Incidents associés
Les chercheurs en sécurité de Cato CTRL ont récemment découvert un acteur malveillant, ProKYC, qui vend un outil de deepfake dans le milieu cybercriminel qui aide les acteurs malveillants à contourner l'authentification à deux facteurs (2FA) pour mener des attaques de fraude aux comptes.
L'outil vendu est personnalisé pour cibler les échanges de cryptomonnaies, en particulier ceux qui authentifient les nouveaux utilisateurs en utilisant un document émis par le gouvernement et en permettant à la caméra de l'ordinateur d'effectuer une reconnaissance faciale. C'est un outil qui a reçu des commentaires positifs de la part des cybercriminels.
En surmontant ces défis d'authentification, les acteurs malveillants peuvent créer de nouveaux comptes sur ces échanges. C'est ce qu'on appelle la fraude au nouveau compte (NAF). La création de comptes vérifiés mais synthétiques permet des opérations de blanchiment d'argent, des comptes mules et d'autres formes de fraude. Selon l'AARP, la fraude aux nouveaux comptes a représenté plus de 5,3 milliards de dollars de pertes en 2023 (contre 3,9 milliards de dollars en 2022).
ProKYC est un acteur de la menace qui représente un nouveau niveau de sophistication, en particulier ceux qui ciblent les institutions financières. Ce blog comprend une démonstration de l'outil deepfake de ProKYC et décrit les techniques potentielles de détection, d'atténuation et de prévention des attaques de fraude aux comptes.
Avec l'authentification multifacteur (MFA), l'accent est généralement mis sur les mots de passe à usage unique (OTP). Cependant, l'authentification multifacteur se compose de trois facteurs : quelque chose que vous connaissez (comme un mot de passe), quelque chose que vous avez (comme une carte à puce) et quelque chose que vous êtes (comme une empreinte digitale). Nous rencontrons l'authentification à deux facteurs presque quotidiennement, et pas nécessairement sous la forme d'OTP.
Un tel exemple est lorsque vous retirez de l'argent à un distributeur automatique. Vous effectuez une authentification à deux facteurs : vous insérez votre carte bancaire (quelque chose que vous possédez) et vous saisissez un code PIN (quelque chose que vous connaissez). Il en va de même lorsque vous passez le contrôle aux frontières : vous fournissez votre passeport (quelque chose que vous possédez) et l’agent vous regarde et vérifie que c’est bien vous sur la photo (quelque chose que vous êtes). La liste est longue.
Les cybercriminels tentent depuis des décennies de contourner l’authentification à deux facteurs en utilisant de faux documents et de fausses informations d’identification. Cependant, les outils basés sur l’IA portent désormais ces efforts à un nouveau niveau.
Par le passé, les fraudeurs achetaient de faux documents sur le dark web. Ceux-ci se présentaient généralement sous la forme d’un document scanné, et la qualité variait selon le vendeur.
Bien que certains de ces produits soient toujours proposés, ils peuvent ne pas passer les tests d’authentification actuels. De plus, ils n’offrent aucune solution au cas où l’authentificateur vous demanderait d’effectuer un test de reconnaissance faciale. C’est là qu’intervient l’outil deepfake de ProKYC.
L’outil deepfake de ProKYC est vendu dans le milieu cybercriminel comme un moyen de surmonter ces obstacles. Il utilise des technologies deepfake pour créer de faux documents, ainsi que des vidéos des fausses personnalités de ces documents qui passeraient avec succès un défi de reconnaissance faciale. Dans une vidéo fournie par ProKYC, les acheteurs potentiels peuvent voir une démonstration du fonctionnement de l’outil contre ByBit (une bourse de cryptomonnaies).
-
L’acteur de la menace crée de fausses informations d’identification et une fausse image d’une personne. La création de visages générés par l’IA est désormais une marchandise, avec des sites comme thispersondoesnotexist.com qui présentent cette capacité.
-
L’acteur de la menace applique ces informations d’identification à ce qui ressemblerait à un document émis par le gouvernement. Dans ce cas, un passeport australien. Le résultat est une contrefaçon de haute qualité qui a été créée en quelques secondes (par opposition à la commande de faux documents auprès de cybercriminels sur le dark web). L’outil prête attention aux petites touches telles que l’apparition des tampons « officiels » sur l’image, tout comme le fait un vrai passeport australien. 1. L'acteur malveillant crée une vidéo à l'aide de la fausse photo. La vidéo est conçue pour respecter les instructions des systèmes de reconnaissance faciale : déplacer la tête de la personne de gauche à droite. Si vous faites très attention à la vidéo, vous remarquerez quelques imperfections (comme l'œil) et un petit problème vidéo à la fin de la vidéo. Ceux-ci seront cependant probablement ignorés par les systèmes de reconnaissance faciale. Vous ne voulez pas de systèmes trop stricts qui peuvent créer plusieurs alertes faussement positives en raison d'une connexion Internet lente, par exemple.
-
L'acteur malveillant lance une attaque de fraude de compte. Il se connecte à une bourse de crypto-monnaie (ByBit, dans cet exemple). Il procède au téléchargement du faux passeport australien. On lui demande ensuite d'ouvrir la caméra de son ordinateur pour effectuer une reconnaissance faciale. Au lieu de cela, l'outil lui permet de connecter la vidéo qu'il a créée comme s'il s'agissait de l'entrée de la caméra.
-
Après toutes ces étapes, et après avoir attendu quelques minutes que le passeport et la vidéo soient analysés, l'attaquant est informé que le compte a été vérifié.
Sur le plan technologique, la détection des attaques de fraude aux comptes est délicate. Comme mentionné ci-dessus, la création de systèmes d’authentification biométrique extrêmement restrictifs peut entraîner de nombreuses alertes fausses. En revanche, des contrôles laxistes peuvent entraîner des fraudes.
Il existe différents signes révélateurs qu’un document, une image ou une vidéo sont faux. La qualité de l’image en est un exemple. Une image, et surtout une vidéo, de très haute qualité (comme celle de la démo) indiquent qu’il s’agit d’un fichier falsifié numériquement. Les problèmes au niveau des parties du visage et les incohérences dans les mouvements des yeux et des lèvres lors de l’authentification biométrique sont un autre exemple. Ils doivent être considérés comme suspects et vérifiés manuellement par un humain.
L’IA est très médiatisée, mais les acteurs de la menace perfectionnent depuis un certain temps leur utilisation des technologies deepfake.
Que peuvent faire les organisations pour se défendre contre les menaces de l’IA ? Cato CTRL recommande de collecter des renseignements sur les menaces, qu’ils proviennent de renseignements humains (HUMINT), de renseignements open source (OSINT) ou d’autres moyens, et de se tenir au courant des dernières tendances en matière de cybercriminalité.
Les acteurs malveillants continueront d'évoluer et de trouver des moyens d'utiliser de nouvelles technologies et de nouveaux logiciels de deepfake à leur avantage. Cato CTRL continuera de partager ces résultats pour aider les organisations à être informées des dernières menaces.