Ce qu'il faut savoir : Visa révèle le côté obscur de Token Bridge

Cet article en bref :
· Le rapport de Visa montre que les acteurs malveillants utilisent de nouvelles technologies et techniques pour mettre en œuvre des stratagèmes frauduleux, notamment dans le domaine de l'authentification des transactions.
· L'ingénierie sociale, les outils de phishing et les robots sont souvent utilisés pour obtenir des mots de passe à usage unique (OTP) des titulaires de cartes.
· Les acteurs malveillants exploitent les vulnérabilités de Token Bridge pour voler des millions de dollars.
Visa, l'un des plus grands processeurs de paiement au monde, a publié un rapport sur les perturbations liées à la fraude aux paiements au cours des six derniers mois. Les rapports montrent que les acteurs malveillants utilisent de nouvelles technologies et techniques pour mener à bien des stratagèmes frauduleux, notamment dans le domaine de l'authentification des transactions.
Le rapport souligne également la vulnérabilité de Token Bridge au vol, qui est devenue une préoccupation majeure pour la communauté des cryptomonnaies.
Les conclusions de Visa
L’une des plus grandes menaces dans l’espace grand public est le recours à l’ingénierie sociale pour obtenir des données de carte ou reprendre des comptes. Dans de nombreux cas, les acteurs malveillants prétendent être des employés de la banque du titulaire de la carte et demandent des informations sensibles.
Ces systèmes entraînent souvent la fuite de mots de passe à usage unique (OTP), de PAN tokenisés/à usage unique ou de données de compte d'utilisateur sensibles telles que les informations de connexion bancaires (nom d'utilisateur/mot de passe).
Les auteurs de menaces utilisent également des kits de phishing personnalisés pour faciliter le contournement de l'authentification multifacteur (MFA). Ces kits de phishing utilisent des proxys inverses, permettant aux fraudeurs d'agir comme un intermédiaire entre les consommateurs légitimes et les sites Web légitimes.
Cette méthode expose les sites Web légitimes aux consommateurs et fonctionne comme un intermédiaire invisible, ce qui réduit la méfiance des consommateurs.
L'acteur peut ensuite collecter toutes les informations que le consommateur saisit sur le site Web, y compris les OTP, les noms d'utilisateur, les mots de passe et les cookies de session.
Les acteurs malveillants exploitent Token Bridge pour voler des millions
Le rapport de Visa montre que Token Bridge est devenu une cible privilégiée des voleurs en 2022. Le rapport identifie l'ingénierie sociale, la fraude publicitaire, les robots et les kits de phishing utilisés pour obtenir des OTP auprès des titulaires de cartes, les logiciels malveillants ciblés par les émetteurs pour accéder et modifier les coordonnées des clients, ainsi que l'utilisation de l'ingénierie sociale pour la fraude par jeton, entre autres technologies.
Le rapport met également en évidence un incident survenu fin mars 2022 au cours duquel une organisation a été compromise par un acteur malveillant qui a utilisé une variante de malware non identifiée pour infecter les points de terminaison des utilisateurs.
L'acteur s'est finalement déplacé latéralement dans l'environnement de la victime et a exfiltré les informations d'identification de l'utilisateur administratif du portail d'applications bancaires mobiles.
Cet accès est ensuite utilisé pour modifier les informations de contact d'un client spécifique, ainsi que pour augmenter les limites du compte d'un client. Les informations modifiées incluaient le numéro de l'appareil mobile, ce qui permettait à l'acteur malveillant de contourner l'authentification par mot de passe à usage unique (OTP) lorsque l'OTP était envoyé au nouvel appareil mobile.
Les acteurs ont profité de l'augmentation des limites de compte et de la modification des informations sur les clients pour monétiser les accès illicites via des transferts de fonds frauduleux sur une courte période.
Des tactiques, techniques et procédures (TTP) similaires sont fréquemment utilisées par les acteurs pour mener des attaques de retrait aux distributeurs automatiques, déployer des logiciels malveillants sur les réseaux des émetteurs victimes, accéder aux environnements de données des titulaires de cartes et augmenter les limites d'un nombre spécifique de comptes de paiement.
Le réseau mulet utilise ensuite ces comptes pour retirer de grandes sommes d’argent aux distributeurs automatiques. De plus, les acteurs malveillants ont utilisé des méthodes similaires pour prendre le contrôle des comptes clients et modifier les informations de contact, ce qui leur a permis de contourner l'authentification OTP lors des transactions.
Les auteurs de menaces utilisent des méthodes de plus en plus sophistiquées pour mener des opérations frauduleuses, et la vulnérabilité de Token Bridge est devenue une préoccupation majeure pour la communauté des cryptomonnaies.