ici ? À Coinbase, qui a assuré que le seul moyen pour quiconque d'accéder à un portefeuille est avec sa phrase de départ de 12 mots ? Ou aux utilisateurs, qui doivent « examiner les détails de la dapp avec laquelle il interagit et de comprendre le risque lorsqu'il interagit avec elle » ? Pourquoi ?
Que pensez-vous de la réaction de Coinbase ?

Voir aussi :

Il se fait voler 100 000 $ de son compte Coinbase par des pirates qui ont pu violer l'authentification à deux facteurs
Coinbase prévient qu'en cas de faillite les utilisateurs pourraient perdre l'accès à leurs fonds, car ils deviendraient des créanciers non garantis
Le frère d'un dirigeant de Coinbase plaide coupable dans une affaire de délit d'initié en cryptomonnaie, Ishan Wahi, ancien membre du personnel avait précédemment plaidé non coupable
Des pirates informatiques ont dérobé les comptes d'au moins 6 000 clients de Coinbase, en exploitant une faille dans le processus de récupération des comptes par SMS

[Mathis Lucas]

Comment les cybercriminels volent les codes d'accès à usage unique pour les attaques par échange de cartes SIM et le pillage des comptes bancaires
notamment en exploitant des services dédiés en ligne

Une vaste campagne de cyberattaques dévastatrices en cours depuis au moins l'année dernière aurait permis aux acteurs de la menace de dérober des millions de dollars à leurs victimes. Cette vague de cyberattaques, combinant des techniques d'ingénierie sociale et l'exploitation de codes d'accès à usage unique (OTP), serait menée par l'intermédiaire d'une plateforme appelée "Estate" basée aux Pays-Bas. Les attaquants récupèrent les codes OTP en exploitant la crédulité de leurs victimes et se livrent ensuite à un vol paralysant qui peut priver définitivement une personne de la totalité des fonds de son compte bancaire ou de son compte de retraite.

Un service en ligne appelé Estate permet aux cybercriminels de mener des cyberattaques

La stratégie du groupe de pirates Estate repose sur une technique simple, mais d'une efficacité redoutable : l'interception de codes d'accès à usage unique. Un code d'accès à usage unique (one-time password - OTP) est une séquence de caractères numériques ou alphanumériques générée automatiquement qui permet d'authentifier un utilisateur pour une seule connexion ou transaction. Ils sont conçus pour renforcer la sécurité grâce à l'authentification multifactorielle (2FA). Mais Estate utilise des techniques avancées d'ingénierie sociale ou des appels téléphoniques automatisés pour obtenir les codes OTP.

Estate est en activité depuis un certain temps. Jusqu'à récemment, les experts en cybersécurité n'étaient pas en mesure de déterminer où se trouve ce gang de cybercriminels ni surtout qui en est l'instigateur. Mais un bogue dans le code d'Estate a exposé la base de données du site, qui n'était pas chiffrée, révélant de nombreuses informations précieuses. Elle contient notamment des informations sur le fondateur du site et ses membres, ainsi que des journaux ligne par ligne de chaque attaque depuis le lancement du site, y compris les numéros de téléphone des victimes qui ont été ciblées, à quel moment et par quel membre.

Elle donne un rare aperçu du fonctionnement d'une opération d'interception de codes OTP. Les services comme Estate font la publicité de leurs offres sous le couvert d'un service ostensiblement légitime permettant aux praticiens de la sécurité de tester la résistance aux attaques d'ingénierie sociale. Mais ils tombent dans un espace juridique flou parce qu'ils permettent à leurs membres d'utiliser ces services pour des cyberattaques dévastatrices. Par le passé, les autorités ont poursuivi des opérateurs de sites similaires dédiés à l'automatisation de cyberattaques pour avoir fourni leurs services à des cybercriminels.

Cela entraîne, sans surprise, des difficultés et des souffrances dans le rang des victimes. Pour ces derniers, l'escroquerie commence par un appel, censé provenir d'une entité de confiance, telle que l'équipe de sécurité de PayPal, l'avertissant d'une activité suspecte sur son compte. Depuis la mi-2023, des centaines de membres de l'opération Estate auraient effectué des milliers d'appels automatisés pour inciter les victimes à saisir des codes OTP. Invitées à vérifier leurs identités, les victimes fournissent maladroitement le code OTP envoyé sur leurs appareils mobiles. Les pirates prennent automatiquement le contrôle des appareils.

Les codes d'accès à usage unique volés peuvent permettre aux pirates d'accéder aux comptes bancaires, aux cartes de crédit, aux portefeuilles cryptographiques et numériques et aux services en ligne des victimes. La plupart des victimes se trouveraient aux États-Unis. La base de données, analysée par Techcrunch, contient les journaux de plus de 93 000 attaques menées depuis le lancement d'Estate l'année dernière, ciblant des victimes possédant des comptes chez Amazon, Bank of America, Capital One, Chase Bank, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo et bien d'autres encore. Mais ce n'est pas tout.

L'analyse de la base de données révèle également que certaines des attaques sont des efforts pour détourner des numéros de téléphone en effectuant des attaques par échange de cartes SIM et en menaçant les victimes de les taper. Le fondateur d'Estate, un programmeur danois âgé d'une vingtaine d'années, affirme qu'il n'exploite plus le site. Malgré ses efforts pour dissimuler les opérations en ligne d'Estate, le fondateur a mal configuré le serveur du site, ce qui a révélé son emplacement réel dans un centre de données aux Pays-Bas.

La base de données d'Estate expose les activités malveillantes de certains de ces membres

Estate se présente comme capable de créer des solutions OTP sur mesure qui répondent parfaitement à vos besoins et explique : « notre option de script personnalisé vous donne le contrôle ». Ses membres exploitent le réseau téléphonique mondial en se faisant passer pour des utilisateurs légitimes afin d'accéder aux fournisseurs de communications en amont. L'un de ces fournisseurs était Telnyx. Bien qu'Estate veille à ne pas utiliser un langage explicite susceptible d'inciter ou d'encourager des cyberattaques malveillantes, la base de données montre que le site est utilisé presque exclusivement à des fins criminelles.

« Ce type de services constitue l'épine dorsale de l'économie criminelle. Ils rendent les tâches lentes plus efficaces. Cela signifie que davantage de personnes sont victimes d'escroqueries et de menaces. Plus de personnes âgées perdent leur retraite à cause de la criminalité par rapport à l'époque où ces services n'existaient pas », note Allison Nixon, responsable de la recherche chez Unit 221B, une société de cybersécurité. L'une des plus grandes campagnes sur Estate a ciblé des victimes âgées en partant du principe que les boomers sont plus susceptibles d'accepter un appel téléphonique non sollicité que les jeunes générations.

La base de données montre que le fondateur d'Estate est conscient que sa clientèle est en grande partie constituée d'acteurs criminels, et il promet depuis longtemps le respect de la vie privée de ses membres. « Nous n'enregistrons aucune donnée et nous ne demandons aucune information personnelle pour utiliser nos services », indique le site Web d'Estate. Mais ce n'est pas tout à fait vrai. Estate a enregistré toutes les attaques menées par ses membres, avec des détails précis, depuis le lancement du site à la mi-2023. La base de données a révélé des informations qui pourraient compromettre certains de ces membres.

De plus, le fondateur du site a conservé l'accès aux journaux des serveurs, qui permettent de voir en temps réel ce qui se passe sur le serveur d'Estate à tout moment, y compris chaque appel effectué par ses membres, ainsi que chaque fois qu'un membre charge une page sur le site Web d'Estate. La base de données montre qu'Estate conserve également les adresses électroniques de membres potentiels. Elle révèle que certains membres ont fait confiance à la promesse d'anonymat d'Estate en laissant des fragments de leurs propres informations identifiables dans les scripts qu'ils ont écrits et les attaques qu'ils ont menées.

Ces informations comprennent des adresses électroniques et des pseudonymes en ligne. La base de données d'Estate contient également les scripts d'attaque de ses membres, qui révèlent les façons spécifiques dont les attaquants exploitent les faiblesses dans la manière dont les géants de la technologie et les banques mettent en œuvre les dispositifs de sécurité, tels que les codes d'accès à usage unique, pour vérifier l'identité des clients. Ces cyberattaques montrent que les entreprises technologiques, les banques, etc. ont encore du pain sur la planche pour assurer la sécurité des utilisateurs malgré l'authentification 2FA.

« La pièce manquante est que les forces de l'ordre doivent arrêter les acteurs criminels qui se rendent si nuisibles. De jeunes gens font délibérément carrière dans ce domaine, parce qu'ils se persuadent qu'ils ne sont qu'une simple plateforme et qu'ils ne sont pas responsables de la criminalité facilitée par leur projet. Ils espèrent gagner facilement de l'argent dans l'économie de l'escroquerie. Certains influenceurs encouragent des méthodes non éthiques pour gagner de l'argent en ligne. Les forces de l'ordre doivent y mettre un terme », a déclaré Nixon.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des techniques utilisées par Estate pour obtenir les codes à usage unique de leurs victimes ?
Ces campagnes de cyberattaques remettent-elles en cause l'efficacité de l'authentification à deux facteurs ?
Comment les internautes non initiés peuvent-ils se prémunir contre ce type de cyberattaque ?

Voir aussi

Les mots de passe faibles permettent encore aux pirates de pénétrer dans les réseaux, 83 % des mots de passe compromis satisfont aux exigences des normes de conformité en matière de cybersécurité

Des bots permettent aux pirates de pénétrer sans effort et de manière convaincante dans les comptes Coinbase, Amazon, PayPal et bancaires, malgré l'utilisation de l'authentification à deux facteurs

Les fichiers PDF chiffrés constituent la dernière astuce des pirates informatiques pour vous transmettre des logiciels malveillants, qui exfiltrent ensuite vos informations personnelles