mars 6, 2021

Les piratages d’ingénierie sociale cassent les implémentations 3D Secure protégées par mot de passe

Par admin2020

[ad_1]

La recherche indique que les criminels partagent des idées d’ingénierie sociale pour voler des mots de passe statiques et à usage unique utilisés avec 3D Secure et d’autres. C’est une raison de plus pour éviter les mots de passe et utiliser la biométrie partout possible:

«Les cybercriminels partagent activement des astuces et des conseils sur la manière de contourner le protocole 3D Secure (3DS) pour commettre une fraude au paiement, selon les chercheurs.

Une équipe de la société de renseignement sur les menaces Gemini Advisory a trouvé les discussions sur plusieurs forums du Dark Web, affirmant que les tactiques de phishing et d’ingénierie sociale avaient de bonnes chances de succès dans certaines situations.

Bien que la deuxième version du protocole, conçue pour les utilisateurs de smartphones, permette aux individus d’authentifier les paiements avec des informations biométriques difficiles à falsifier ou à voler, des versions antérieures moins sécurisées sont encore largement utilisées, a déclaré la société.

L’utilisation d’un mot de passe statique pour authentifier expose les acheteurs à de telles escroqueries. Les fraudeurs pourraient acheter des informations personnelles sur un utilisateur, les appeler en se faisant passer pour leur banque, puis fournir certaines de ces informations pour «  prouver  » leur légitimité, avant de demander le mot de passe, a déclaré Gemini Advisory.

Les analystes de la société ont également écouté des pirates informatiques réputés offrant des conseils sur la façon de faire des achats en temps réel, en contournant les codes d’authentification à deux facteurs (2FA). Ils saisissent les détails de la carte de paiement volée dans un site de commerce électronique, puis appellent le titulaire de la carte en usurpant son numéro pour qu’il apparaisse comme s’il appelait de la banque. Lorsque le code 2FA arrive, ils le demandent à la victime.

Les logiciels malveillants mobiles pourraient également être utilisés pour intercepter les numéros 2FA envoyés par SD3 v 1 aux acheteurs, indique le rapport.  »

Aperçu par Tim Sloane, VP, Innovation des paiements chez Mercator Advisory Group



[ad_2]

Source link