Archives par mot-clé : bancaire

Piratage de cartes de crédit prépayées

La justice belge enquête sur une fraude à la carte bancaire prépayée. Plusieurs centaines de cas déjà référencés.

Une faille a-t-elle était découverte dans les cartes de crédit prépayées belges ? Selon les journaux belges Gazet van Antwerpen et Het Belang van Limburg, des pirates informatiques auraient mis la main sur plusieurs centaines de cartes de crédit prépayées. Des CB qui ne demandent pas à être connectées directement à un compte en banque. Ces cartes se rechargent. Pas besoin de fournir une pièce d’identité pour en acquérir une.

En Belgique, Axa, Belfius et bpost proposent ce type de service. En France, Veritas, Ukash, NeoCash ou encore Carte Zero existent sur un marché comptant plusieurs dizaines de concurrents. Les pirates auraient réussi à manipuler les cartes prépayées de plusieurs établissements financiers. Phishing de clients ou attaque ciblée ? La justice belge n’a pour le moment aucune réponse. A suivre ! (RTBF)

Piratage de carte bancaire NFC

Intercepter les données d’une carte bancaire NFC, de la science fiction indique les lobbyistes des banques ? Un Français avait expliqué les dangers du NFC. Des chercheurs britanniques démontrent comment voler de l’argent risque de devenir un jeu d’enfant.

Les cartes sans contact permettent d’acheter des biens sans taper le moindre mot de passe. Il suffit juste de passer la carte à quelques centimètres d’un lecteur dédié pour payer (moins de 20€). Des cartes bancaires qui « balancent » dans les airs, via des ondes radios, données bancaires et validation de la transaction.

En France, Renaud Lifchitz, chercheur en sécurité informatique français mondialement connu et reconnu, avait mis à mal la sécurité du sans fil de nos CB. Depuis peu, une équipe de l’Université de Newcastle, au Royaume-Unis, a mis à jour une faille de sécurité considérée comme grave dans le système sans contact.

Lors de la conférence ACM (Conference on Computer and Communications Security) les ingénieurs ont expliqué comment il est facile de mettre en place un faux terminal de point de vente à partir d’un téléphone mobile (un concept qu’avait déjà démontré Renaud Lifchitz). A partir de ce « point de vente », les chercheurs ont montré qu’il était possible de créer une opération financiére pouvant atteindre 999,999.99 dollars, soit bien loin des 20€ normalement autorisés. « Il a fallu moins d’une seconde pour que la transaction soit approuvée » explique l’équipe britannique.

Pour contrer ce genre d’attaque, nous vous conseillons fortement de vous équiper d’un espace de protection que vous installez dans votre porte-feuille. La société Stop-RFID.fr propose plusieurs solutions de sécurisation physique de votre CB.

Visa, montré du doigt dans cette alerte, indique de son côté qu’il n’y a aucune cause d’inquiétude. « Nous avons examiné les conclusions de Newcastle dans le cadre de nos efforts constants sur la sécurité et la fraude des paiements. Les chercheurs ne tiennent pas compte des nombreuses mesures de protection mises en place par Visa« . Pour Visa, cette attaque ne fonctionne qu’en laboratoire, pas dans la vraie vie. (BBC)

Fraude bancaire : une histoire de Luuuk

Les experts de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab ont découvert les preuves d’une attaque ciblée contre les clients d’une grande banque européenne. Selon les fichiers journaux du serveur utilisé par les auteurs de l’attaque, il semblerait qu’en l’espace d’à peine une semaine, des cybercriminels aient dérobé plus d’un demi-million d’euros sur des comptes au sein de l’établissement bancaire. Les premiers signes de cette campagne de fraude ont été détectés le 20 janvier 2014 lorsque les experts de Kaspersky Lab ont repéré un serveur de commande et de contrôle (C&C) sur le réseau. Le tableau de bord du serveur a révélé l’existence d’un cheval de Troie destiné à siphonner les comptes des clients de la banque.

Sur le serveur, les experts ont également trouvé des journaux de transaction, détaillant les montants prélevés et les comptes piratés. Au total, ce sont plus de 190 victimes qui pourraient être recensées, la plupart résidant en Italie et en Turquie. Selon ces informations, les sommes volées sur chaque compte vont de 1 700 à 39 000 euros. La campagne durait depuis au moins une semaine au moment de la découverte du serveur C&C, ayant commencé au plus tard le 13 janvier 2014. A ce moment-là, plus de 500 000 euros avaient été dérobés. Deux jours après cette découverte par l’équipe GReAT, les cybercriminels avaient fait disparaître toute trace qui aurait permis de remonter jusqu’à eux. Cependant, les experts estiment que cela est probablement lié à des modifications de l’infrastructure technique employée par cette campagne malveillante, dénommée The Luuuk, plutôt qu’à son interruption.

« Peu après la détection de ce serveur C&C, nous avons contacté les services de sécurité de la banque et les pouvoirs publics, en leur remettant tous les éléments en notre possession », précise Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab.

Outils malveillants employés
Dans le cas de The Luuuk, les experts ont des raisons de penser que d’importantes données financières ont été interceptées automatiquement et que des transactions frauduleuses ont été exécutées dès que les victimes se sont connectées à leurs comptes bancaires en ligne. « Sur le serveur C&C, nous n’avons trouvé aucune information indiquant quel programme malveillant spécifique a été utilisé dans cette campagne. Cependant, de nombreuses variantes existantes de Zeus (Citadel, SpyEye, IceIX, etc.) possèdent la capacité nécessaire. Nous pensons donc que le malware employé en l’occurrence pourrait être une variante de Zeus injectant du code Web sophistiqué chez ses victimes », explique Vicente Diaz.

Techniques de détournement de fonds
L’argent volé a été transféré sur les comptes des escrocs de manière assez inhabituelle. Nos experts ont remarqué une originalité dans l’organisation des « mules », c’est-à-dire des comparses qui reçoivent une partie du butin sur des comptes spécialement créés à cet effet et retirent l’argent à des distributeurs. Il s’avère que plusieurs groupes distincts de « mules » se sont vus chargés du transfert de différents montants, l’un étant responsable des sommes de 40 000 à 50 000 euros, un autre de 15 000 à 20 000 et un troisième de 2 000 euros au maximum. « Ces écarts dans les montants confiés aux différentes mules pourraient refléter divers degrés de confiance dans chacune. Nous savons que les membres de ces réseaux dupent souvent leurs complices et disparaissent avec l’argent retiré. Les instigateurs de The Luuuk peuvent donc se couvrir contre ce risque en constituant différents groupes plus ou moins fiables et en leur confiant des sommes plus ou moins élevées », conclut Vicente Diaz. Le serveur C&C lié à The Luuuk a été fermé peu après le début de l’enquête. Cependant, le niveau de complexité de cette opération de type MITB (man in the browser) laisse supposer que les auteurs de l’attaque vont continuer à rechercher de nouvelles victimes.

Hausse de la fraude bancaire en France

La dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) annonce plus de 700.000 piratages bancaires en France, par an. Voilà qui devient intéressant. Les chiffres de la dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) montre qu’il y aurait eu une hausse de 43% des piratages de données bancaires, en France, entre 2010 et 2013. Plus de 700.000 victimes se sont déclarées.

Le rythme des arnaques à la carte bancaire en France ne cesserait d’augmenter indique le Figaro à la suite de cette étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) relative aux « débits frauduleux sur les comptes bancaires ». Des faits déclarés par des victimes lors d’une enquête « cadre de vie et sécurité » lancée par l’Insee. 14.500 ménages ont été interrogés pour cette enquête.

En 2010, 500.000 cas de fraudes bancaires avaient été annoncés. Trois ans plus tard, 200.000 nouveaux se sont invités dans ce compteur qui ne cesse d’augmenter. A noter que le rapport officiel de l’Observatoire de la Sécurité des Cartes de Paiement (OSCP) sur ce sujet doit être publié en juillet prochain. En 2012 (le site n’affiche aucun rapport pour 2013, ndr) l’OSCP annonçait un taux de fraude pour l’année 2011 à 0,077 % « en légère augmentation pour la quatrième année consécutive« . Cela correspondait à un montant total de fraude de 413,2 millions d’euros (contre 0,074 % et 368,9 millions d’euros en 2010).