Qu'est-ce que la détection de la fraude mobile ?
Les attaques par fraude mobile continuent de se multiplier à mesure que les appareils et les applications mobiles gagnent en popularité. Si l'essor récent des services bancaires mobiles a été largement attribué à COVID-19, la croissance de l'utilisation des mobiles est appelée à se poursuivre. Les fraudeurs voient également les possibilités offertes par la fraude mobile. Le nombre de chevaux de Troie bancaires mobiles a augmenté de 173 % au premier trimestre 2020 et les experts du secteur signalent une augmentation de 37 % des attaques de phishing mobile au premier trimestre 2020 par rapport à l'année précédente. Pour lutter contre ce phénomène, la détection de la fraude mobile utilise différentes technologies, telles que le blindage des applications mobiles et l'analyse des risques, afin de prévenir la prise de contrôle des comptes et d'autres types de fraude. Différentes technologies sont utilisées en coulisses pour détecter les activités frauduleuses et offrir une protection contre la fraude aux consommateurs sans nuire à leur expérience utilisateur.
Comment les appareils et les applications mobiles sont à l'origine de la fraude mobile
Les statistiques indiquent que les utilisateurs de téléphones mobiles se fient de plus en plus à leurs appareils pour leurs besoins bancaires. SelonJuniper Research, plus de deux milliards d'utilisateurs mobiles dans le monde auront utilisé leurs appareils à des fins bancaires d'ici à la fin 2021, contre 1,2 milliard en 2020. Si le canal en ligne est toujours menacé, les fraudeurs investissent davantage de temps et d'argent dans l'attaque du canal mobile, car les consommateurs du monde entier continuent de dépenser en commerce électronique pour des choses telles que des applications pour les jeux, d'autres divertissements et plus encore. Selon Statistica, "en 2024, les consommateurs devraient dépenser 55,5 milliards de dollars américains en applications mobiles du Google Play Store. Les dépenses combinées des utilisateurs sur l'App Store et Google Play devraient atteindre près de 171 milliards de dollars américains d'ici 2024."
Détection de la fraude mobile, compréhension des techniques courantes de fraude mobile
Les attaquants utilisent diverses techniques pour réaliser des fraudes mobiles. Voici quelques exemples :
- Ingénierie inverse : un acteur malveillant peut procéder à l'ingénierie inverse d'une application pour analyser son code source et ses composants. L'objectif est de recueillir des informations qui peuvent être utilisées pour développer des logiciels malveillants exploitant le fonctionnement de l'application ou pour la modifier. Par exemple, un attaquant peut déployer sa propre application malveillante afin d'exploiter les vulnérabilités découvertes lors de l'ingénierie inverse de l'application bancaire.
- Repackaging : Une attaque par repackaging commence par un attaquant qui procède à l'ingénierie inverse d'une application, y insère un code malveillant, puis republie l'application trafiquée sur des marchés non officiels. Le consommateur aura l'impression d'avoir téléchargé la bonne application et celle-ci lui apparaîtra comme l'application légitime. Cependant, en coulisse, l'application contrefaite est un code qui vole des informations personnelles, redirige des fonds ou effectue d'autres activités malveillantes.
- Attaques par superposition : Une attaque par superposition consiste en un écran généré par l'attaquant qui apparaît au-dessus de l'interface utilisateur de l'application légitime. Pour la victime qui ne se doute de rien, l'application semble normale, mais elle doit saisir ses informations sensibles (noms d'utilisateur, mots de passe, numéros de carte de crédit ou autres informations personnelles) dans un formulaire contrôlé par l'attaquant. Les informations saisies dans la fenêtre malveillante sont alors envoyées directement à l'attaquant. La victime de cette fraude ne sait pas qu'elle vient de transmettre ses informations. Outre le détournement de données, les attaques par superposition sont utilisées pour l'ingénierie sociale. Ils peuvent être utilisés pour inciter les gens à installer d'autres logiciels malveillants ou à effectuer des tâches non sécurisées sur leurs appareils mobiles, par exemple en donnant à une application malveillante le contrôle total du téléphone de l'utilisateur.
- Claviers pirates : le marché des applications propose de nombreuses applications légitimes de claviers alternatifs pour remplacer les claviers natifs installés sur les appareils mobiles. Certaines de ces applications clavier présentent des vulnérabilités que les attaquants peuvent exploiter ou certaines applications clavier peuvent être malveillantes et spécialement conçues pour enregistrer les frappes au clavier et les envoyer à un attaquant.
- Troyens bancaires mobiles : un cheval de Troie bancaire mobile semble légitime, mais il cache un logiciel malveillant qui cible spécifiquement une application bancaire mobile sur l'appareil qu'il a infecté. Une technique courante utilisée par les chevaux de Troie bancaires mobiles est l'attaque par superposition, qui consiste à placer un faux écran au-dessus d'une application bancaire légitime (voir "Attaque par superposition" ci-dessus). Le malware capture les informations d'authentification de la victime et peut rester actif pendant que d'autres transactions bancaires sont effectuées. Par exemple, le logiciel malveillant peut modifier les données de transaction en interceptant un transfert de fonds et en redirigeant l'argent vers un compte frauduleux. Ces attaques sont appelées à se développer, car l'utilisation des smartphones continue d'augmenter dans le monde. Le FBI rappelle qu'il est préférable d'être prudent lors du téléchargement d'applications sur les smartphones et les tablettes, car certaines peuvent être des chevaux de Troie bancaires.
- Attaques de l'homme du milieu : Dans une attaque de l'homme du milieu, le fraudeur se place entre l'institution financière et le client pour pouvoir intercepter, modifier, envoyer et recevoir des communications entre les deux parties sans éveiller de soupçons. Le fraudeur prend le contrôle du canal de communication entre l'appareil du client et le serveur en configurant un réseau Wi-Fi malveillant ou malhonnête en tant que point d'accès public (appelé point d'accès malhonnête) pour que l'attaque se produise. Le client peut utiliser le hotspot public sans se rendre compte qu'il peut transférer ses données de paiement via un réseau contrôlé par un fraudeur. Les communications d'une application mobile doivent être sécurisées par des moyens tels que l'épinglage des certificats, qui permet à l'application de communiquer uniquement avec un serveur spécifique parce qu'il utilise un certificat spécifique recherché par l'application mobile. Si vous ne le faites pas, l'application est vulnérable à une attaque de type "Man-in-the-Middle". Les fraudeurs utilisent également une attaque de type "Man-in-the-Middle" pour s'intercaler entre un SDK et le point final qu'il entend atteindre. Ensuite, ils frappent continuellement ce point de terminaison avec une série d'appels de test pour déterminer quels appels représentent une action réussie. Au fil du temps, ils identifient les paramètres qui sont passés pour indiquer une installation réussie. Une fois qu'ils ont réussi à "installer" une application, ils continuent avec l'usurpation du SDK.
- Échange de carte SIM : L'échange de carte SIM est un service légitime proposé par les opérateurs de téléphonie mobile lorsqu'un client achète un nouvel appareil et que l'ancienne carte SIM n'est plus compatible avec celui-ci. Un mauvais acteur peut abuser de ce service. Dans le cadre d'un échange de cartes SIM, un fraudeur utilise des techniques d'ingénierie sociale pour transférer le numéro de téléphone mobile de la victime sur une nouvelle carte SIM. Le fraudeur contacte l'opérateur de téléphonie mobile d'un client et se fait passer pour ce dernier, convainquant un agent du centre d'appels de transférer le numéro de téléphone mobile vers la carte SIM sous le contrôle du fraudeur. Ainsi, l'application bancaire de l'utilisateur peut être activée sur le téléphone du fraudeur. Si le mécanisme d'authentification de la banque comprend des messages texte pour transmettre des mots de passe à usage unique, la prise de contrôle du numéro de la victime devient un moyen intéressant pour un criminel d'effectuer des transactions frauduleuses, d'ajouter des bénéficiaires ou d'effectuer d'autres opérations pendant une session bancaire.
- Hameçonnage mobile : Une forme d'hameçonnage, le smishing, consiste pour un acteur malveillant à vous envoyer un lien par SMS pour essayer de vous inciter à cliquer dessus. Le fait de cliquer sur le lien peut entraîner le chargement d'une page d'hameçonnage où l'utilisateur est amené à saisir ses identifiants de connexion, ou déclencher sans le savoir le téléchargement silencieux d'un logiciel espion de surveillance sur l'appareil. L'objectif est d'obtenir un accès non autorisé aux données personnelles, sensibles et d'entreprise stockées et consultées par l'appareil. Les Tiny URL, qui sont des URL raccourcies, sont également utilisées dans les attaques de phishing par SMS pour vous diriger vers un contenu malveillant et sont souvent utilisées dans les attaques de smishing à grande échelle.
Les technologies qui renforcent la détection de la fraude mobile
La fraude mobile a un impact sur les clients et les institutions financières. Les clients existants qui sont victimes de fraude sont plus susceptibles de quitter leur institution financière et les clients potentiels peuvent hésiter à s'engager auprès d'une banque considérée comme laxiste en matière de prévention et de solutions contre la fraude, car l'écosystème de la fraude continue d'évoluer.
Technologies, capacités et solutions de détection de la fraude mobile
Protection des applications mobiles : la protection des applications mobiles est un terme générique désignant les technologies de sécurité et d'authentification des applications mobiles que les développeurs peuvent intégrer aux applications mobiles afin de les rendre plus résistantes aux menaces mobiles telles que le reconditionnement, les logiciels malveillants, l'injection de scripts, l'ingénierie inverse, la saisie de SMS, etc. Selon Gartner, les applications d'autodéfense sont "cruciales" car les applications mobiles s'exécutent sur une grande variété d'appareils mobiles non fiables avec des niveaux de sécurité variables. Gartner recommande aux entreprises de "choisir la protection in-app pour les applications critiques et de grande valeur qui s'exécutent dans des environnements non fiables et déplacent la logique logicielle en amont. Les cas d'utilisation les plus courants seront les applications mobiles, les applications Web à page unique (en particulier celles destinées aux consommateurs) et les logiciels sur les appareils connectés". Gartner recommande également aux entreprises d'éviter d'utiliser la protection in-app en remplacement des tests de sécurité des applications et des correctifs de vulnérabilité, et d'adopter les meilleures pratiques de codage sécurisé avant d'envisager des solutions de protection in-app.
Les solutions de protection mobile in-app se composent de fonctions de sécurité et d'authentification telles que les suivantes :
- Blindage des applications mobiles avec protection automatique des applications en cours d'exécution (RASP) : le blindage des applications avec protection en cours d'exécution peut détecter et prévenir les attaques en temps réel. La combinaison du blindage des applications mobiles et de la protection de l'exécution permet aux applications financières mobiles de fonctionner en toute sécurité, d'empêcher le code étranger d'interférer avec les fonctionnalités de l'application ou de fermer l'application en cas de menace pour les données. L'intégration de l'app shielding à la protection de l'exécution protège également les informations sensibles des cybercriminels, même sur les appareils mobiles non fiables.
L'autoprotection des applications au moment de l'exécution (RASP), un terme inventé par Gartner, protège les applications mobiles contre les intrusions de plusieurs types de logiciels malveillants. RASP est intégré nativement dans l'application mobile et atténue les attaques malveillantes qui ciblent l'application en les détectant et en arrêtant l'application avant que les données sensibles puissent être compromises et utilisées à des fins de fraude. Il renforce la sécurité des applications mobiles en neutralisant les menaces potentielles et protège les données sensibles et les transactions de grande valeur contre les pirates.
Le blindage d'application avec protection d'exécution est un outil de prévention qui protège l'application mobile en empêchant l'application de fonctionner sur un émulateur ou lorsqu'elle est perturbée par un débogueur. Il s'agit d'outils que les spécialistes de l'ingénierie inverse utilisent pour interroger une application et trouver des vulnérabilités. Il détecte, entre autres, les enregistrements de touches malveillants, les applications reconditionnées et les appareils jailbreakés ou enracinés.
Les institutions financières peuvent associer la technologie d'analyse des risques (moteur de risque) aux technologies de protection des applications mobiles et de sécurité mobile afin de recueillir des informations supplémentaires sur l'application dans son environnement d'exécution pour optimiser la gestion des fraudes et permettre à l'application bancaire de fonctionner en toute sécurité dans un environnement à risque.
Ledurcissement des applications, également appelé "capacités de prévention", augmente le niveau d'effort requis par l'attaquant pour mener à bien une attaque. -
Authentification basée sur le risque : L'authentification basée sur le risque (RBA), qui utilise des algorithmes d'apprentissage automatique, aide à prévenir la fraude mobile en déterminant le niveau de risque de chaque transaction financière et le niveau d'authentification du client requis pour chaque transaction. Le RBA adapte le niveau d'authentification du client au niveau de risque encouru et contribue à réduire les faux positifs, ce qui signifie que moins de clients seront rejetés à tort pour des raisons de fraude. Par le passé, de nombreuses organisations s'appuyaient sur un seul type d'authentification pour tous les clients et toutes les transactions : les mots de passe et les noms d'utilisateur statiques, qui constituent une authentification binaire. Les mots de passe et les noms d'utilisateur sont considérés comme une sécurité faible car ils sont si faciles à voler et à exploiter par les fraudeurs. D'autre part, l'authentification basée sur le risque est une forme d'authentification forte car elle donne un contexte à l'utilisateur et à sa transaction pour déterminer le niveau de risque et la susceptibilité de fraude. Dans le cas d'une transaction à haut risque, l'utilisateur est invité à demander une authentification supplémentaire pour confirmer son identité. Trois facteurs sont couramment utilisés pour l'authentification : quelque chose que vous savez, quelque chose que vous avez et quelque chose que vous êtes. L'authentification la plus courante est quelque chose que vous connaissez et peut être un mot de passe ou un simple numéro d'identification personnel (PIN). Cependant, c'est aussi le plus facile à battre pour les fraudeurs. Le facteur "quelque chose que vous avez" fait référence à des éléments tels qu'un appareil mobile ou des jetons d'authentification matériels, qui génèrent un code d'accès à usage unique. Les options basées sur les smartphones, telles que la notification push et le mot de passe à usage unique (OTP), permettent également une vérification multifactorielle (MFA). Labiométrie est le facteur "quelque chose que vous êtes". Il peut s'agir d'empreintes digitales, de scans du visage ou d'analyse de la voix, et elle s'inscrit dans le cadre de l'évolution vers des connexions sans mot de passe. Les trois facteurs d'authentification sont souvent combinés afin d'offrir une sécurité renforcée pour déjouer les fraudeurs. La combinaison d'un scan d'empreinte digitale et d'un code de passe à usage unique renforce la sécurité et constitue un exemple d'authentification multifactorielle.
-
Authentification hors bande : L'authentification hors bande est un type d'authentification à deux facteurs (2FA) qui nécessite une méthode de vérification secondaire par le biais d'un canal de communication distinct, en plus de l'identifiant et du mot de passe habituels. Par exemple, il peut s'agir du poste de travail du client comme un canal et de son téléphone portable comme un autre canal. Il est plus difficile pour un attaquant de compromettre deux canaux différents, ce qui réduit la probabilité d'une prise de contrôle réussie d'un compte, car l'attaquant devrait compromettre deux canaux distincts pour obtenir l'accès. L'authentification hors bande (OOB) est utilisée par les institutions financières et autres organisations ayant des exigences de sécurité élevées. Cela rend le piratage d'un compte plus difficile car il faudrait que deux canaux d'authentification distincts et non connectés soient simultanément compromis pour qu'un attaquant puisse y accéder.
-
Authentification multifactorielle : L'authentification multifactorielle (AMF) utilise plusieurs technologies pour authentifier l'identité du client. Elle doit combiner des technologies de vérification provenant d'au moins deux groupes ou facteurs d'authentification différents. Les facteurs d'authentification comprennent :
Quelque chose que vous connaissez : un mot de passe, un code PIN, une phrase de passe ou des questions et leurs réponses correspondantes.
Ce que vous avez : La plupart des gens utilisent leur smartphone avec une application d'authentification comme dispositif qui génère ces codes ou leur permet de répondre à un serveur avec un code d'accès à usage unique dans les coulisses.
Quelque chose que vous êtes : il s'agit de tout ce qui peut être utilisé pour identifier un utilisateur unique, qu'il s'agisse d'empreintes digitales, de scans de la rétine, de reconnaissance faciale, de reconnaissance vocale ou du comportement d'un utilisateur (comme la vitesse ou la force avec laquelle il tape ou glisse sur un écran).
Pour réaliser une authentification multifactorielle, au moins deux technologies différentes appartenant à au moins deux groupes technologiques différents doivent être utilisées pour le processus d'authentification. Par conséquent, l'utilisation d'un code PIN couplé à un mot de passe ne serait pas considérée comme une authentification multifactorielle, alors que l'utilisation d'un code PIN avec la reconnaissance faciale comme second facteur le serait. Il est également acceptable d'utiliser plus de deux formes d'authentification. Cependant, la plupart des utilisateurs souhaitent de plus en plus une authentification sans friction (la possibilité d'être vérifié sans avoir à effectuer de vérification). L'AMF peut empêcher la fraude par prise de contrôle du compte et le phishing, par exemple. -
Cronto® : Un code Cronto®, ou QR-like, peut authentifier ou autoriser une transaction financière et renforcer la protection des transactions de grande valeur. Le client verra un cryptogramme graphique ressemblant à un code QR, affiché sur le navigateur de son ordinateur. Seule la banque peut générer le code afin qu'il soit fiable pour établir un canal sécurisé entre le client et la banque. Lorsque vous souhaitez effectuer une transaction, vous saisissez les données de paiement dans l'application de banque en ligne dans le navigateur. Vous verrez alors apparaître un code de type QR et vous pourrez le scanner à l'aide de la caméra de votre appareil mobile. Votre appareil le décodera, décryptera les données de paiement et vous les montrera sur votre mobile en texte clair. Cette approche répond aux exigences de liaison dynamique décrites dans la norme technique réglementaire de la directive révisée sur les services de paiement (DSP2) de l'Union européenne
Des capacités supplémentaires de sécurité mobile qui aident à la détection des fraudes mobiles :
- L'obfuscation du code brouille le code et rend plus difficile pour un attaquant de désosser le fonctionnement de l'application. Par conséquent, une application plus difficile à lire devrait être plus difficile à attaquer, et à voler sa propriété intellectuelle.
- Cryptographie en boîte blanche : la cryptographie en boîte blanche est utilisée pour empêcher un attaquant de découvrir les clés de chiffrement utilisées par une application, en combinant chiffrement et obscurcissement, ou en brouillant le code de manière à le rendre difficile à comprendre. Dans d'autres cas, la raison d'être de la boîte blanche est d'offrir un mécanisme de sécurité indépendant du système d'exploitation qui protège les clés secrètes même si l'attaquant compromet d'une manière ou d'une autre le système d'exploitation mobile ou l'appareil .
- Épinglage des certificats : plutôt que d'accepter n'importe quel certificat provenant d'une gamme spécifique d'autorités de certification, l'épinglage permet aux parties impliquées dans le processus d'authentification mutuelle d'épingler des certificats particuliers, ce qui signifie que seuls ces certificats seront acceptés. Si un attaquant usurpe un certificat, même si ce certificat provient d'une autorité de certification légitime, la partie communicante le rejettera, évitant ainsi une attaque de type "Man-in-the-Middle".
Comment les applications mobiles peuvent être vulnérables
En fin de compte, les développeurs d'applications mobiles ne savent pas comment leurs applications seront utilisées, qu'il s'agisse de fraude publicitaire mobile, de fraude bancaire mobile, ou dans quel environnement. Par conséquent, il existe toujours un risque qu'une application bancaire soit ciblée par un logiciel malveillant sur l'appareil et entraîne des pertes dues à la fraude pour une institution financière. Bien que les magasins Apple App Store et Google Play Store filtrent un grand pourcentage de logiciels malveillants, la fraude aux applications est possible. Il existe des applications malveillantes dans les magasins d'applications qui attendent d'être téléchargées pour voler des informations personnelles ou injecter un code malveillant dans l'appareil mobile ou une autre application. Même si les utilisateurs ne téléchargent que les applications des magasins officiels, une application malveillante peut se glisser entre les mailles du filet et si une application malveillante réside sur l'appareil d'un utilisateur, elle met potentiellement en danger l'application du développeur.
Une autre idée fausse est que les systèmes d'exploitation iOS et Android offrent une sécurité adéquate pour les appareils mobiles et, par extension, une sécurité adéquate pour leurs applications mobiles. C'est vrai dans une certaine mesure. Android et iOS consacrent beaucoup de temps à l'application de correctifs à leurs systèmes d'exploitation pour éliminer les vulnérabilités, mais aucun n'est sûr à 100 % et ils ne peuvent pas tenir compte de la négligence des utilisateurs. Les développeurs d'applications mobiles ne peuvent pas simplement dépendre de la sécurité d'Android ou d'iOS et doivent prendre des mesures supplémentaires pour sécuriser leurs applications. Il convient également de noter qu'il y a toujours un délai entre l'identification d'une vulnérabilité et la publication d'un correctif par les fabricants et les opérateurs de téléphonie mobile. Si le correctif n'est pas téléchargé, l'utilisateur peut se retrouver avec des versions obsolètes du système d'exploitation qui offrent de nombreuses possibilités aux attaquants et aux codes malveillants.
Sécurité requise pour les applications bancaires
L'Open Web Application Security Project (OWASP), une communauté internationale de leaders dans leur domaine - technologues, experts en sécurité des données et développeurs - a mis au point une base de référence indépendante pour la sécurité des applications mobiles, appelée Mobile App Security Verification Standard (MASVS). L'Open Web Security Project fournit des conseils impartiaux sur les capacités de sécurité recommandées pour les applications mobiles iOS et Android, en fonction de leur fonction. Les applications des services bancaires et financiers exigent la norme de sécurité la plus stricte de l'OWASP en raison de leurs données sensibles. Ils doivent également être résistants à l'ingénierie inverse. Les applications bancaires s'adressent à un public large et varié qui utilise une variété d'appareils sur différents systèmes d'exploitation ; il convient donc de faire preuve d'une prudence accrue. Les applications bancaires relèvent de la norme MASVS L2+R de l'Open Web Application Security Project (OWASP), la norme de sécurité la plus stricte.