Si vous utilisez une banque en ligne et choisissez des mots de passe faibles ou réutilisés, il y a de bonnes chances que votre compte soit encombré par des cyber-victimes, même si votre banque propose une authentification à plusieurs facteurs dans le cadre de sa procédure de connexion. Cette histoire traite de la manière dont les escrocs abusent de plus en plus des services d’agrégation financière tiers.

Les escrocs explorent en permanence les sites Web des banques pour trouver des comptes clients protégés par des mots de passe faibles ou recyclés. Le plus souvent, l’attaquant utilisera des listes d’adresses e-mail et de mots de passe volés en masse sur des sites piratés, puis utilisera ces mêmes informations d’identification pour voir s’ils permettent l’accès en ligne à des comptes de plusieurs banques.

Des systèmes encore vulnérables

À partir de là, les voleurs peuvent extraire la liste des connexions réussies et les alimenter dans des applications qui s’appuient sur des interfaces de programmation d’applications (API) de l’un des nombreux agrégateurs de données financières personnelles, qui aident les utilisateurs à suivre leurs soldes, leurs budgets et leurs dépenses dans plusieurs banques.

Voici les inconvénients des banques en ligne :

Un certain nombre de banques qui offrent aux clients une authentification multi-facteurs – telle qu’un code à usage unique envoyé par SMS ou par une application – ont choisi de donner à ces agrégateurs la possibilité d’afficher des soldes et des transactions récentes sans exiger que le service d’agrégateur fournisse ce service.

Les pratiques actuelles

Actuellement, les principaux agrégateurs et / ou applications qui utilisent ces plates-formes stockent des identifiants de banque et se connectent de manière interactive à des comptes consommateurs pour synchroniser périodiquement les données de transaction.

De la manière dont cela fonctionne aujourd’hui, vous, l’agrégateur ou l’application, stocke les informations d’identification cryptées et les présente à la banque.