Chaque fois que nous saisissons nos informations financières, de paiement et personnelles dans le cadre d’une transaction en ligne, des solutions anti-fraudes analytiques de pointe, à base de Machine Learning, nous comparent à un « masque numérique ». Chaque masque est propre à chaque utilisateur, combinant les empreintes des appareils et navigateurs dont ce dernier se sert couramment pour effectuer des paiements et des opérations bancaires en ligne (type d’écran et système d’exploitation, diverses données sur le navigateur : en-têtes, fuseau horaire, modules installés, taille de la fenêtre, etc.) avec des techniques avancées d’analyse et d’apprentissage automatique (portant sur les cookies de l’utilisateur, son comportement en ligne et sur ordinateur, etc.). C’est ainsi que les équipes anti-fraudes des établissements financiers peuvent déterminer si c’est bien nous qui avons saisi nos identifiants ou s’il s’agit d’un escroc tentant de faire un achat au moyen d’une carte volée, de façon à approuver ou rejeter la transaction suivant le cas, ou encore la soumettre à une analyse complémentaire.

Genesis, la boutique en ligne clandestine qui met en vente des dizaines de milliers
de doubles numériques permettant de contourner les solutions anti-fraudes financières

Cependant, le masque numérique peut être copié ou créé de toutes pièces et l’enquête de Kaspersky Lab révèle que les cybercriminels emploient activement de tels doubles numériques afin de contourner les mesures anti-fraudes avancées. En février 2019, les chercheurs de la société ont mis au jour la place de marché Darknet Genesis, une boutique en ligne qui vend des masques numériques et des comptes utilisateurs volés, à des prix allant de 5 à 200 dollars pièce. Ses clients n’ont qu’à acheter un ensemble de masques numériques, d’identifiants et de mots de passe dérobés précédemment et donnant accès à des sites d’e-commerce et des services de paiement, puis lancer ceux-ci via un navigateur et une connexion par proxy pour imiter l’activité de l’utilisateur authentique. En disposant des identifiants de ce dernier, le pirate peut dès lors accéder à ses comptes en ligne ou effectuer en son nom de nouvelles transactions paraissant sécurisées.

« La tendance est clairement à une recrudescence des fraudes à la carte de crédit à travers le monde. Tandis que le secteur bancaire investit massivement dans des mesures anti-fraudes, les doubles numériques sont difficiles à intercepter. Une autre solution pour empêcher la prolifération de cette activité malveillante consiste à fermer l’infrastructure des fraudeurs. C’est pourquoi nous exhortons les autorités du monde entier à prêter une attention accrue à ce fléau et à se joindre à nous pour le combattre », commente Sergey Lozhkin, chercheur en sécurité chez Kaspersky Lab.

D’autres outils permettent aux pirates de créer de toutes pièces leurs propres masques numériques distinctifs qui échapperont aux solutions anti-fraudes. Les chercheurs de Kaspersky Lab ont étudié l’un de ces outils, un navigateur Tenebris spécial intégrant un générateur de configurations permettant d’élaborer des empreintes spécifiques. Une fois l’empreinte créée, il suffit à un escroc de lancer le masque via un navigateur et une connexion par proxy pour pouvoir effectuer en ligne toutes les opérations qu’il souhaite.

Afin de renforcer leur sécurité, Kaspersky Lab recommande aux entreprises de prendre les mesures suivantes :
• Activez l’authentification multifacteur à chaque stade des processus de validation des utilisateurs.
• Envisagez d’instaurer de nouvelles méthodes de vérification supplémentaire, par exemple biométriques.
• Exploitez les techniques les plus avancées pour l’analyse comportementale des utilisateurs.
• Intégrez des flux de veille des menaces dans votre système SIEM et vos autres dispositifs de sécurité pour accéder aux données les plus pertinentes et à jour dans ce domaine, afin de vous préparer à de futures attaques éventuelles.