Archives par mot-clé : banque

Les fuites d’informations personnelles en Russie : un pays en crise

Au cours des deux dernières années, les principales sources de fuites d’informations personnelles sur les citoyens Russes ont été les magasins en ligne et les établissements médicaux, tandis que les organismes bancaires ne représentaient que 2 % de l’ensemble des fuites.

Stanislav Kuznetsov a décrit la situation en matière de protection des données en Fédération de Russie comme « déplorable », affirmant qu’au cours de cette période, les données personnelles d’au moins 90 % de la population adulte ont été rendues publiques. Cette statistique choquante souligne la vulnérabilité des systèmes de sécurité dans plusieurs secteurs cruciaux.

La majorité des fuites proviennent de secteurs tels que le commerce en ligne et les établissements médicaux, et non des institutions bancaires.

Un pic des fuites en 2023

Le vice-président a souligné que 2023 a été l’année la plus critique pour les fuites de données confidentielles. En 2024, même si le nombre d’incidents a diminué, les conséquences restent importantes. Sberbank prévoit que les dommages économiques liés aux incidents de cybersécurité atteindront environ 1 000 milliards de roubles pour la période 2023-2024. Le montant estimé des vols par les escrocs et cybercriminels en 2024 s’élève à 250 milliards de roubles.

Cette situation alarmante montre que malgré les efforts des institutions financières, la fuite des données et le vol de fonds continuent d’afficher une tendance à la hausse.

L’essor des escroqueries téléphoniques

Entre février et mars 2024, Sberbank a enregistré un pic record de 20 millions d’appels frauduleux par jour. À l’heure actuelle, ce chiffre reste élevé, avec entre 6 et 7 millions d’appels quotidiens. Les escrocs, de plus en plus habiles, perfectionnent leurs techniques et adoptent des approches toujours plus sophistiquées pour tromper leurs victimes. Un représentant d’une institution financière a déclaré qu’au cours des deux dernières années, les données personnelles d’au moins 90 % de la population adulte de la Fédération de Russie étaient devenues librement accessibles sur Internet.

La majorité des appels frauduleux proviennent de numéros masqués ou internationaux, renforçant la difficulté de leur détection par les victimes.

Malgré cela, les systèmes de sécurité des banques bloquent actuellement environ 99 % des tentatives de transfert frauduleux. Cette statistique montre l’efficacité relative des mesures prises par les institutions financières, mais aussi la nécessité de rester vigilant face aux nouvelles méthodes des criminels.

Amende en cas de fuite de données

Le chef du ministère russe du Développement numérique, Maksut Shadayev, a déclaré que la décision d’introduire des amendes en cas de fuite de données confidentielles serait prise par la Douma d’État et le gouvernement de la Fédération de Russie avant la fin de cette année. Le ministre a fait la déclaration correspondante lors de son discours lors de l’événement en cours SOC Forum 2024.

Maksut Shadayev a déclaré qu’aujourd’hui le volume total des fuites d’informations personnelles sur les citoyens russes dépasse toutes les limites acceptables. À cet égard, on s’attend à ce que les autorités russes décident d’introduire des amendes négociables pour de tels incidents de sécurité de l’information avant la fin de 2024, d’autant plus que le projet de loi correspondant a déjà été adopté en première lecture à la Douma d’État.

Le ministre du Développement numérique, lors de son discours, a également souligné qu’en Russie, il était depuis longtemps nécessaire d’introduire des mesures économiques sérieuses visant à empêcher les fuites de données confidentielles. De plus, nous parlons non seulement des données personnelles des citoyens russes, mais également des informations sur les entreprises, qui présentent également un grand intérêt pour les fraudeurs et les cybercriminels. Maksut Shadayev est convaincu que les entreprises devraient assumer une responsabilité financière importante dans les fuites d’informations confidentielles, surtout si elles concernent les données personnelles des citoyens russes.

Pour rester informé des évolutions en matière de cybersécurité, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

Des banques enregistrent de faux noms de domaine de la concurrence

Intéressante méthode que celle utilisée par plusieurs banques pour éduquer leurs employés aux fraudes électroniques : enregistrer de faux noms de domaine.

DataSecuritybreach.fr a constaté que la banque russe, Raiffeisenbank avait enregistré le nom de domaine domclk.ru en décembre 2023. Un détail intéressant car l’url exploite deux lettres de moins que l’adresse du service d’achat immobilier de la Sberbank « Domclick » (domclick.ru).

En novembre 2023, Sberbank a enregistré le domaine a1fastrah.ru, qui diffère de l’adresse de la société Alfastrakhovanie (alfastrah.ru) par un caractère : à la place de la lettre latine l, le chiffre 1 est utilisé. Une technique de modification d’adresse web que ZATAZ avait révélé, il y a deux ans, avec de fausses adresses Disney, Nike ou encore Air France et Assurance Maladie.

Raiffeisenbank a enregistré cette adresse à usage interne afin d’effectuer des tests de formation sur la sécurité de l’information pour les employés de la banque. Le domaine n’est pas destiné à être utilisé à d’autres fins, y compris commerciales. À quelles fins la Sberbank a-t-elle besoin d’une adresse similaire au domaine Alfastrakhovanie ? Personne ne sait, pour le moment !

L’idée n’est pas nouvelle, mais pour une fois qu’elle saute aux yeux, surtout signée par des banques. Selon des chiffres différents, proposés par moultes entreprises cyber, le risque phishing serait à hauteur de 60 à 80% des cyber attaques à l’encontre des entreprises. Il est vrai que le maillon le plus vulnérable du système de sécurité est l’humain. Et attention, le phishing peut utiliser un mail, un compte et un contenu officiel. ZATAZ a rencontré, dernièrement, des pirates qui s’invitaient dans les comptes électroniques de société pour modifier le contenu original des courriels. Ils remplaçaient soit le RIB, soit proposaient un lien vers une page d’hameçonnage. Le vrai compte mail devenant un cheval de Troie quasiment indétectable. L’adresse étant validée par les instances humaines et informatiques, comme Mailing black, Etc.

Plus de 500 millions de données volées à 80 millions de russes !

Près d’un million de cybercriminels russophones opèreraient actuellement dans le darknet. Ils auraient réussi à piéger plus de 80 millions de Russes.

Lobbying interessant à suivre que celui de Stanislav Kuznetsov, vice-président de la Sberbank, la plus importante banque Russe. Alors que cette entreprise financière va placer des caméra biométrique sur l’ensemble des distributeurs de billets du pays, le chef d’entreprise vient d’indiquer que la Russie était noyée de pirate. Selon Stanislav Kuznetsov, le darknet compte de nombreux escrocs russophones.

« Ces criminels peuvent opérer depuis différents pays, échappant souvent aux autorités locales et aux institutions financières » explique le banquier. Il est vrai qu’un certain nombre de pirates Russes ont été arrêtés aux USA, au Canada ou dans d’autres parties du monde. Bref, un discours amplement utilisé par d’autres pays. Cependant, et le blog ZATAZ l’a démontré il y a déjà bien longtemps, la légende du « pirate russe qui n’attaque pas la russie » est une vaste blague [1] [2]. Il suffit de regarder quelques groupes tels que Kraken, Sprut, Etc. pour découvrir l’ampleur du  phénomène.

Stanislav Kuznetsov a souligné que plus de 500 millions de lignes de données avaient déjà été volées à 80 millions de Russes. Il précise toutefois que de nombreuses données sont redondantes et que différentes informations personnelles de citoyens russes apparaissent dans différentes lignes. Certains enregistrements contiennent le nom complet, d’autres le numéro de téléphone, tandis que d’autres encore comprennent des noms de famille, des prénoms, des numéros de carte bancaire, des adresses de résidence, des lieux de travail, des postes occupés, des véhicules enregistrés au nom d’une personne, etc.

Bref, rien de bien nouveau, sauf que Kuznetsov suit le mouvement politique local : récupérer l’argent des pirates ; faire interdire le darknet ; accentuer la cyber surveillance ; bloquer les VPN ; Etc.

Selon Stanislav Kuznetsov, le nombre d’attaques contre son institution a diminué de 20 à 30 % ces derniers mois. CQFD : il y a beaucoup de pirates, mais chez Sberbank, il y a une meilleure protection, donc venez chez Sberbank !

Pendant ce temps, une vaste escroquerie impliquant le vol de cryptomonnaie a été découverte visant les résidents de la Russie et des pays de la CEI.

La société Trend Micro a publié un rapport sur les activités du groupe de cybercriminels nommé Impulse Team, spécialisé dans les escroqueries liées aux cryptomonnaies. Selon les chercheurs, ce groupe opère depuis 2018 et cible les résidents de la Russie et des pays de la CEI.

Le schéma des escrocs consiste à créer de faux sites web et des applications pour le trading de cryptomonnaies, se faisant passer pour des plateformes légitimes. Les cybercriminels attirent ensuite des victimes via les réseaux sociaux, la publicité, le spam et d’autres canaux. Les victimes s’inscrivent sur les faux sites et effectuent des dépôts en cryptomonnaie, qui sont ensuite transférés sur les portefeuilles des escrocs.

Tous les sites découverts sont liés au programme d’affiliation Impulse Project, promu sur plusieurs forums criminels russophones. Pour devenir membre du projet, les nouveaux affiliés doivent contacter Impulse Team et s’abonner au service.

Selon les chercheurs, Impulse Team utilise diverses techniques pour convaincre les victimes d’investir davantage d’argent ou de ne pas retirer leurs fonds. Par exemple, ils proposent des bonus, des avantages, des consultations et du soutien. Les fraudeurs simulent également des transactions commerciales et des bénéfices sur les comptes des victimes pour créer l’apparence d’un trading réussi. Si une victime essaie de retirer ses fonds, elle se heurte à divers obstacles, tels que l’obligation de payer des frais, des impôts ou des amendes.

Plus de 150 faux sites web et applications liés à Impulse Team ont été découverts. 170 portefeuilles Bitcoin et Ethereum sur lesquels les dépôts des victimes étaient réceptionnés mis à jour. Le montant total des fonds volés s’élèverait à environ 50 millions de dollars.

La sécurité des clients des banques améliorée avec la DSP2

La nouvelle directive des services de paiements (DSP2) est entrée en vigueur il y a maintenant deux ans, le 13 janvier 2018, dans le but notamment d’introduire de nouvelles exigences en matière de sécurité et de protéger les consommateurs. Dans cet objectif, elle impose une authentification forte lors des paiements en ligne afin de réduire l’ampleur de la fraude.

Andrew Shikiar, Executive Director de l’Alliance FIDO, explique comment la DSP2 améliore la sécurité des clients des banques au quotidien, et dans quelle mesure les acteurs traditionnels peuvent augmenter leur niveau de sécurité tout en adoptant davantage de services digitaux : « La nouvelle directive sur les services de paiements (DSP2) a été introduite pour améliorer la sécurité des transactions en ligne et réduire la fraude, en exigeant des institutions financières qu’elles déploient une authentification multifactorielle pour certains scénarios en fonction du montant de la transaction et du niveau de risque. Les consommateurs n’ont peut-être pas encore remarqué de grands changements dans leurs expériences de services bancaires en ligne ; L’Autorité Bancaire Européenne ayant en effet retardé la pleine mise en conformité des solutions d’authentification pour les paiements en ligne jusqu’en décembre 2020 pour donner au secteur plus de temps pour se préparer. Toutefois, la DSP2 signifiera en fin de compte que les consommateurs bénéficieront d’une expérience beaucoup plus sécuritaire lors de transactions bancaires en ligne. Par exemple, l’authentification forte du client (SCA), dans le cadre de la nouvelle directive, obligera les banques et les autres fournisseurs de services financiers à mettre en œuvre, à tester et à vérifier leurs mesures de sécurité, ce qui permettra d’améliorer les processus de gestion des fraudes.« 

Une révision des processus d’authentification traditionnels

Les banques traditionnelles sont pour leur part, à présent en concurrence avec de nombreux challengers qui opèrent exclusivement en ligne, tout en faisant face à des changements réglementaires tels que la DSP2, qui exige une révision des processus d’authentification traditionnels. Mais la bonne nouvelle est qu’il existe maintenant des normes qui offrent un moyen facile à déployer pour répondre aux exigences liées à l’authentification forte du client, tout en satisfaisant la demande des organisations et des utilisateurs en matière de simplicité dans le cadre des transactions.

Biométrie et DSP2

De plus, les banques ont la possibilité de tirer parti des appareils déjà entre les mains de la plupart des consommateurs, tels que les smartphones et les ordinateurs portables avec lecteur biométrique, pour répondre aux exigences de l’authentification forte requise par la DSP2. Cela peut aider les banques à offrir le niveau de commodité supérieur auquel s’attendent les utilisateurs des services bancaires en ligne d’aujourd’hui.

La sécurité, la confidentialité et la convivialité peuvent véritablement aller de pair, sans introduire une foule de complications supplémentaires pour les banques et les fournisseurs de services financiers. Les acteurs les plus performants du secteur seront ceux qui prendront des mesures pour saisir cette occasion sans tarder.

Etat de la sécurité des applications des plus grandes banques du monde

Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.

Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.

Vulnérabilités de sécurité

Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.

La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.

100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.

Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web ». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).

Pendant ce temps, dans le commerce 2.0

De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.

Anubis : cheval de Troie bancaire décortiqué

Anubis 2 est apparu dans le « paysage des menaces » en 2017 en tant que cheval de Troie bancaire en location (disponible pour les fraudeurs dans des forums undergrounds), l’auteur et créateur du malware se surnomme « maza-in ». Si ce dernier a disparu des radars, son outil malveillant est toujours en action.

En tant que malware bancaire, Anubis incite ses victimes à fournir des informations personnelles et sensibles, telles que les logins bancaires, des codes de sécurité bancaire et même des informations de carte de crédit. Mais ce logiciel malveillant va au-delà des attaques « overlay » bien connues, utilisées par les chevaux de Troie bancaires, car il combine des fonctionnalités avancées telles que le streaming d’écran du téléphoné infecté, l’accès à tous les fichiers à distance, l’enregistrement sonore, le key-logging et même un proxy réseau, ce qui en fait un malware bancaire efficace, mais également un potentiel outil pour espionnage.

D’un point de vue opérationnel, Anubis peut être considéré comme l’un des chevaux de Troie bancaires Android les plus utilisés depuis fin 2017. En ce qui concerne les banques Françaises, les suivantes sont ciblées : Axa, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, Crédit Agricole, Crédit Mutuel, LCL, Palatine ou encore la Société Générale.

L’auteur a disparu, par son code malveillant

Au cours du premier trimestre 2019, l’auteur et créateur du cheval de Troie a disparu, laissant les clients existants sans assistance ni mises à jour; mais le risque demeure et pourrait même augmenter. Les campagnes d’infection d’Anubis comptent parmi les plus importantes jamais enregistrées pour les malwares bancaires : De nombreuses victimes ne sont pas conscientes du fait que le malware ne se déguise pas comme l’app de la banque, il se déguise principalement en tant qu’application tierce et reste inaperçu par les usagers. Anubis se fait par exemple passer pour : de faux jeux mobiles, de fausses mises à jour de logiciels, de fausses applications postales, de fausses applications Flash Player, de fausses applications utilitaires, de faux navigateurs et même de fausses applications de réseau social et de communication.

Les caractéristiques du cheval de Troie en font une menace importante : Habituellement, les chevaux de Troie bancaires effectuent principalement des attaques de type « overlay » afin de collecter les informations personnelles puis volent les SMS pour acquérir les codes bancaires, mais Anubis va plus loin que ça avec la streaming de l’écran du téléphone infecté, l’accès de fichiers à distance (accès au stockage du téléphone), l’enregistrement sonore, le key-loggign et même un proxy réseau (permettant au criminel de se connecter à la banque via le téléphone infecté).

300 banques dans le monde ciblées

Les campagnes d’infection d’Anubis ciblent en moyenne, plus de 300 banques dans le monde: La liste observée dans les campagnes Anubis contient environ 360 cibles, contenant la plupart des banques les plus grandes et les plus connues dans le monde, mais également des applications de communication et de réseautage social largement utilisées, ce qui signifie que personne n’est vraiment protégée, car même si une victime ne fait pas de banque en ligne le malware abusera d’autres applications (Liste complète de cibles en Annexe du blog).

Les malware qui deviennent orphelins ne sont pas toujours un bon signe : Beaucoup de gens pourraient penser que lorsque le propriétaire / auteur du malware disparaît, les opérations s’arrêtent… Malheureusement, ce n’est pas toujours le cas, surtout pas avec Anubis. Bien que l’acteur ait disparu, le cheval de Troie est toujours actif et le pire est que son code a été divulgué/fuit, ce qui pourrait amener de nombreux autres criminels à utiliser le programme malveillant. Toute l’analyse complète à découvrir sur Threat fabric.

Cybersécurité : Les Chevaux de Troie bancaires mobiles atteignent un niveau historique

Une société de cybersécurité constate lors de ces trois derniers mois que les chevaux de troie ont atteint le haut de la pile des cyber casse-tête.

Cybersécurité – Le nombre de packs d’installation pour les services bancaires mobiles – permettant d’apporter des modifications qui aident les attaquants à éviter la détection par les solutions de sécurité – a atteint plus de 61 000. Cela représente un sommet historique ; Plus du triple par rapport au premier trimestre de 2018, et plus du double par rapport au premier trimestre de 2017.

Les Chevaux de Troie mobiles sont les malwares les plus impopulaires, créés pour voler de l’argent directement depuis les comptes en banque.

Les Etats-Unis, la Russie et la Pologne sont les 3 pays avec la plus grande proportion d’utilisateurs ciblés par les malwares bancaires mobiles.

Le Cheval de Troie Hqwar est la principale source de cette croissance, avec plus de la moitié des modifications enregistrées relatives à ce malware.

De tels chiffres pour les malwares bancaires mobiles peuvent s’expliquer par l’augmentation de l’intérêt pour les malwares mobiles de manière générale (+ 421 000 sur Q2).

61 045

C’est le nombre de chevaux de Troie bancaires mobiles enregistrés sur le 2e trimestre 2018. Le pic le plus haut jusqu’alors datait de Q4 2016 et n’atteignait pas 40 000.

351 913 075

URLs uniques reconnues comme malveillantes (+24% par rapport à Q1) par des composants antivirus web.

215 762

C’est le nombre de tentatives d’infections par malware ayant pour but de voler de l’argent.

962 947 023

Attaques malveillantes en provenance de ressources en ligne de 187 pays du monde repoussées par Kaspersky ce trimestre (+20% par rapport à Q1).

RGPD cas d’école banque

RGPD cas d’école banque – La banque du Commonwealth a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs !

RGPD cas d’école banque – L’une des plus grandes violations de la vie privée des services financiers vient de toucher l’Australie et plus précisément la banque du Commonwealth. Cette dernière a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs ! Des informations courant de 2004 à 2014. Le fautif, un sous-traitant qui a perdu plusieurs lecteurs de bandes contenant les informations financières.

Une « perte » qui a eu lieu en 2016.

Angus Sullivan, responsable des services bancaires de la Commonwealth Bank, a déclaré à BuzzFeed News que sa société « prenait la protection des données des clients très au sérieux et les incidents de ce type ne sont pas acceptables.« 

Les relevés bancaires perdus contiennent des renseignements personnels potentiellement sensibles et peuvent brosser un portrait détaillé des affaires financières et personnelles d’une personne. Ils pourraient être détournés par des pirates ou exploités par des sociétés commerciales qui pourraient utiliser les données à des fins illégitimes ou contraires à l’éthique. Pas de mot de passe et autres code PIN dans les bandes perdues.

BuzzFeed News a appris que la violation s’est produite en 2016, lorsque le sous-traitant de la banque, Fuji Xerox, mettait hors service un centre de stockage de données où certaines données de clients de la Banque Commonwealth étaient stockées. Le 25 mai 2018 en France, il faudra alerter la CNIL, les clients… et en cas de faute avérée, risquer une amende pouvant atteindre 4% de son chiffre d’affaire.

Piratage de banques polonaises, le voleur passe par le régulateur national

Piratage de banques ! Plusieurs institutions financières polonaises ont confirmé l’infiltration de leurs systèmes informatiques par un malware.

Piratage de banques ! Étonnante attaque informatique, surtout quelques jours après l’arrestation de neuf pirates Russes du groupe Lurk, professionnels de l’infiltration bancaire, dans les serveurs de plusieurs institutions financières polonaises. L’aspect intéressant de cette attaque, la partie social engineering. Les escrocs ont utilisé le régulateur financier polonais, la KNF, pour diffuser plusieurs logiciels malveillants.

Un porte-parole de la KNF a confirmé que les systèmes internes du régulateur avaient été compromis par des pirates « d’un autre pays« . Une fois dans les serveurs de la KNF, les pirates ont modifié un JavaScript (JS), puis ils ont écrit aux banques, leur proposant de venir visiter KNF. Une usurpation d’identité particulièrement efficace. Le JS malveillant téléchargeait plusieurs codes pirates, dont un cheval de Troie, dans les machines des visiteurs ciblés.

Le « bombe 2.0 » était caché sur des sites basés en Suisse (sap.misapor.ch) et en Inde (eye-watch.in). Afin d’éviter la propagation des logiciels malveillants, les autorités ont pris la décision de fermer l’ensemble du réseau de la KNF.

Du côté des banques, les personnels informatique des plus importantes banques du pays ont remarqué le trafic anormal associé à la présence d’exécutables sur plusieurs serveurs. Ironiquement, le KNF est l’organisme de réglementation qui surveille et promeut des mesures de sécurité a adopter dans les banques polonaises.

Banque JP Morgan : Arrestation d’un 3ème pirate

Un troisième suspect présumé responsable de la violation des données de JP Morgan Chase, en 2014, arrêté à l’aéroport de New York.

En 2014, la banque JP Morgan subissait l’un des plus importants piratages informatiques de ces dernières années. 76 millions de clients et sept millions d’entreprises se retrouvaient dans les mains de malveillants. Deux ans plus tard, le FBI et l’US Secret Service New York Field Office (USSS) de l’Oncle Sam continuent de traquer les pirates. Deux sont déjà sous les verrous. Gery Shalon et Ziv Orenstein ont été arrêtés en Israël en juillet 2015. Un troisième vient d’être arrêté par les autorités américaines à l’aéroport JF Kennedy (New York).

Joshua Samuel Aaron, 32 ans, connu sous le pseudonyme de Mike Shields, pouvait rester en Russie et échapper à l’extradition. Ressortissant américain, il a préféré se rendre « pour répondre de manière responsable aux accusations » annonce son avocat. Il a été inculpé de fraude et piratage en novembre 2015. Gery Shalon signait ses fraudes, dont en France, sous les pseudonymes de Garri Shalelashvili, Gabi, Philippe Mousset et Christopher Engeham. Ziv Orenstein utilisait aussi des pseudonymes, dont John Avery et Aviv Stein.

Aaron risque 5 ans de prison pour piratage informatique, 5 ans pour conspiration numérique, 5 ans pour piratage, 5 ans pour fraude, 20 ans pour « Securities Market Manipulation Scheme« , 20 ans pour vol, 20 ans pour fraude, 15 ans pour vol de documents, 2 ans pour vol d’identité et 20 ans pour manipulation bancaire illégale. Bref, Aaron et ses amis risquent 117 ans de prison ferme !

Un cheval de Troie a leurré les clients de 18 banques françaises

Les Français sont de plus en plus mobiles et veulent pouvoir effectuer certaines activités quotidiennes où qu’ils se trouvent. Par exemple, selon un récent sondage du Conseil Supérieur de l’Audiovisuel (CSA), 92 % des personnes possédant un téléphone portable l’utilisent pour consulter leurs comptes bancaires. Bien que ces applications soient utiles à de nombreux égards, elles représentent aussi des portes dérobées pour les hackers à l’affût de données sensibles.

D’ailleurs, une déclinaison du cheval de Troie GM Bot, appelé aussi Acecard, Slembunk et Bankosy, vise actuellement les clients de plus de 50 banques dans le monde, dont 18 en France, y compris BNP Paribas, la Société Générale ou encore Le Crédit Agricole. Rien que le trimestre dernier, GM Bot a pris pour cible des centaines de milliers d’utilisateurs de portables. Nikolaos Chrysaidos, Responsable des menaces et de la sécurité mobile chez Avast, revient sur les procédés de ce malware nuisible et sur les façons de s’en protéger : « GM Bot est un cheval de Troie qui ressemble, à première vue, à une application inoffensive. Il est surtout téléchargeable sur des plateformes tierces de téléchargement d’applications qui disposent de contrôles de sécurité bien moins pointus que sur ceux des stores d’Apple et de Google. GM Bot se déguise souvent en une application dont le contenu est réservé aux adultes ou à un plug in, comme Flash ».

Une fois téléchargée, l’icône de l’application disparait de la page d’accueil de l’appareil, mais cela ne signifie pas pour autant que le programme malveillant a quitté le terminal. L’application demande alors constamment des identifiants de connexion divers et variés. S’il parvient à se les procurer, le malware peut rapidement causer de sérieux dégâts.

Doté des identifiants de connexion, GM Bot peut contrôler tout ce qui se passe sur l’appareil infecté. Le malware s’active quand une application préalablement listée s’ouvre, liste comprenant principalement des services bancaires. Lorsque l’utilisateur ouvre l’une de ces applications, GM Bot affiche un cache ressemblant à la page d’accueil au lieu d’ouvrir la page de l’appli légitime. Berné, la victime rentre ses identifiants sur ce cache, et ses informations sont directement envoyées aux cybercriminels. Cette technique d’ingénierie sociale est très souvent utilisée pour tromper l’utilisateur et l’inciter à révéler ses données personnelles.

Pire encore ! GM Bot peut intercepter les SMS et est donc en mesure de voler les codes d’authentification à deux facteurs lors d’une transaction sans que le propriétaire ne s’en rendre compte. Ainsi, le malware récupère et partage des informations tels que le cryptogramme de sécurité au verso de la carte bancaire, les codes reçus par SMS, ou encore les numéros de téléphones.

Le code source du cheval de Troie GM Bot a fuité en décembre 2015, il est donc désormais à la portée de n’importe qui possédant quelques notions d’informatique.  Les cybercriminels peuvent même aller plus loin et ajuster le code du malware afin d’obtenir plus d’informations. Cela signifie que de nouvelles versions aux capacités changeantes sont constamment créées. Dans certains cas, par exemple, les hackers infiltrés demandent aux victimes d’envoyer les scans recto-verso de leur carte d’identité.

Heureusement, il existe des solutions efficaces qui détectent et bloquent le cheval de Troie et tout type de logiciel malveillant avant que celui-ci ne compromette l’appareil de l’utilisateur. Toutefois, il est également crucial de télécharger toutes ses applications depuis des plateformes sûres et sécurisées, telles que l’App Store d’Apple et le Play Store de Google. Les autres sources proposent certes des applications qu’on ne trouve pas toujours sur les plateformes de confiance ou offrent des applis habituellement payantes, mais cela est bien souvent trop beau pour être vrai. Enfin, les utilisateurs doivent être vigilants et ne pas donner les droits administrateurs de leurs applis à n’importe qui. Cette mesure est capitale car la personne qui détient ces droits est alors en mesure de contrôler l’appareil via l’appli en question.

La sécurité des données des services financiers passera par le cloud

Le secteur des Services financiers se tourne progressivement vers le cloud afin de proposer de nouveaux produits, services et offres personnalisées sans avoir à concéder d’investissements initiaux de capitaux. Malgré cela, l’idée de céder le contrôle de son infrastructure et de ses données clients sensibles à des fournisseurs de services cloud suscite encore des inquiétudes, notamment vis-à-vis des risques de conformité et de sécurité. On constate néanmoins les prémices d’un changement.

Suite à la dernière décision de la Competition and Markets Authority (CMA) visant à stimuler la concurrence dans le secteur bancaire, les établissements sont désormais tenus de numériser complètement leurs systèmes d’ici 2018. Ce jugement intervient après que la Financial Conduct Authority (FCA) a ouvert la voie pour que l’ensemble du secteur puisse tirer parti du cloud tant que les « mesures de protection appropriées » seront en place. Le cloud computing est donc amené à occuper une place de choix dans l’avenir de l’industrie bancaire.

En revanche, son adoption non sécurisée présente des risques énormes pour les sociétés de services financiers, avec notamment des dégâts potentiels considérables aux niveaux opérationnel et de leur réputation. Près de 20 millions de documents financiers auraient ainsi fait l’objet de fuites en 2015. Pour tirer pleinement parti de solutions cloud, les organisations du secteur et leurs clients doivent avoir l’assurance que leurs données sensibles soient en sûreté. Les premiers avertissements sont d’ailleurs clairs : le dernier rapport Shadow Data de Blue Coat a révélé que 87 % des applications cloud utilisées par les entreprises ne chiffrent pas correctement leurs données. Cela pose un problème de taille pour le secteur des services financiers, dont 85 % des données sensibles sont stockées dans les nuages. Pour tirer pleinement parti de ces solutions, ces organisations et leurs clients doivent avoir l’assurance que leurs données sensibles soient en sûreté.

Des données personnelles prêtes pour le cloud
Les sociétés de services financiers se tournent aujourd’hui vers le cloud pour remplacer leurs systèmes traditionnels et optimiser leurs opérations. Beaucoup sont actuellement en train d’y migrer différentes fonctions de manière à bénéficier de fonctionnalités de pointe, et d’une évolutivité et d’une flexibilité de premier plan. Ces organisations espèrent en effet profiter de l’association de fonctionnalités internes et propriétaires avec des systèmes cloud grâce à des API dernier cri.

Compte tenu des enjeux, nombreuses sont celles qui font preuve de prudence à l’idée de céder les données clients sensibles actuellement sur leurs systèmes locaux traditionnels à des fournisseurs de services cloud. Elles s’interrogent notamment et à juste titre sur la capacité de ces derniers à gérer de façon adéquate l’emplacement destiné au stockage et au traitement de ces données.

Toute incapacité à garantir leur sécurité des données nuit en effet considérablement à la confidentialité, et augmente les risques de sécurité informatique et de conformité. Les fuites et les incidents de sécurités concernant des données réglementées peuvent aussi être à l’origine de coûts élevés, de sanctions et de risques pour la réputation des entreprises. Selon l’enquête 2016 Cost of Data Breach Study pubiée par Ponemon, le coût moyen d’une fuite par document dans le secteur financier s’élève à 221 $, soit plus que les 158 $ perdus en moyenne par les autres secteurs. En outre, de nouvelles réglementations, comme le Règlement général européen sur la protection des données (GDPR), obligent les sociétés du secteur à alerter les clients affectés par une fuite de données. Les dégâts causés à ces marques peuvent alors se traduire en pertes de bénéfices et de capitaux.

Sécuriser les données sensibles dans le cloud
Les organisations souhaitant sécuriser leurs informations clients sensibles de façon optimale doivent identifier celles pouvant résider sans problème dans le cloud. Les données sensibles ou réglementées doivent ainsi être classées en vertu de leurs niveaux de sensibilité. Des audits peuvent être effectués par la suite afin de confirmer que les stratégies de sécurité et de maîtrise des risques proposées ont été mises en place. Cependant, les organisations doivent pour cela s’assurer d’avoir une visibilité, et le contrôle des données dans le cloud. Mais la plupart d’entre elles n’ont malheureusement pas les ressources techniques nécessaires. Impossible de réaliser des audits ou d’effectuer des classifications de données lorsque l’on n’est même pas en mesure de déterminer quelles données sont envoyées vers le cloud.

Il est nécessaire de définir les règles et de gérer l’accès aux données sensibles issues des systèmes, processus et individus. Pour sélectionner les systèmes de contrôle appropriés et assurer ainsi la protection des données confidentielles accédées via le cloud, les équipes informatiques et de conformité doivent établir le parcours des informations tandis qu’une variété d’applications et d’individus y accèdent et les traitent à différentes fins.

Enfin, toutes les organisations devraient avoir des stratégies de confidentialité et de sécurité concises, afin notamment de distinguer les données à protéger des autres. Il est par ailleurs crucial que ces pratiques internes, conçues pour garantir le contrôle des données, ne soient pas contournées ou compromises, en particulier lors du partage via un fournisseur de services cloud.

Plus qu’un effort symbolique
Les données doivent impérativement être sécurisées lors de leur transit vers et en depuis le cloud, ainsi que lors de leur traitement dans le cloud, comme c’est généralement le cas. Elles doivent également l’être pendant qu’elles sont « au repos » (stockées) et « en mouvement » (en transit entre l’utilisateur et l’application cloud). La principale problématique pour les entreprises réside souvent au niveau du service lui-même. Mais les organisations doivent malgré tout s’assurer que les données envoyées vers le cloud soient protégées « en mouvement », avec des technologies de chiffrement et de tokénisation tout au long du traitement dans les nuages.

Le chiffrement encode les données de sorte que seules les parties autorisées puissent les lire. Il s’agit de la technologie standard de protection des données. Bien qu’il ne permette pas d’éviter leur interception, le chiffrement renforcé empêche aux individus non autorisés de les visualiser. Afin de respecter les meilleures pratiques en la matière, les organisations doivent adopter une forme de chiffrement reconnue et établie. Enfin, bien que les données chiffrées soient protégées, les organisations doivent tenir compte du fait que la nature réversible de ce processus permet de dévoiler les valeurs des données originales en cas de compromission de la clé de chiffrement.

Avec la tokénisation, les champs des données se voient attribuer une valeur de substitution appelée token (jeton). Lorsque les données doivent être lues, ce jeton est de nouveau remplacé par la valeur à laquelle elles sont associées. Le principal avantage de la tokénisation est qu’elle supprime entièrement les données originales du document ou de la forme une fois qu’elles quittent le réseau. Tout lien mathématique entre la valeur du jeton de remplacement et les données sensibles originales est ainsi supprimé. Contrairement aux données chiffrées, il est impossible d’intercepter des données dans le cloud et de pirater un jeton afin d’en révéler le contenu, car les données ne sont en réalité pas présentes. Cette approche offre également d’énormes bénéfices en matière de respect des règles de conformité sur la localisation des données.

Faire face aux problématiques actuelles
Beaucoup de sociétés de services financiers semblent hésiter à tirer parti des nouvelles fonctionnalités d’applications cloud de premier plan par crainte à l’idée de laisser le contrôle de leurs données sensibles et précieuses à un tiers. Il est aisé de comprendre pourquoi compte tenu des répercussions potentielles. Les solutions de sécurisation des applications cloud (CASB) et les plateformes de protection des données cloud telles que Blue Coat Elastica (qui appartient désormais à Symantec) aident à apaiser certaines de ces inquiétudes.

Ces plateformes constituent une solution de sécurité flexible grâce à laquelle les entreprises peuvent protéger leurs informations sensibles avant qu’elles ne quittent leur réseau. Elles leur permettent également d’identifier et de contrôler les données partagées dans l’ensemble de leur organisation par leurs salariés au sein d’applications cloud. Les solutions de protection des données cloud en assurent la sécurité en chiffrant et en tokénisant les informations sensibles. En les associant à d’imposants protocoles de sécurité dédiés, les organisations seront en mesure de maintenir leurs services cloud et de faire preuve de l’évolutivité réclamée par leurs utilisateurs. Il est difficile de prédire l’avenir, mais une chose est sûre : celui des banques passera par le cloud. (Par Robert Arandjelovic, directeur de la stratégie de sécurité de Blue Coat)

Lurk : business des codes malveillants

Pourquoi le groupe cybercriminel Lurk monétise l’exploit kit Angler, son outil le plus puissant ? Bienvenue dans le business des codes malveillants !

Au début de l’été, Kaspersky Lab a participé à l’arrestation de membres du gang Lurk, suspectés d’avoir dérobé plus de 45 millions de dollars, grâce à des codes malveillants, auprès d’un certain nombre d’entreprises et de banques en Russie. Il s’agit du plus grand groupe cybercriminel financier capturé ces dernières années. Cependant, il ne s’agissait pas du seul méfait de Lurk. D’après l’analyse de l’infrastructure informatique qui se cache derrière le malware du même nom, ses auteurs ont développé et louent leur kit d’exploitation de vulnérabilités à d’autres cybercriminels. Le kit Angler est un jeu de programmes malveillants capable d’exploiter les failles de sécurité de logiciels répandus afin d’installer en toute discrétion des malwares supplémentaires sur les PC.

Angler : un outil puissant pour la propagation de tous types de malwares
Le kit d’exploitation Angler est, depuis plusieurs années, l’un des outils les plus puissants disponibles sous le manteau pour les pirates. La dernière fois que l’on a entendu parler d’Angler remonte à la fin de 2013, lorsque le kit a été proposé en location. Plusieurs groupes cybercriminels s’en sont servi pour propager différents types de malwares : adwares, malwares bancaires, ou ransomwares. Ce kit d’exploitation a été utilisé activement par le groupe à l’origine de CryptXXX, l’un des ransomwares les plus virulents et dangereux sur Internet, de TeslaCrypt et d’autres menaces. Angler a également été utilisé pour la propagation du cheval de Troie bancaire Neverquest, conçu pour attaquer près d’une centaine de banques différentes. Les activités d’Angler se sont interrompues juste après l’arrestation du groupe Lurk.

Les services de banques en lignes principalement visés par des codes malveillants
Comme l’a montré l’étude réalisée par les experts en sécurité, le kit Angler a été créé à l’origine dans un unique but : fournir au groupe Lurk un moyen de diffusion fiable et efficace, lui permettant de cibler les PC à l’aide de son malware bancaire. Etant un groupe très fermé, Lurk s’est efforcé de conserver la maîtrise de son infrastructure cruciale au lieu d’en sous-traiter certaines parties à l’instar d’autres groupes. Cependant, en 2013, la situation a changé et la bande a ouvert l’accès à son kit pour tous ceux disposés à payer.

Nous supposons que la décision de Lurk d’ouvrir l’accès à Angler a été en partie motivée par une nécessité financière. A l’époque où le groupe a mis Angler en location, la rentabilité de sa principale activité – le cybervol d’entreprises – était en baisse sous l’effet d’une série de mesures de sécurité mises en place par les développeurs de logiciels de banque à distance, ce qui a rendu la tâche beaucoup plus difficile pour ces pirates. Or, à cette même époque, Lurk devait entretenir à ses frais une infrastructure réseau et un “personnel” considérables. Le groupe a donc décidé d’élargir ses activités et y est parvenu dans une certaine mesure. Tandis que le cheval de Troie bancaire Lurk menaçait exclusivement des entreprises russes, Angler a été employé dans des attaques visant des utilisateurs du monde entier. Son développement et son support – n’était que l’une des facettes de l’activité de Lurk. En l’espace de plus de cinq ans, le groupe est passé de la création de malware très puissant pour le vol automatisé de fonds avec des logiciels de banque à distance, à des stratagèmes évolués impliquant des fraudes à base d’échange de carte SIM et des spécialistes du piratage de l’infrastructure interne des banques.

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Fraude au président ? une banque belge piégée à hauteur de 70 millions d’euros

La banque coopérative Crelan vient de révéler un piratage qui lui a coûté 70 millions d’euros.

Ca n’arrive pas qu’aux autresLa fraude au président, DataSecurityBreach.fr vous en parle malheureusement très souvent. L’idée, voler de l’argent à une entreprise en l’incitant à faire volontairement le virement. Les pirates, derrière ce type d’attaque, collectent un maximum d’informations sur leur cible. Identité, adresse, documents, postes occupés par les salariés… même les répondeurs des boites mails peuvent servir de source d’information.

La banque coopérative belge Crelan vient de goûter à ces escrocs particulièrement chevronnés. D’abord parce qu’ils ont la connaissance technique de l’environnement de l’entreprise qu’ils vont attaquer. Ensuite, ils ont l’aplomb pour appeler au téléphone, mettre la pression aux interlocuteurs par courriels. Ils se font passer pour un créancier, un client de la société et incitent un employé à valider des virements. Pour cette banque aux 288.000 clients, les pirates ont réussi à se faire virer pour 70 millions d’euros. « Aucun client n’a été touché. » confirme la banque à la presse Belge. C’est une enquête interne qui a découvert le pot aux roses. Il était malheureusement bien trop tard. L’enquête du parquet a été lancé. Il va falloir remonter à l’argent perdu entre la Moldavie, la Chine, Israël et les poches des voyous. Crelan indique avoir « renforcé les procédures de sécurité interne« .

Un nouveau malware qui cible les services financiers

Découverte par le SOC (Security Operating Center) de F5 Networks et détectée par les solutions de sécurité F5 WebSafe en novembre 2015, l’attaque Tinbapore représente un risque de plusieurs millions de dollars.

L’enquête des experts en sécurité de F5 révèle que Tinbapore est une nouvelle variante du malware Tinba qui avait jusqu’ici ciblé les organismes financiers en Europe, au Moyen-Orient, en Afrique (EMEA) et aux US. Le malware Tinba original a été écrit en employant la programmation en langage assembleur et s’est fait remarqué pour sa très petite taille (20 Ko avec tous les Webinjects et la configuration). Le malware utilise principalement quatre bibliothèques du système lors de l’exécution : ntdll.dll, advapi32.dll, ws2_32.dll et user32.dll. Sa principale fonctionnalité est de se raccorder à tous les navigateurs de la machine infectée afin de pouvoir intercepter les requêtes HTTP et effectuer des injections web.

Les nouvelles versions améliorées du malware utilisent un algorithme de génération de domaine (DGA – domain generation algorithm), ce qui rend le malware beaucoup plus persistant et lui donne la possibilité de revenir en activité, même après que le serveur de commande et de contrôle (C&C) soit coupé. Cette nouvelle variante de Tinba – Tinbapore – créée désormais sa propre instance explorer.exe qui fonctionne en arrière-plan. Elle diffère de la plupart des versions précédentes car elle vise activement les organismes financiers de l’Asie-Pacifique (APAC), un territoire inexploré pour Tinba.

L’iris comme mot de passe pour retirer de l’argent

Le groupe bancaire américain CitiGroup teste des distributeurs de billets proposant le contrôle du client par l’iris.

La société bancaire Citigroup vient de lancer un test géant d’un système de biométrie équipant ses distributeurs de billets. Mission, plus de mot de passe à taper, mais montrer ses yeux, et plus précisément son iris pour être identifié. Une technologie proposée par Diebold.

Comme l’indique le Wall Street Journal, une sécurité plus fiable que l’empreinte digitale. Deux machines sont testées à New-York. Il faut posséder un téléphone portable et l’application de Citigroup. Une fois votre iris validé par votre téléphone, un QR code apparaît à l’écran de l’appareil qu’il faut ensuite présenter au distributeur de billets. Une technologie qui semble lourde pour quelques billets, mais qui ne réclame plus de cartes bancaires, de code à taper, … Elle a été baptisée Irving.

La seconde technologie, Janus, rajoute une communication d’information par courriel et/ou SMS. Pour rappel, Diebold propose aussi des urnes informatiques pour les élections… qui ont été montrées du doigt, en 2008, suite à des problèmes de sécurité.

https://www.youtube.com/watch?v=awIM_M00tSA

Le FBI lance une alerte sur les cartes à puce… puis la retire

Les banques, plus fortes que le FBI ? L’agence fédérale américaine a lancé une alerte au sujet des cartes bancaires à puce. Un message retiré à la demande des institutions financières.

Le FBI de San Diego a fait fort, vendredi 9 octobre. Une alerte publique, comme l’agence en produit très souvent, indiquait que les cartes bancaires avec puces pouvaient encore être la cible des pirates. Dans son document intitulé « Les nouvelles cartes de crédit avec micropuces peuvent encore être vulnérables face aux fraudeurs » [New microchip-enabled credit cards may still be vulnerable to exploitation by fraudsters] Mulder et Scully expliquaient simplement que le fait d’avoir une puce et un mot de passe ne devait pas empêcher les utilisateurs des nouvelles cartes bancaires (avec une puce et un mot de passe) de faire attention à leur bout de plastique. Les banques n’ont pas aimé l’alerte. Bilan, le FBI a retiré son avertissement et a été invité à revoir sa copie.

Une banque d’investissement infiltrée

Un pirate informatique annonce le piratage de la banque d’investissement IC Securities. Plusieurs milliers de données diffusées.

IC Securities est une banque d’investissement et courtier en valeurs mobilières spécialisé sur l’Afrique. Un pirate informatique a décidé de jeter son dévolu sur cette dernière et a diffusé plusieurs milliers de données appartenant à des clients. Parmi les documents, diffusés dans un espace du Darknet, que la rédaction de zataz.com a pu consulter : des adresses mails, des numéros de téléphones, les « pseudos » accolés aux identités des clients, des adresses physiques, des clés clients « Confirm Key« , les dates de présences dans la banque, certaines datant de 2006.

Mots de passe, identités, mails ont été diffusés par le pirate.

A noter la présence, aussi, de « PassKey » et mots de passe (chiffrés). De nombreuses identités installées au Ghana, Accra, Bermude… ou dans des bases militaires. Le pirate en a profité pour diffuser, dans la foulée, les identifiants de connexion des administrateurs du site : mails et mots de passe. Le pirate a diffusé les informations début septembre. Il n’indique pas les autres données qu’il a en sa possession et la date de son intrusion. Nous avons tenté de joindre la banque qui n’a pas donné suite à nos questions.

La France, 1ère cible des attaques DDoS de botnet en Europe au 2ème trimestre 2015

Les trois quarts des ressources attaquées au deuxième trimestre de 2015 par des botnets se situent dans 10 pays seulement, selon les statistiques du système Kaspersky DDoS Intelligence.

En tête du classement, les États-Unis et de la Chine enregistrent un grand nombre d’attaques à cause du faible coût d’hébergement de ces pays. Cependant, les changements dans les autres positions du classement et le nombre croissant de pays affectés par ce type d’attaque prouvent qu’aucun territoire n’est sécurisé face aux attaques DDoS. Le nombre de pays où les ressources attaquées ont été localisés a augmenté de 76 à 79 au cours du deuxième trimestre de 2015 ; Dans le même temps, 72% des victimes se situaient dans seulement 10 pays ; Cependant, ce chiffre a diminué comparé à la période précédente, avec 9 victimes sur 10 présentes dans le top 10 au premier trimestre.

Le top 10 du deuxième trimestre incluait la Croatie, tandis que les Pays-Bas ont quitté le classement. La Chine et les Etats-Unis ont gardé leurs positions dominantes ; la Corée du Sud a fait descendre le Canada de sa troisième place. La cause en est une explosion des activités de botnets, la plupart ciblant la Corée du Sud. En outre, la proportion d’attaques localisées en Russie et au Canada a diminué comparé au trimestre précédent.

Une forte augmentation du nombre d’attaques a été observée dans la première semaine de mai, tandis que la fin du mois de juin montrait la plus faible activité. Le pic d’attaques par jour (1960) a été enregistré le 7 mai ; Le jour le plus « calme » a été le 25 juin avec seulement 73 attaques enregistrées ; Dans le même temps, la plus longue attaque DDoS du trimestre a duré 205 heures (8,5 jours).

Concernant la technologie sur laquelle sont basées les attaques, les cybercriminels impliqués dans le développement de botnets DDoS investissent de plus en plus dans la création de botnets d’appareils de systèmes de réseaux comme les routeurs et modems DSL. Ces changements annoncent sûrement une augmentation du nombre d’attaques DDoS utilisant des botnets à l’avenir.

Alerte du CERT US

Le CERT USA a lancé une alerte à ce sujet, le 17 août 2015. Même alerte pour l’Internet Crime Center (IC3) qui rajounte que des campagnes d’extorsion menacent les entreprises avec un déni de service (distribué DDoS). Si les entreprises ne paient pas une rançon, ils sont attaqués. La menace vient généralement par mail, et les rançons varient. Elles sont généralement exigées en Bitcoin. Dans les attaques connues et référencées par l’IC3, elle se composait principalement de Discovery Protocol (Simple SSDP) et NTP (Network Time Protocol). La plupart des attaques ont duré une à deux heures avec 30 à 45 gigaoctets de données envoyées. Le FBI pense que plusieurs personnes sont impliquées dans ces campagnes et que les attaques vont s’étendre d’autres industries en ligne. Selon MarketWatch, un site hors service peut coûter jusqu’à 100.000 dollars de l’heure pour certains établissements financiers. Des attaques de plus en plus simples à mettre en place, sans aucune connaissance technique préalable.

Un pirate informatique arménien condamné à de la prison ferme

Davit Kudugulyan, la tête pensante d’une groupe de pirates informatiques arméniens condamné à de la prison ferme pour piratage de données bancaires.

Davit Kudugulyan était le chef d’une petite bande de pirates informatiques qui aura occasionné plusieurs millions de pertes financières aux banques américaines. L’homme a été accusé, et condamné, pour le vol d’informations financière appartenant à des centaines de personnes aux USA.

Davit a plaidé coupable devant un tribunal du comté de New York, mercredi. En Mars 2015, Kudugulyan et trois autres suspects, Garegin Spartalyan, Hayk Dzhandzhapanyan et Aram Martirosian, étaient arrêtés à New York après avoir utilisé des centaines de clones de cartes bancaires piratées.

Après avoir plaidé coupable, Kudugulyan a été condamné à neuf ans de prison et payer 750.000 dollars d’amende. Lors de son arrestation dans un hôtel de New-York, les policiers vont retrouver 200.000 $ dans la chambre de Kudugulyan. (TH)

La Banque d’Angleterre nous rappelle pourquoi il est important de vérifier les destinataires avant d’envoyer un courriel

Un courriel envoyé par la Banque d’Angleterre sur les méthodes pour ne pas répondre à la presse sur le désengagement européen du Royaume-Unis termine chez les mauvaises personnes.

La Banque d’Angleterre (The Bank of England) a diffusé un message interne expliquant à ses employés les bonnes méthodes pour communiquer un courrier électronique. « Chaque fois que vous envoyez un e-mail, vous devez vous assurer que vous l’envoyez à la bonne personne. Et ne pas oublier la double vérification juste avant de cliquer sur la touche envoyer« .

Un mode d’emploi rigolo surtout quand il s’agit d’un rappel à la suite d’une bourde interne. La banque a accidentellement envoyé un courriel qui contenait des informations vitales sur un projet qui indiquait les implications financières de la séparation du Royaume-Uni de l’Union européenne. Ce courriel était censé être envoyé à quatre cadres dirigeants de la banque. Raté, il s’est retrouvé dans la boite mails de personnes qui n’en demandaient pas tant ! Dans la missive, des méthodes pour éviter les questions de la presse. (BM)

Des pirates dans le réseau bancaire Isabel

Des pirates informatiques auraient visé le système bancaire belge Isabel.

Le nombre de cyberattaques contre les utilisateurs de toutes sortes de plateformes de banque en ligne est en nette augmentation. Les utilisateurs Isabel aussi peuvent être victimes d’actes de fraude ou de maliciels (logiciel malveillant). Malgré toutes les mesures de sécurité prises par Isabel SA et les banques, la sécurité des transactions n’est possible qu’avec la collaboration active des utilisateurs. Cependant, il semble que des pirates ont trouvé le moyen de nuire à cette entreprise forte de 35 000 clients professionnels.

Isabel SA est le principal prestataire belge de services en matière de PC Banking destinés aux utilisateurs professionnels. Les grandes entreprises, comme Breetec, des PME et des services publics utilisent ce système. Isabel c’est annuellement 400 millions de transactions pour une valeur de 2.400 milliards d’euro. Bref, de quoi attirer les pirates informatiques.

Selon la justice belge, des malveillants auraient mis en place un virus qui se serait attaqué à 35 000 entreprises belges. Des enquêtes ont été ouvertes par les parquets de Bruxelles et de Furnes. D’après le journal De Tijd, plusieurs sociétés auraient été victimes de ponctions pécuniaires orchestrées par le code pirate.

Isabel indique de son côté que le PC de l’utilisateur est contaminé par un maliciel (logiciel malveillant) au travers d’une pièce jointe proposé par un courriel. Le fraudeur prend le contrôle du PC à distance. Il effectue des transactions frauduleuses et les fait signer par l’utilisateur. « Le mode d’attaque ne change pas dans l’environnement Isabel. La seule différence se situe au moment où le fraudeur veut faire signer la transaction : à ce moment, le lecteur de carte émet un bip. Si l’utilisateur considère la demande du lecteur comme suspecte et n’introduit pas son code PIN, aucun problème. » Malheureusement, si l’utilisateur a le réflexe d’introduire son code PIN, il signera sans le savoir une transaction frauduleuse. C’est donc bien l’utilisateur qui signe des transactions qui seront ensuite exécutées par la banque.

Breetec, l’une des victimes, a été en mesure de retracer l’une des transactions qui s’est terminée dans une banque situé à Dubaï.

La fraude à la carte bancaire représente 544 millions d’euros de perte en France

D’après Check Point Software Technologies Ltd, spécialiste de solutions en sécurité informatique, les Européens perdent chaque année plus de 1,7 milliards d’euros dû aux vols des données présentent sur les cartes bancaires. La France, avec 544 millions de perte en 2013 se positionne au 3ème rang derrière le Royaume-Uni et les Etats-Unis (Le Royaume-Uni et la France représentent 62% de la fraude à la carte bancaire en Europe).

La situation la plus critique en matière de sécurité bancaire est aux États-Unis. Chaque année, l’économie américaine perd environ 5 milliards de dollars. L’année dernière, une seule attaque menée contre Home Depot a permis de compromettre 56 millions de cartes bancaires, un nombre record. L’année précédente, en 2013, des pirates ont compromis plus de 40 millions de cartes bancaires en dérobant des données bancaires à la chaîne de supermarchés Target.

Les consommateurs anglais et français sont parmi les plus vulnérables. En 2013, ces deux pays ont perdu respectivement 674 millions et 544 millions d’euros. Additionnées ensemble, ces pertes représentent plus de 62% de la fraude à la carte bancaire en Europe. Cependant, la France enregistre une des plus faibles progressions du taux de vol parmi tous les pays d’Europe. D’importantes pertes ont également été relevées en Allemagne (147 millions d’euros) et en Espagne (116 millions d’euros), mais ces chiffres sont en baisse depuis quelques années. La Russie se détache du lot avec des pertes en 2013 (131 millions d’euros) qui représentaient une augmentation de 28% par rapport à l’année précédente.

Les terminaux de paiement sont menacés

La menace la plus importante pour la sécurité des cartes bancaires réside dans les attaques menées contre les terminaux de paiement. En exploitant des vulnérabilités logicielles et en utilisant des logiciels malveillants, les pirates sont en mesure d’utiliser des accès à distance pour dérober des données lues par les terminaux durant les transactions. Ce type d’attaque a été utilisé contre les réseaux de Home Depot et de Target aux États-Unis. Il convient de noter que les clients aux États-Unis sont particulièrement vulnérables à ces menaces en raison des systèmes de paiement obsolètes qui y sont utilisés. Selon des études récentes, près d’un tiers des attaques de logiciels malveillants menées contre des terminaux de paiement dans le monde se sont déroulées aux États-Unis !

Les experts soulignent également que les systèmes de sécurité des cartes bancaires à puce sont d’une importance secondaire contre les attaques de logiciels malveillants. Les pirates peuvent utiliser partout dans le monde les numéros de cartes bancaires dérobés aux États-Unis. Les cartes bancaires européennes, bien qu’équipées de technologies de sécurité plus avancées (puces et codes PIN), sont facilement utilisées aux États-Unis où la protection est uniquement limitée à la bande magnétique des cartes.

Les Européens sont de plus en plus préoccupés par les vols de cartes bancaires, d’autant plus depuis que les prix des cartes bancaires dérobées ne cessent d’augmenter chaque année sur le marché noir. Les experts de Check Point estiment le prix d’une carte Visa ou MasterCard dérobée aux États-Unis est d’environ 4 dollars, tandis que les données d’une carte bancaire européenne peuvent valoir jusqu’à cinq fois plus, soit 20 dollars !

25 pirates arrêtés dans une opération internationale

Les autorités roumaines ont arrêté vingt-cinq cybercriminels qui s’apprêtaient à s’attaquer aux données bancaires de millions de personnes.

Les pirates présumés agissaient en Roumanie, mais aussi en Belgique, Canada,  Colombie, République dominicaine, Égypte, Estonie, Allemagne, Indonésie, Italie, Lettonie, Malaisie, Mexique, Pakistan, Russie, Espagne, Sri Lanka, Thaïlande, Ukraine, Émirats arabes unis, Royaume-Uni, Etats-Unis. Data Security Breach a appris que la France a été concernée par ce « gang », sans en avoir pour le moment, la confirmation officielle.

Les présumés pirates s’attaquaient aux banques et fabriquaient des clones de cartes bancaires. Ils auraient retiré plus de 15 millions de dollars via des transactions frauduleuses effectués dans 24 pays différents. Si 25 membres de cette équipe ont été arrêtés, il en resterait 27 dans la nature. C’est la Direction des enquêtes sur la criminalité organisée et le terrorisme (DIICOT), le FBI roumain. Pour éviter la détection, les pirates accéléraient le processus en faisant plusieurs petites transactions sur une courte période, généralement le week-end.

En 2013, par exemple, les pirates ont pu retirer 9 millions de dollars via des guichets automatiques situés dans tout l’archipel du Japon. Le 2 décembre 2013, 42000 transactions, via des Distributeurs de billets automatiques, dans 15 villes roumaines différentes, pour un montant de 5 millions de dollars en espèces.

Dimanche 26 avril, les autorités roumaines ont exécuté 42 mandats de perquisition à travers six villes, saisissant des ordinateurs portables, des téléphones mobiles, et 150,000€ en en espèces, des lingots d’or et des peintures. Une opération qui fait suite à l’annonce des services secrets américains à l’encontre de la campagne CyberHeist qui avait permis à des pirates de mettre la main sur 45 millions de dollars en janvier 2013. En mai 2013, 8 pirates (qui semblent liés à gang roumain) se retrouvaient dans les mains de la justice américaine. Ils avaient retiré 2,8 millions de dollars en quelques heures, via des distributeurs de billets de New-York.

Les pirates d’Anunak s’attaquent aux banques russes

Des pirates informatiques baptisés Anunak se sont spécialisés dans les attaques numériques à destination des banques russes. 20 millions d’euros auraient été volées.

La société néerlandais Fox-IT, spécialisée dans la sécurité informatique, a annoncé avoir terminé une enquête sur un groupe de pirates qu’elle a baptisé Anunak. Ces « visiteurs » ne visent que les banques russes. Méthode employée, courriels piégés et infiltration/installation d’outils malveillants comme des keylogger [logiciel d’espionnage, NDR] qui ont pour mission d’intercepter la moindre frappe sur un clavier.

En 2013, les voleurs 2.0 se seraient invités dans une cinquantaine de banques. D’après la société FOX It, les pirates auraient ainsi pu manipuler des distributeurs de billets. Deux entreprises bancaires piratées ont perdu leur licence bancaire suite aux méfaits d’Anunak.

Piratage de carte bancaire NFC

Intercepter les données d’une carte bancaire NFC, de la science fiction indique les lobbyistes des banques ? Un Français avait expliqué les dangers du NFC. Des chercheurs britanniques démontrent comment voler de l’argent risque de devenir un jeu d’enfant.

Les cartes sans contact permettent d’acheter des biens sans taper le moindre mot de passe. Il suffit juste de passer la carte à quelques centimètres d’un lecteur dédié pour payer (moins de 20€). Des cartes bancaires qui « balancent » dans les airs, via des ondes radios, données bancaires et validation de la transaction.

En France, Renaud Lifchitz, chercheur en sécurité informatique français mondialement connu et reconnu, avait mis à mal la sécurité du sans fil de nos CB. Depuis peu, une équipe de l’Université de Newcastle, au Royaume-Unis, a mis à jour une faille de sécurité considérée comme grave dans le système sans contact.

Lors de la conférence ACM (Conference on Computer and Communications Security) les ingénieurs ont expliqué comment il est facile de mettre en place un faux terminal de point de vente à partir d’un téléphone mobile (un concept qu’avait déjà démontré Renaud Lifchitz). A partir de ce « point de vente », les chercheurs ont montré qu’il était possible de créer une opération financiére pouvant atteindre 999,999.99 dollars, soit bien loin des 20€ normalement autorisés. « Il a fallu moins d’une seconde pour que la transaction soit approuvée » explique l’équipe britannique.

Pour contrer ce genre d’attaque, nous vous conseillons fortement de vous équiper d’un espace de protection que vous installez dans votre porte-feuille. La société Stop-RFID.fr propose plusieurs solutions de sécurisation physique de votre CB.

Visa, montré du doigt dans cette alerte, indique de son côté qu’il n’y a aucune cause d’inquiétude. « Nous avons examiné les conclusions de Newcastle dans le cadre de nos efforts constants sur la sécurité et la fraude des paiements. Les chercheurs ne tiennent pas compte des nombreuses mesures de protection mises en place par Visa« . Pour Visa, cette attaque ne fonctionne qu’en laboratoire, pas dans la vraie vie. (BBC)

9 banques touchées par un piratage informatique de masse

La banque JP Morgan Chase et ses 83 millions de clients ne seraient pas les uniques victimes d’une infiltration informatique d’envergure. Neuf autres banques seraient concernées.

ZATAZ.COM expliquait, la semaine dernière, la communication de crise mise en place à son piratage par la banque américaine JP Morgan Chase. Elle avouait, enfin, avoir été piratée et infiltrée. 83 millions de ses clients seraient dans les mains de malveillants. D’après la banque, aucunes données bancaires n’ont pu être volées, seules les identités, adresses, téléphones ont pu être subtilisés. Autant dire que cela n’est pas rassurant. Si JP Morgan a pris le taureau par les cornes et communiquer sur le sujet, avouons le, légèrement aidée par la presse locale, il en va autrement pour 9 autres entreprises bancaires qui auraient, elles aussi, été touchées par cette attaque informatique.

Parleront-elles ? Pas évident, la loi américaine n’impose pas une communication rapide auprès des autorités en cas de piratage et autres fuites de données. Le New York Times affirme que neuf autres banques ont été touchées par ce piratage très ciblé. L’attaque de JP Morgan aura durée plusieurs semaines et il semblerait que la technique employée par ce qui semble être des pirates russes aurait été exploitée aussi dans des banques européennes. Le FBI enquête et tente de savoir si les « intrus » se sont attaqués aux entreprises financières pour subtiliser les contenus sensibles ou simplement comme mode de répression aux blocages de plusieurs comptes bancaires de patrons et proches de Poutine à la suite du conflit entre la Russie et l’Ukraine.

Pendant ce temps…
Les chercheurs en sécurité de Proofpoint ont mis à jour un groupe de cybercriminels russes, qui s’appliquaient à cibler les informations de connexion bancaires associées à plusieurs banques en Europe et aux États-Unis. Le rapport de Proofpoint indique que ce groupe de cybercriminels aurait infecté plus de 500.000 PC de manière rapide et invisible. Le botnet Qbot (aussi appelé Qakbot), comprenant plus de 500 000 ordinateurs infectés, a permis aux attaquants d’accéder à 800 000 transactions bancaires en ligne et de dérober les informations de connexion liées. 59 % des sessions ainsi compromises appartenaient à cinq des plus importantes banques américaines. Les criminels se sont introduits sur les sites WordPress à l’aide de listes d’identifiants administrateur qu’ils ont achetées, et grâce auxquelles ils ont pu installer un logiciel malveillant sur des sites reconnus, afin d’infecter leurs visiteurs. Beaucoup de ces sites proposaient des newsletters ce qui a permis d’augmenter la portée de l’attaque grâce à la diffusion de contenus légitimes mais infectés. 52 % des systèmes infectés étaient des systèmes Windows XP alors que, selon les dernières estimations, seuls 20 à 30 % des ordinateurs professionnels et personnels sont dotés de Windows XP. Microsoft a cessé de proposer des correctifs ou mises à jour Windows XP en avril 2014. Les ordinateurs ainsi infectés étaient également utilisés pour proposer, à d’autres organisations criminelles, un service de proxy payant.

Un pirate informatique Moldave jugé en Suisse

Un pirate informatique Moldave, qui avait piraté une banque américaine de Floride, vient d’être condamné par la justice Suisse.

L’homme âgé de 38 ans vient d’écoper d’une amende de 1,5 millions de francs Suisses, de quelques mois de prison et se retrouve avec une expulsion vers les Etats-Unis qui risquent de lui coûter encore plus cher. A noter que la justice a pu saisir 12 millions de francs (plus de 9 ,8 millions d’euros) que le pirate possédait sur six comptes bancaires qu’il possédait.

Avec 6 passeports en poche, le voleur numérique aurait, via ses actes de piratages et ses complices, transféraient quelques 200 millions de francs Suisse (+164 millions €). Il avait réussi à pirater des comptes bancaires de la Warrington Bank en piégeant une caissière, via un mail malveillant. Il lui avait dérobé ses identifiants de connexion qui avaient permis par la suite à opérer des dizaines de paiements frauduleux. (Le Matin)