La forme de la fraude et de la cybercriminalité : 10 choses que nous avons apprises à partir de 2020

Les nouveaux chiens tombent amoureux des vieux (et nouveaux) tours

La sagesse acceptée est que, dans notre monde de plus en plus numérisé, plus vous êtes âgé, plus vous serez sensible aux escroqueries. En effet, des chiffres mondiaux, tels que ceux du dernier FBI/IC3 Rapport sur la criminalité sur Internet, semblent le confirmer.

Source: FBI/IC3 – Internet Crime Report

Toutefois, le dernier rapport sur la cybercriminalité de LexisNexis brosse un tableau légèrement différent. L’analyse de l’âge a prouvé que les plus vulnérables étaient les groupes d’âge plus jeunes, car ceux-ci voyaient le taux le plus élevé d’attaques.

S’il n’en demeure pas moins vrai que plus vous êtes âgé, plus la perte financière est grande, pourquoi les fraudeurs cibleraient-ils les jeunes, qui sont sans doute moins nantis?

La réponse se trouve dans le volume. Les criminels compensent des gains monétaires plus élevés pour des taux d’attaque plus élevés, capitalisant sur le fait que les jeunes sont peut-être à la fois plus libéraux avec les renseignements personnels (et la vie privée en général) et, en même temps, les utilisateurs numériques lourds (médias sociaux, enquêtes, jeux, et ainsi de suite).

En fait, il est effrayant de voir combien de valeur l’adresse e-mail humble peut avoir pour les criminels. Nous oublions souvent qu’une fois obtenu, il peut être utilisé plus loin dans la ligne pour commettre plus de fraude.

Source: Lexis Nexis UK Cybercrime Report 2020

Alors que les criminels cherchent à profiter du ralentissement économique, les jeunes générations sont également ciblées par des recruteurs de muletiers qui affichent de fausses annonces sur des sites Web d’emploi et des médias sociaux, ciblant ceux qui cherchent du travail ou leur offrant l’espoir de gagner rapidement de l’argent en échange de l’utilisation de leur compte bancaire.

En fait, la Dedicated Card and Payment Crime Unit (DCPCU) a travaillé avec les plateformes de médias sociaux pour prendre plus de 700 comptes liés à des activités frauduleuses en 2020, dont plus de 250 recruteurs de mules d’argent.

Les machines sont à la hausse pour remplacer les humains

Une autre tendance où le Royaume-Uni s’est divergé des chiffres mondiaux est l’augmentation des attaques de bots. Alors que les chiffres mondiaux montrent une baisse ordinaire de 2% des attaques dans l’ensemble, les attaques de bots au Royaume-Uni ont augmenté d’un énorme 44%, en particulier dans le commerce électronique et les médias, secteurs caractérisés par être moins sûrs et moins réglementés que les services financiers.

Rapport sur la cybercriminalité 2020 de Lexis Nexis UK

Si l’on considère que 85% des transactions au Royaume-Uni provenaient d’un appareil mobile, cela signifiait également que 52% des attaques étaient sur des appareils mobiles, principalement via un navigateur mobile. C’est parce que les applications mobiles sont généralement plus sûres, comme en témoigne le fait que les attaques d’applications mobiles étaient principalement au point d’enregistrement des applications (par opposition aux transactions mobiles), démontrant une fois de plus que les fraudeurs continuent de capitaliser sur les identités volées facilement disponibles via le dark web.

Une fois que les informations d’identification volées sont validées à l’échelle par le biais de bots, elles peuvent ensuite être utilisées dans d’autres attaques plus lucratives plus loin, telles que la création d’identités synthétiques pour obtenir des services financiers ou du crédit.

Rapport sur la cybercriminalité 2020 de Lexis Nexis UK

Mais ce n’est pas que de mauvaises nouvelles. Bien que les attaques mobiles aient été importantes, elles ont en fait diminué de 23 % par rapport à l’année précédente, principalement en raison du fait que les attaques du monde extérieur, telles que celles livrées par le biais de réseaux Wi-Fi publics ouverts, ont été entravées par des verrouillages.

Plus important encore, de grands progrès ont été réalisés pour améliorer l’authentification dans les canaux mobiles, comme on le voit avec l’adoption accrue de technologies telles que la biométrie.

Cela se reflète dans les chiffres fournis par UK Finance, où la fraude bancaire mobile, tout en affichant une augmentation de 41% par rapport à l’année dernière, s’est élevé à seulement £ 21,6 millions, par rapport aux attaques par le biais de navigateurs mobiles ou de services bancaires sur Internet, qui a totalisé un stupéfiant £ 159,7 millions.

Rapport sur la cybercriminalité 2020 de Lexis Nexis UK

Nous prenons du terrain en ingénierie sociale, mais elle devient plus intelligente

En 2020, alors que la crise sanitaire mondiale se déroulait, nous sommes devenus encore plus avides de données et d’informations. Les criminels ont capitalisé sur ce besoin mondial, réorientant les technologies et les processus existants pour répondre aux opportunités locales.

Google et Microsoft ont montré que les criminels ont continué à récolter des informations d’identification et compromien tant que facilitateurs pour commettre d’autres crimes. En fait, l’ingénierie sociale reste le moyen le plus efficace d’attaquer les entreprises et les particuliers aux États-Unis, selon l’Internet Crime Complaint Center du FBI, tandis que les secteurs de la finance et de l’assurance restent les plus attrayants.

Au Royaume-Uni, les Enquête sur les atteintes à la cybersécurité 2021 confirme également que les attaques de phishing et d’usurpation d’identité sont les plus courantes.

Source : Gov.uk – Enquête sur les atteintes à la cybersécurité 2021

Le vecteur d’attaque go-to de l’ingénieur social, la fraude autorisée au paiement par poussée (APP), a sans surprise été une menace d’attaque de premier plan en 2020, une tendance particulièrement alimentée au Royaume-Uni par l’utilisation accrue des processus bancaires ouverts et des paiements plus rapides.

Uk Finance a fait état, lors de son lancement en mars Fraude – les faits une augmentation de 22 % des cas de fraude dans les APP pour atteindre une valeur de 479 millions de livres sterling, dont, malheureusement, seulement 43 % ont été remboursés aux victimes.

Source: Uk Finance: Fraud – Les faits 2021

Nous pouvons être rassurés par le fait que les attaques contre les entreprises (non personnelles) ont diminué tant en volume qu’en valeur. Un optimiste pourrait mettre cela à de meilleures postures de sécurité dans l’ensemble, mais la réduction de l’activité commerciale est susceptible d’avoir eu un certain effet, aussi.

De même, alors que le nombre d’attaques app sur le système de paiement en livres sterling de grande valeur du Royaume-Uni CHAPS (Clearing House Automated Payment System) a doublé, leur valeur totale a diminué de près d’un tiers, avec une valeur moyenne de £ 10,000 par transaction, en baisse par rapport £ £ 22,000 l’an dernier. Cela donne à penser que les banques appliquent peut-être des contrôles plus stricts sur les transactions intérieures de grande valeur et que ces contrôles fonctionnent.

Toutefois, les attaques personnelles ont considérablement augmenté, sans doute en raison de la numérisation accrue, du travail à distance et de l’utilisation accrue des appareils mobiles. Alors que la fraude app via les services bancaires sur Internet a légèrement diminué, cela est resté le canal où les pertes APP ont été les plus lourdes, à £ 316,3 millions, montrant les services bancaires en ligne est toujours le canal le plus rentable d’attaque.

Toutefois, les pertes liées à la fraude bancaire mobile ont augmenté de 159 %, et bien qu’elles ne se soient élevées qu’à 89,2 millions de livres sterling, les banques et leurs clients devraient accorder une attention particulière aux risques associés à la popularité croissante du canal mobile.

Source: Uk Finance: Fraud – Les faits 2021

Il était également intéressant de noter la différence dans les niveaux de fraude app entre les différents types de paiement, avec faster payments étant, peut-être sans surprise, le plus régulièrement attaqué car ils sont probablement les plus simples et opportuns à mettre en place et à envoyer.

Source: Uk Finance: Fraud – Les faits 2021

Alors pourquoi les attaques continuent-elles de bénéficier de taux de réussite élevés et comment les fraudeurs deviennent-ils plus intelligents?

• Ils sont de plus en plus ciblés: Bien que les niveaux de fraude du BACS APP aient diminué en volume et en valeur, le montant moyen de la fraude était de 24 000 £, comparativement à 13 500 £ en 2019. Cela montre que les attaques, bien que moins nombreuses, étaient plus ciblées et donc plus lucratives, ce qui montre que les criminels feront tout leur temps pour profiler avec précision leurs victimes. De même, les criminels ont capitalisé sur l’augmentation substantielle de l’utilisation des appareils mobiles.
• Ils trouvent les faiblesses: Il est très surprenant de constater l’augmentation de 77 % de la valeur de la fraude lorsque les virements intrabancaires ont été utilisés – 4 000 £, contre 1 800 £ en 2019. Cela donne à penser que, même si la gouvernance des transferts vers d’autres banques était plus stricte, la même surveillance n’a pas été appliquée aux transferts entre les comptes d’une même banque (« sur nous ») et les fraudeurs, s’en rendant compte, ont rapidement capitalisé sur elle, soulignant également le fait inquiétant qu’ils ont une connaissance intime des processus d’affaires des banques.
• Ils comprennent nos comportements : Les attaques de paiement push autorisées ont une chose en commun : elles arment les informations d’identification, soit en les volant, soit en incliquant les utilisateurs légitimes à commettre des fraudes, sciemment ou non. Les criminels sont non seulement compétents dans l’analyse des comportements humains, des modes d’interaction préférés et des processus d’affaires, mais ils sont également habiles à utiliser la technologie. En effet, l’innovation est devenue une arme à double tranchant, nécessaire pour le plus grand bien, mais aussi un catalyseur de la criminalité.

Les solutions nous fixent en face

Le travail à distance a considérablement augmenté pendant la pandémie, ce qui a conduit les entreprises à se précipiter pour reproduire la sécurité comparative de l’« infrastructure d’entreprise » dans un environnement distribué. Cela a conduit à une augmentation bienvenue des déploiements d’architectures à confiance zéro et de solutions sans mot de passe, pour n’en nommer que quelques-unes.

Les nouveaux développements réglementaires ont également conduit à une sécurité renforcée à l’échelle mondiale, comme on le voit avec PSD2 Strong Customer Authentication en Europe, les différents anti-money lalois sur la sous-ing (LAM) et les règlements sur la protection des données dans le monde entier. Au Royaume-Uni, la lutte contre la fraude à l’APP est en cours, avec l’adoption du Code de conduite volontaire de remboursement conditionnel qui gagne du terrain au-delà des signataires initiaux, ainsi que le déploiement continu de confirmation de Payee.

D’autres orientations sont également attendues lorsque l’organisme de réglementation des systèmes de paiement publiera les résultats de sa dernière consultation. Signe d’une plus grande coopération entre les secteurs public et privé, de nombreuses initiatives de lutte contre la fraude ont été lancées, y compris la solution tactique Mules Insights (MITS), le Protocole bancaire et d’autres. Pour une liste complète, voir le rapport sur les finances du Royaume-Uni, Fraude – les faits, mentionné précédemment.

« De la même manière qu’elle offre aux criminels plus de possibilités, l’innovation technologique nous donne plus de moyens que jamais de contrer les menaces »

En outre, les géants de la technologie sont de plus en plus sous pression pour lutter contre les escroqueries et protéger les victimes. En ce qui concerne l’utilisation de la technologie dans la détection des fraudes, le rapport LexisNexis note que le Royaume-Uni est déjà en avance sur les autres régions dans le déploiement des meilleures pratiques, car les entreprises britanniques utilisent souvent des défenses en couches plutôt que des solutions à un seul point, ce qui les place en tête de la courbe mondiale.

Alors que les interactions en ligne continuent d’augmenter, l’assurance de l’identité de confiance n’a jamais été aussi cruciale. De nombreuses entreprises ont déployé avec succès des outils d’authentification multifactorielle dynamiques, et la biométrie physique est de plus en plus améliorée grâce à des tests de vivacité. À mesure que l’accent est mis sur l’expérience client transparente, la biométrie comportementale gagne en popularité, complétée par des renseignements électroniques et téléphoniques. Par conséquent, l’assurance de l’identité s’enrichit.

De nombreuses entreprises font leurs premiers pas vers la reprise en 2021, stabilisant leurs opérations. La cybercriminalité a coûté 1 milliard de dollars au monde en 2020, et Forrester a récemment identifié un certain nombre de menaces qui pourraient entraver le recouvrement, y compris les menaces d’initiés, le vol d’identité, la prise de contrôle de compte et les attaques de bots.

Pour relever ces défis, les principes fondamentaux de sécurité sont inchangés : déployer des processus conformes à la nouvelle normalité, former les gens à reconnaître les menaces, tirer parti des initiatives de l’industrie et du secteur public, coopérer au sein et entre les industries pour se tenir au courant du paysage des menaces et utiliser la technologie là où elle peut vraiment aider.

Comme l’a expliqué Rebekah Moody, directrice de la planification du marché chez LexisNexis Risk Solutions, dans ma récente interview avec elle : « Il est vraiment important de pouvoir exploiter l’intelligence à chaque point de contact du voyage en ligne du client, non seulement en regardant un moment d’interaction dans le temps – par exemple, un paiement – mais en regardant à travers chaque interaction, depuis le moment où le client ouvre un compte, jusqu’au moment où il se connecte. , ou initier des interactions potentiellement risquées, telles que le changement d’adresse ou d’adresse e-mail, ou l’ajout d’un nouveau numéro de téléphone à leur compte. Tous ces points de compromis sont potentiels.

De la même manière qu’elle offre aux criminels plus d’opportunités, l’innovation technologique nous donne plus de moyens que jamais de contrer les menaces. Nous devrions faire du bon sens et tirer parti de ces innovations dans les cadres appropriés de gestion des risques, de gouvernance et de réglementation. Et peut-être, juste peut-être, nous allons rester quelques pas en avant.

Neira Jones est consultante et conseillère financière, spécialisée dans les paiements, la fintech, la regtech, la cybercriminalité, la sécurité de l’information, la réglementation (PSD2, GDPR et AML) et l’innovation numérique.