Health-ISAC surveille une nouvelle forme de fraude où des acteurs malveillants exploitent les mécanismes de mots de passe à usage unique (OTP) par SMS et appel vocal utilisés lors de la création de comptes, de l'inscription aux portails patients, de l'enregistrement en télémédecine et des processus d'authentification multifacteur (MFA). Les attaquants créent en masse de faux comptes, puis abusent des fonctions de renvoi d'OTP et de réinitialisation de mot de passe pour générer un grand nombre de SMS et d'appels vocaux vers des numéros surtaxés ou internationaux coûteux qu'ils contrôlent.
Cette technique engendre des pertes financières directes dues à l'augmentation des coûts de télécommunications, aux interruptions de service potentielles et à l'atteinte à la réputation auprès des opérateurs et des patients. Il est fort probable que les organismes de santé dont les flux de mots de passe à usage unique (OTP) sont peu protégés et qui disposent d'une couverture mondiale par SMS/voix soient particulièrement exposés.
Recommandations : Examiner les implémentations OTP, mettre en œuvre une limitation du débit et des contrôles des destinations à haut risque, et établir une surveillance des télécommunications et une détection des anomalies pour le trafic OTP.
