Fraude ATO : le FBI alerte sur 262 M$ volés en 2025

Le FBI met en garde contre une explosion de la
fraude ATO, une technique permettant aux cybercriminels
de prendre le contrôle de comptes financiers. Depuis janvier, ces attaques
ont causé plus de 262 millions de dollars de pertes
et généré plus de 5 100 plaintes.

Qu’est-ce que la fraude ATO ?

La fraude ATO (Account Takeover) consiste à accéder
illégalement à un compte bancaire, un service de paie ou un espace
d’épargne santé. Les attaquants volent ensuite des
données sensibles et des fonds.

Ils obtiennent cet accès via des techniques d’ingénierie sociale :

• SMS frauduleux,
• appels téléphoniques,
• e-mails de phishing,
• faux sites web imitant des institutions financières.

Ces méthodes visent à pousser les victimes à
révéler leurs identifiants, y compris les codes
d’authentification multifacteurs (MFA) ou les codes à usage unique (OTP).

Comment les cybercriminels prennent-ils le contrôle des comptes ?

Selon le FBI, le scénario est souvent le même :
un criminel se fait passer pour un employé bancaire, un membre du service
clientèle ou un agent du support. Une fois les identifiants obtenus,
il procède à une réinitialisation du mot de passe
et verrouille le titulaire légitime hors de son compte.

D’autres escroqueries impliquent de faux représentants d’institutions
financières affirmant que des achats frauduleux ont été réalisés,
notamment d’armes à feu. Les victimes sont ensuite dirigées vers un second
cybercriminel se faisant passer pour un agent des forces de l’ordre,
qui récupère des informations de compte supplémentaires.

SEO trompeur, faux sites et redirections malveillantes

Les attaques de fraude ATO utilisent aussi des techniques
de SEO trompeur. Des publicités malveillantes sur les
moteurs de recherche poussent les internautes à cliquer sur des
faux liens menant vers des sites qui imitent des banques
ou des entreprises connues.

L’objectif reste le même : subtiliser les identifiants, prendre le
contrôle des comptes et transférer rapidement les fonds
vers d’autres comptes sous contrôle des attaquants. Les comptes
destinataires sont ensuite liés à des portefeuilles de cryptomonnaies afin
de convertir les fonds en actifs numériques et de brouiller les pistes.

Montée en puissance du phishing dopé à l’IA

Plusieurs entreprises de cybersécurité, dont Darktrace, Flashpoint,
Forcepoint, Fortinet et Zimperium, constatent une forte hausse des
menaces à l’approche des fêtes de fin d’année :

• arnaques Black Friday et fêtes de fin d’année,
• fraude aux QR codes,
• vidage de cartes cadeaux,
• campagnes de phishing imitant des marques comme Amazon ou Temu.

L’intelligence artificielle (IA) permet aux cybercriminels
de créer très facilement des e-mails d’hameçonnage convaincants,
de faux sites web et des publicités sur les réseaux sociaux. Même des
attaquants peu expérimentés peuvent lancer des campagnes qui semblent
fiables et augmentent leur taux de réussite.

Des milliers de domaines malveillants liés aux fêtes

Les chercheurs de Fortinet FortiGuard Labs ont détecté
au moins 750 domaines malveillants sur le thème des fêtes
enregistrés au cours des trois derniers mois. Beaucoup utilisent des mots-clés
comme « Noël », « Black Friday » et « Vente flash ».

Sur la même période, plus de
1,57 million d’identifiants de connexion liés à de
grands sites de commerce électronique ont été collectés sur les marchés
clandestins, à partir de journaux de voleurs d’informations.

Des cybercriminels exploitent également activement des failles de sécurité
dans des plateformes e-commerce telles qu’Adobe/Magento, Oracle E-Business
Suite, WooCommerce, Bagisto et d’autres solutions courantes.

Explosion du phishing mobile et faux sites marchands

Selon Zimperium zLabs, le nombre de sites d’hameçonnage mobile
(mishing) a été multiplié par quatre. Les attaquants abusent de noms de marques
de confiance pour créer un sentiment d’urgence et pousser les victimes à
cliquer, se connecter ou installer de fausses mises à jour.

De son côté, Recorded Future met en garde contre les
arnaques à l’achat, où de faux sites de commerce électronique
servent à voler les données des victimes et à autoriser des paiements
frauduleux pour des biens ou services inexistants. L’entreprise décrit ces
arnaques comme une « menace majeure émergente en matière de fraude ».

Un écopystème sophistiqué du dark web permet aux attaquants de déployer
rapidement cette infrastructure frauduleuse. Les cartes de paiement volées
sont souvent utilisées pour financer des campagnes publicitaires visant à
promouvoir ces arnaques et alimenter un cycle continu de fraude.

Comment se protéger de la fraude ATO ?

Pour se protéger contre la fraude ATO et les attaques
associées, le FBI recommande aux utilisateurs de :

• faire preuve de prudence lorsqu’ils partagent des
  informations personnelles en ligne ou sur les réseaux sociaux ;
• surveiller régulièrement leurs comptes afin de détecter toute
  activité financière suspecte ;
• utiliser des mots de passe uniques et complexes pour chaque service ;
• vérifier attentivement l’URL des sites bancaires avant de se connecter ;
• rester vigilants face aux e-mails, SMS et appels non sollicités ;
• privilégier des méthodes de vérification manuelle pour les opérations sensibles
  (appels de confirmation, validation par SMS).

Comme le souligne Jim Routh, responsable de la confiance chez Saviynt,
la cause profonde de la fraude ATO réside dans l’utilisation
généralisée d’identifiants classiques pour les comptes cloud, alors que
des solutions d’authentification sans mot de passe
existent et offrent une protection bien plus robuste.