Ce que vous apprendrez dans cet article
- Le piratage de compte désigne la prise de contrôle non autorisée d'un compte existant, généralement au moyen d'identifiants volés, Phishing, malware ou d'autres formes d'abus reposant sur l'utilisation d'identifiants.
- L'usurpation d'identité consiste à utiliser de manière abusive des informations personnelles volées pour se faire passer pour quelqu'un d'autre, ouvrir des comptes, commettre des fraudes, ou faciliter une intrusion ultérieure.
- Le piratage de compte est souvent plus facile à détecter dans les données télémétriques de connexion et le comportement du compte, tandis que l'usurpation d'identité peut se manifester plus tôt, lors de la procédure d'inscription, des paiements ou des opérations liées à un nouveau compte.
- Ces menaces peuvent se recouper lorsque des données d'identité volées sont utilisées dans le cadre de procédures de réinitialisation de mot de passe ou lorsqu'un compte piraté expose davantage de données personnelles.
- Les entreprises ont besoin de contrôles à plusieurs niveaux couvrant l'authentification, la vérification d'identité, la prévention de la fraude, la surveillance et la protection contre le phishing afin de réduire ces deux risques.
La piraterie des comptes de messagerie, la fraude et l'usurpation d'identité se limitent rarement à un seul domaine. Un compte piraté peut exposer des données personnelles ; l' , ainsi que les informations personnelles volées, peuvent permettre à un pirate de réinitialiser des identifiants, de contourner les contrôles de vérification ou d'ouvrir des comptes frauduleux sur .
C'est pourquoi les entreprises doivent distinguer la prise de contrôle de compte de l'usurpation d'identité, sans pour autant les considérer comme des risques sans rapport les uns avec les autres. Ces deux menaces se recoupent, mais leur origine est différente, leur « » se manifeste différemment et elles nécessitent des techniques de prévention différentes.
Qu'est-ce que le piratage de compte ?
On parle de « prise de contrôle de compte » lorsqu'un pirate informatique parvient à accéder sans autorisation à un compte utilisateur existant, à un compte professionnel, à un compte de l' e bancaire ou à tout autre compte en ligne, et commence à l'utiliser comme s'il en était le titulaire légitime. La plupart des attaques visant à prendre le contrôle d'un compte ( ) reposent sur des identifiants volés ou compromis, le Phishing, des malware, le détournement de session ou d'autres attaques de prise de contrôle ( ) qui exploitent des identifiants de connexion valides plutôt que de s'introduire via une faille traditionnelle.
C’est ce qui rend la fraude par prise de contrôle de compte, la fraude par prise de contrôle et la fraude ATO si dangereuses : le pirate utilise un véritable compte auquel il dispose d’un accès réel, souvent pendant une durée suffisante pour commettre une fraude, se déplacer latéralement ou cibler plusieurs comptes.
Signes avant-coureurs courants d'un piratage de compte
Ces indicateurs apparaissent généralement avant qu'un cas de piratage complet d'un compte ne devienne évident. Les détecter à un stade précoce peut aider les équipes de sécurité d' à repérer les signes indiquant que votre messagerie a été piratée et à mettre fin à une tentative de prise de contrôle de compte avant que le compte concerné ne soit utilisé à plus grande échelle.
- Connexions inhabituelles ou déplacements impossibles
- Courriels suspects envoyés depuis le compte concerné
- Modification des règles de la boîte de réception ou du comportement de transfert
- Comportement anormal du compte ou téléchargements inattendus
- Transactions non autorisées ou modifications soudaines du compte
Ces signes sont importants, car une attaque visant à prendre le contrôle d'un compte peut rapidement transformer un simple compte compromis en un problème d' s à l'échelle de l'entreprise. Les pirates peuvent utiliser ce compte pour divulguer des données sensibles, usurper l'identité d'employés, exploiter abusivement les systèmes connectés et accroître ainsi le risque de pertes liées à la fraude et d'atteinte à la réputation.
Pourquoi il est important de prévenir le piratage de comptes dans les environnements d'entreprise
Un seul compte piraté peut servir de point d'ancrage à bien plus qu'un single incident d'authentification. Dans un contexte d'entreprise, une prise de contrôle réussie par une « » peut entraîner une « » (hijacking), un «internal phishing» (hameçonnage interne) , la divulgation de données, la fraude, des mouvements latéraux et une utilisation abusive des services ou des flux de travail connectés. Cela fait de la prévention du piratage des comptes un enjeu lié au risque d'entreprise, et non plus simplement un problème de mot de passe.
Qu'est-ce que l'usurpation d'identité ?
L'usurpation d'identité consiste à voler et à utiliser de manière abusive des informations ou des données personnelles afin de se faire passer pour la victime. Ces données d'identité volées sur peuvent inclure des noms, des adresses, des informations relatives aux cartes de crédit, des coordonnées bancaires, des numéros de Sécurité sociale, des adresses e- s ainsi que d'autres informations de compte permettant aux fraudeurs de se faire passer pour quelqu'un d'autre. Contrairement à la prise de contrôle de compte, qui commence par l' e d'un compte existant, l'usurpation d'identité commence par le vol de données d'identité pouvant être utilisées pour ouvrir de nouveaux comptes, commettre une fraude d' , contourner des contrôles ou faciliter une intrusion ultérieure.
Signes avant-coureurs courants de l'usurpation d'identité
Les signes avant-coureurs d'une usurpation d'identité apparaissent généralement dans le cadre d'opérations financières, de procédures d'intégration ou d'ouverture de compte, plutôt que dans les données de connexion à . C'est l'une des raisons pour lesquelles l'usurpation d'identité peut être plus difficile à détecter à un stade précoce dans les environnements d'entreprise.
- Frais imprévus ou transactions frauduleuses
- Comptes inconnus, prêts ou comptes multiples ouverts au nom de la victime
- Modifications apportées à votre dossier de crédit ou avis de recouvrement concernant des dettes inconnues
- Réinitialisation du mot de passe ou alertes de connexion que la victime n'a pas déclenchées
- Activité suspecte liée à un nouvel utilisateur, à un candidat ou à un processus d'inscription
D'un point de vue commercial, ces signaux peuvent sembler moins indiquer un compte piraté que la présence d'un nouvel utilisateur légitime d' . C'est pourquoi l'usurpation d'identité est souvent détectée plus tôt dans les processus de gestion des abus lors de l'intégration, des paiements ou de la détection des fraudes plutôt que dans les journaux d'authentification uniquement.
Pourquoi la prévention de l'usurpation d'identité est-elle importante pour les entreprises ?
L'usurpation d'identité ne concerne pas uniquement les consommateurs. Cela peut entraîner des fraudes commises par des clients, des abus lors de la procédure d'inscription, des risques en matière de conformité et une érosion de la confiance des , en particulier lorsque les pirates utilisent des informations d'identité volées pour passer les contrôles ou générer des activités qui, à première vue, semblent légitimes sur .
Le cadre « Red Flags » de la FTC tient compte de cette réalité en exigeant des organisations concernées qu’elles identifient les schémas d’ s suspects, qu’elles les détectent, qu’elles y réagissent et qu’elles maintiennent ces contrôles à jour.
Usurpation de compte ou vol d'identité ?
La prise de contrôle d'un compte consiste à détourner un compte existant, tandis que l'usurpation d'identité consiste à utiliser des informations personnelles volées pour se faire passer pour quelqu'un d'autre. On commence par un compte réel qui existe déjà. L'autre commence par le vol de données d'identité , qui peuvent être utilisées pour créer, accéder à ou manipuler des comptes et des services.
|
Catégorie |
Prise de contrôle de compte |
Usurpation d'identité |
|
Point de départ |
Compte existant |
Données d'identité personnelles volées |
|
But de l'attaquant |
Prendre le contrôle d'un compte réel et l'utiliser |
Usurper l'identité d'une personne à des fins frauduleuses |
|
Signes courants |
Connexions suspectes, modification des règles de la boîte de réception, comportement anormal du compte |
Comptes inconnus, modifications de solvabilité, fausses demandes, avis de recouvrement |
|
Impact sur l'activité |
Utilisation abusive des comptes, fuite de données, pertes liées à la fraude, atteinte à la confiance |
Fraude client, abus lors de la procédure d'inscription, risque de non-conformité, atteinte à la confiance |
|
Accent mis sur la prévention |
MFA, authentification, sécurité de la récupération, détection des anomalies |
Vérification d'identité, dépistage des fraudes et détection des signaux d'alerte |
Les implications opérationnelles sont différentes pour les défenseurs. La prise de contrôle de compte se manifeste souvent de manière plus visible dans les données télémétriques de connexion, le comportement de la boîte aux lettres « », les anomalies d'authentification et l'activité anormale du compte.
L'usurpation d'identité peut se manifester dès les premières étapes de l'inscription, lors des paiements ou lors de l'ouverture d'un nouveau compte, où l'attaquant ressemble moins à un intrus qu'à un nouvel utilisateur légitime. Cela détermine quelles équipes détectent le problème en premier et quels contrôles sont les plus utiles .
Comment les entreprises peuvent-elles prévenir les risques de piratage de compte et d'usurpation d'identité ?
Pour se prémunir contre ces deux menaces, il est nécessaire de renforcer les contrôles tout au long des processus de connexion, de récupération, d'intégration et de modification des s de compte. Les entreprises ont besoin de mesures de protection permettant à la fois de limiter les accès non autorisés à un compte existant et de lutter contre la fraude à l' , liée à l'identité, qui intervient dès les premières étapes du parcours de l'utilisateur. L'approche la plus efficace allie prévention, vérification et visibilité permanente grâce à l' .
Renforcer les contrôles d'accès et de vérification
La priorité absolue est de compliquer la tâche des pirates et des fraudeurs qui cherchent à s'introduire dans le système ou à exploiter des procédures peu sécurisées. La mise en place de contrôles lors de la connexion, de la récupération de mot de passe et de la création de compte sur permet de réduire à la fois le risque de piratage de compte et l'usurpation d'identité avant que les dégâts ne s'étendent.
- Mettez en place l'authentification à plusieurs facteurs (MFA) afin de réduire l'utilité des identifiants volés lorsqu'ils sont utilisés isolément. Cela ajoute un niveau d'authentification supplémentaire qui permet de contrecarrer une tentative de piratage même lorsque les identifiants de connexion ont été compromis.
- Utilisez l'authentification basée sur les risques pour réagir en cas d'appareils, de lieux ou de comportements de connexion inhabituels. Cela aide les équipes de sécurité à mettre en place des contrôles plus rigoureux lorsque l'activité d'un utilisateur s'écarte de son comportement habituel.
- Renforcez les procédures de récupération afin qu'il soit plus difficile d'abuser des étapes de réinitialisation des mots de passe et de récupération de compte trop peu sécurisées. Des mesures de récupération plus strictes renforcent la sécurité et réduisent le risque que des fraudeurs utilisent des informations personnelles volées pour récupérer l'accès.
- Mettez en place une vérification d'identité lors de l'inscription et lors d'autres opérations sensibles afin de vous assurer que les utilisateurs sont bien ceux qu'ils prétendent être. Cela permet de détecter plus facilement et plus tôt les usurpations d'identité, les fausses demandes et les comportements suspects lors des inscriptions.
- Sécurisez les modifications apportées au compte en mettant en place des contrôles lors des mises à jour de l'adresse e-mail, du mot de passe, des informations de paiement et du profil. Ces contrôles permettent à d'empêcher toute modification non autorisée susceptible d'empêcher l'accès à l'utilisateur légitime ou de permettre des transactions frauduleuses.
Ces mesures de sécurité sont importantes car les pirates recherchent souvent la voie la plus facile, et pas seulement la plus complexe sur le plan technique. Lorsque les entreprises du secteur de la « » renforcent la sécurité de leurs points d’accès et de leurs procédures de vérification, elles améliorent leur capacité à prévenir le piratage de comptes avant qu’une faille dans un processus ne se transforme en un problème de fraude de plus grande ampleur.
Améliorer la surveillance et la détection
La prévention à elle seule ne suffit pas. Les entreprises ont également besoin d'une bonne visibilité sur les comportements suspects afin de pouvoir détecter un compte piraté , une tentative de prise de contrôle ou un abus lié à l'identité avant que cela ne débouche sur une activité frauduleuse de plus grande ampleur.
- Surveillez les connexions anormales qui pourraient indiquer qu'un compte a été piraté ou qu'une tentative de prise de contrôle du compte a eu lieu. Recherchez les éléments inhabituels (emplacements, appareils, heures de connexion ou tentatives d'accès infructueuses répétées) qui s'écartent des habitudes normales des utilisateurs.
- Suivez les modifications inattendues apportées à votre compte, telles que les réinitialisations de mot de passe, les mises à jour d'adresse e-mail ou les modifications des informations de paiement. Ces changements indiquent souvent qu'un pirate tente d'empêcher l'accès à l'utilisateur légitime ou de rediriger ses futures activités.
- Examinez les messages suspects liés à l' Phishing, usurpation d'identité ou à l'ingénierie sociale, susceptibles de compromettre la sécurité, en particulier lorsque les utilisateurs ne comprennent pas nécessairement la différence entre les e-mails de Phishing et les spam . Le fait de détecter ces messages à un stade précoce permet de réduire le risque que des identifiants volés ou des liens malveillants ne débouchent sur un incident de plus grande ampleur.
- Évaluez les indices liés à l'intégration afin de détecter les fausses candidatures, les comportements suspects lors de l'inscription ou les usurpations d'identité. Une vérification précoce peut aider les équipes à mettre fin aux abus avant qu'un compte utilisateur frauduleux ne soit pleinement établi.
- Surveillez les indicateurs de données exposées qui suggèrent que des données personnelles ou des identifiants compromis sont réutilisés sur les différents canaux d' . Cela peut permettre de détecter le moment où des informations volées passent d'une simple tentative de fraude à une utilisation abusive plus généralisée du compte.
Un suivi plus rigoureux permet aux équipes de relier les différents indices entre eux plutôt que de réagir à des événements isolés. Cela améliore la qualité de l' s de détection et offre aux entreprises de meilleures chances de contenir les abus avant qu'ils n'affectent plusieurs comptes, clients ou systèmes d' . Si un incident venait à se produire, les équipes doivent également savoir comment réagir en cas de piratage de votre messagerie électronique afin que l'intervention puisse se dérouler plus rapidement.
Mettez en place des mesures de protection à plusieurs niveaux afin de limiter la propagation des abus
Aucune mesure de contrôle ne peut à elle single empêcher toutes les attaques par prise de contrôle ou toutes les tentatives de fraude liées à l'identité. Les entreprises réduisent les risques de manière plus efficace lorsqu'elles combinent des contrôles d'authentification, la détection des fraudes, la sécurité des e-mails, des mesures anti-Phishing, la sensibilisation des utilisateurs à l' , ainsi que la détection des compromissions au sein d'un modèle de défense à plusieurs niveaux.
Pourquoi les entreprises devraient traiter ces deux menaces séparément
Considérer ces deux menaces comme un seul et même problème générique de fraude engendre des angles morts. Les équipes risquent de se concentrer excessivement sur la sécurité de la connexion et de passer à côté d'abus lors de la procédure d'intégration, ou de se focaliser sur les faux candidats tout en négligeant les attaques par prise de contrôle de compte qui se produisent déjà au sein de d'un compte actif.
La prise de contrôle de compte et l'usurpation d'identité génèrent des signaux différents, affectent des processus métier distincts et nécessitent des techniques de prévention de l' s différentes. Les considérer comme identiques affaiblit à la fois la réactivité et la responsabilité.
La distinction entre ces menaces permet de clarifier les responsabilités, de mettre en place des contrôles plus précis et d'améliorer les enquêtes. Lorsque les équipes font la distinction entre la prise de contrôle de compte et l'usurpation d'identité, elles peuvent intervenir en fonction de l'origine de l'abus, au lieu de devoir chaque incident dans le même processus de traitement.
Les équipes de sécurité peuvent alors se concentrer sur les signaux indiquant des comptes compromis, tandis que les équipes chargées de la lutte contre la fraude et de l'intégration s'occupent des risques liés à l'usurpation d'identité et aux demandes d'ouverture de compte. Cette distinction permet d'améliorer la visibilité, la responsabilisation et la qualité des interventions, tout en reconnaissant que la prise de contrôle de compte et l'usurpation d'identité se recoupent souvent dans les attaques réelles.
Lutte contre le piratage de comptes et l'usurpation d'identité pour la sécurité des entreprises
La prise de contrôle de compte et l'usurpation d'identité constituent des menaces distinctes, même lorsqu'elles interviennent dans la même chaîne d'attaque. La prise de contrôle d' s de compte vise un compte existant, tandis que l'usurpation d'identité repose sur des informations d'identité volées. Il est certes important de tenir compte de ce chevauchement , mais la distinction revêt une importance encore plus grande, car le choix des moyens de défense appropriés dépend du moment où l'abus a commencé.
L'authentification multifactorielle (MFA), les contrôles d'authentification, la détection des anomalies et le renforcement de la sécurité des procédures de récupération contribuent à réduire la fraude par prise de contrôle de compte et d'autres attaques de ce type. La vérification d'identité, la détection des fraudes et le renforcement des contrôles lors de l'inscription permettent de mettre fin plus rapidement aux abus liés à l'identité sur .
Pour les responsables de la sécurité des entreprises, l'objectif n'est pas de devoir choisir entre les deux. L'objectif est de mettre en place une protection à plusieurs niveaux qui considère à la fois les comptes piratés et la fraude liée à l'identité comme des risques pour l'entreprise. Mimecast soutient cette démarche en aidant les organisations de la catégorie « » à renforcer leur protection contre la compromission de comptes, le phishing, l’usurpation d’identité et les abus liés à l’identité dans les environnements d’entreprise de type « ».