Archives de catégorie : Banque

Banque, Cybersécurité

Le Maroc s’allie au Qatar contre les pirates informatiques

Le secrétariat général du gouvernement marocain vient d’annoncer un accord entre le Royaume du Maroc et le Qatar. Ce protocole couvre, en plus de la lutte contre les trafics d’armes, d’êtres humains, d’immigration clandestine, de contrebande, de drogues, d’argent, des actions et coopérations pour contrer les piratage informatiques, les adeptes du skimming (piratage de distributeur de billets) et du vol de données électroniques. L’accord institue également une collaboration maroco-qatarie dans les domaines de lutte contre les crimes financiers et les violations des droits de propriété intellectuelle. Un accord signé jusqu’en 2018. Un accord intéressant quelques jours après l’arrestation d’un pirate informatique Marocain, présumé proche d’Al Qaida. Un voleur de données bancaires qui aurait détourné de l’argent qu’il aurait envoyé ensuite en Syrie.

Banque, escroquerie, Phishing, Social engineering

Prudence au Phone phishing

Un commentaire

Des pirates informatiques, se faisant passer pour votre banque, n’hésite pas à vous appeler au téléphone pour se faire passer pour votre conseiller financier.

Deux personnes âgées, basées dans le centre-ouest de la France, viennent de faire les frais d’une technique bien rodée, le voice phishing ou phone phishing. Les deux victimes vivent à Thouars et à Nueil-les-Aubiers dans le 79. Étonnamment, les escrocs ont attaqué deux clients de la même agence bancaire. Les pirates, dans ce cas, ne se sont pas fait passer pour la banque mais pour l’opérateur Orange. L’excuse, une mise à jour des informations bancaires des interlocuteurs.

Attention, Data Security Breach des preuves de la même attaque sous forme d’appel de conseillers financiers. La technique est la suivante. Une personne vous contacte en expliquant qu’il vous reste de l’argent sur un compte bancaire. Le pirate indique alors que cet argent peut vous être transféré. Malin, l’escroc connait l’identité et le téléphone de sa victime. Si ce dernier a repéré la banque du « poisson », un jeu d’enfant pour continuer son piège. Il indique, au téléphone, les 4 chiffres qui seraient les premiers nombre de la carte bancaire de la personne contactée par téléphone. Ici, le piège se referme sur la potentielle victime.

Les 4 premiers chiffres, tout le monde peut les connaitre. D’abord, la carte, une Visa ou une MasterCard ? Si le premier chiffre est 5, vous n’avez pas le propriétaire d’une carte Visa (4), mais d’une MasterCard. Les trois chiffres suivants correspondent à la « marque » de l’entreprise bancaire éditrice de la CB : BNPParibas : 974 ; Caisse d’épargne : 978/927 ; La Poste : 970 ; Crédit lyonnais : 972 ; Sofinco : 976 ; La Bred : 975 ; Société Générale 973 ; Auchan/Accord : 032 ; Crédit Mutuel : 132. Si le premier chiffre est 5, vous n’avez pas une carte Visa (4), mais MasterCard.

Bref, vous comprenez ainsi le tour de passe-passe qui pourrait en bluffer plus d’un. Prudence donc et retenez une seule chose : On ne donne aucune information par téléphone.

 

Argent, Banque, Piratage

Piratage de CB : La police Française débarque en Bulgarie

2 commentaires

Deux ressortissants bulgares, arrêtés en 2011, viennent d’apprendre que leurs cas n’allaient pas s’arranger de sitôt.

La police Français, qui les avait arrêté en flagrant délit de pose de skimmeur sur un distributeur de billets, vient de débarquer ce 22 mai à leurs domiciles de Varna et Silistra, en Bulgarie. Les deux voleurs avaient caché dans leurs appartements respectifs le parfait petit nécessaire du pirate de distributeur de banque.

Des centaines de cartes bancaires vierges, prêtes à être clonées, et du matériel de skimming ont été saisis. La procédure de mandat d’arrêt européen a été lancée par le parquet de la Juridiction Inter-régionale Spécialisée (JIRS) de Nancy. Les deux hommes font partie d’un réseau international. Ils auraient trafiqué, avant de venir en France, des Guichets Automatiques de Billets allemands. (F3)

Argent, Banque, Chiffrement, cryptage, Cybersécurité

Faiblesses dans les cartes à puces

Alors que les Etats-Unis d’Amérique réfléchissent à implanter la carte à puce dans le pays, lire notre actualité de mars 2014, des chercheurs de la prestigieuse université de Cambridge viennent de démontrer deux faiblesses dans la procédure ‘chip & pin’, une puce, un code secret. Il est évident que la puce, couplée à un mot de passe reste la meilleure des sécurité face à une carte bancaire n’utilisant que la bande magnétique, cependant, les chercheurs de Cambridge ont observé qu’il était possible de jouer avec la puce EMV.

Cette protection, utilisée dans un terminal de paiement que l’on retrouve dans quasiment tous les commerces, engendre un code d’authentification unique, un numéro aléatoire. Ce code pourrait être contourné de deux façons. Les chercheurs expliquent d’ailleurs que cela a déjà été constaté. Dans le premier cas, le code unique peut être prévu. Dans le second problème apparait quand le terminal de paiement a été piraté. Si des pirates peuvent prévoir les codes, voir l’adapter, il devient possible, via une carte bancaire préalablement clonée, de retirer de l’argent ou de faire un paiement.

Bref, l’étape du skimming 3.0 est en marche. Les banques auront bien du mal à définir un paiement légitime, d’un paiement cloné. Les clients piégés ne pourront plus se faire rembourser, à moins de prouver qu’ils n’étaient pas sur le lieu de la transaction. Et même dans ce cas, nous avons un doute sur la potentialité de remboursement. Il existerait dans le monde 1,62 milliard de cartes exploitant le protocole EMV. ZATAZ.COM révélait (voir les archives) des cas de piratages, via des DAB modifiés/piratés, l’année derniére.

 

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Paiement en ligne, Phishing, Scam

Hausse de la fraude bancaire en France

La dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) annonce plus de 700.000 piratages bancaires en France, par an. Voilà qui devient intéressant. Les chiffres de la dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) montre qu’il y aurait eu une hausse de 43% des piratages de données bancaires, en France, entre 2010 et 2013. Plus de 700.000 victimes se sont déclarées.

Le rythme des arnaques à la carte bancaire en France ne cesserait d’augmenter indique le Figaro à la suite de cette étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) relative aux « débits frauduleux sur les comptes bancaires ». Des faits déclarés par des victimes lors d’une enquête « cadre de vie et sécurité » lancée par l’Insee. 14.500 ménages ont été interrogés pour cette enquête.

En 2010, 500.000 cas de fraudes bancaires avaient été annoncés. Trois ans plus tard, 200.000 nouveaux se sont invités dans ce compteur qui ne cesse d’augmenter. A noter que le rapport officiel de l’Observatoire de la Sécurité des Cartes de Paiement (OSCP) sur ce sujet doit être publié en juillet prochain. En 2012 (le site n’affiche aucun rapport pour 2013, ndr) l’OSCP annonçait un taux de fraude pour l’année 2011 à 0,077 % « en légère augmentation pour la quatrième année consécutive« . Cela correspondait à un montant total de fraude de 413,2 millions d’euros (contre 0,074 % et 368,9 millions d’euros en 2010).

Banque, Cyber-attaque, Fuite de données, Justice, Leak

La justice belge s’attaque à des pirates russes

La justice Belge souhaite poursuivre des pirates russes qui auraient profité de la crise bancaire de 2008 pour s’attaquer à Dexia. En 2008, Russes et Ukrainiens s’aimaient. En 2008, les pirates de ces deux pays jouaient ensemble. En 2008, plusieurs d’entre eux se sont attaqués aux serveurs de la banque Dexia pour voler des données sensibles et privées. A l’époque, Dexia était dans la tourmente de la crise bancaire mondiale. Des pirates russes avaient volé des données bancaires qu’ils avaient revendu à des cybers escrocs Ukrainiens qui avaient blanchi l’argent, entre autres, via une banque Lettone. Bref, une mondialisation du crime qui avait coûté des millions d’euros à Dexia. L’agence Belga vient d’indiquer que le parquet fédéral souhaite poursuivre plusieurs de ces russes et ukrainiens. Le parquet envisage également de poursuivre une banque de Riga (Lettonie). L’enquête serait terminée, il ne reste plus qu’au juge à réclamer la tête des fautifs.

Argent, Banque, Entreprise, Fuite de données, Paiement en ligne

Les cartes à puces bientôt utilisées aux USA

2 commentaires

Les deux géants de la carte bancaire, Visa et MasterCard, vont créer aux États-Unis un groupe de travail qui aura pour finalité de réfléchir à l’implation de la carte à puce sur le territoire de l’Oncle SAM. Ce groupe de travail regroupe des banques, des assurances et des commerçants. Le second effet du piratage des enseignes de grande distribution Neiman Marcus, Target ?

Aux USA, 5,6 milliards de cartes bancaires évoluent dans les poches des consommateurs. 1,6 million de cartes possèdent une puce. 0,3% qui font pâle figure face au 81% de CB pucées en Europe.

La National Retail Federation, en charge du commerce de détail, indique que la mise en place de cette carte devrait coûter 30 milliards de dollars. A côté des 11 milliards piratés en 2012, cela devrait être rapidement amorti pour les banques et commerçants.

La lettre d’information Nilson Report indique qu’un achat sur quatre dans le monde est effectué aux USA. Plus de 47% des fraudes dans le monde partiraient du sol américain.

 

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Fuite de données

Le bitcoin dans la ligne de mire des pirates

La monnaie virtuelle bitcoin traverse depuis ce début d’année 2014 une crise sans précédents. Après la faillite de la plateforme d’échange MtGOX et la fermeture de Flexcoins, intermédiaire spécialisé dans l’échange et le stockage de bitcoins, Poloniex, autre plateforme d’échange de crypto-monnaies, a annoncé le détournement de 12,3% des fonds qu’elle stockait. En un mois à peine, les principales bourses d’échange pour détenteurs de bitcoins ont été la cible de pirates informatiques, provoquant un véritable marasme au sein de l’écosystème de cette monnaie dématérialisée.

Pour comprendre ce phénomène de vaste piratage informatique, le laboratoire de recherche de LogRhythm s’est intéressé aux failles de sécurité existantes de bitcoin. L’équipe de chercheurs a ainsi récemment analysé un type de malware relativement nouveau qui cible plus particulièrement les utilisateurs sur les plateformes d’échange et de stockage de bitcoins.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, explique que ce malware arrive sous forme d’un fichier exécutable sous Windows (driveprice.exe) prétendant que l’exécution de ce logiciel augmentera le prix des bitcoins sur le marché, et entrainera ainsi une hausse de la valeur des bitcoins déjà détenus. Comme le dit l’adage, « Si cela semble trop beau pour être vrai, cela l’est probablement ». Ce logiciel n’est pas une exception et les créateurs du malware se servent de l’attrait pour l’argent et ciblent systématiquement les utilisateurs de plateforme d’échanges de bitcoins en misant sur le fait qu’ils téléchargeront et exécuteront ce logiciel dans le but de faire grimper la valeur globale des bitcoins.

Une fois que le logiciel s’exécute, il entraine de nombreux et importants changements au sein du système, tentant à la fois de rester invisible et d’établir une connexion permanente avec le serveur de contrôle et de commande. Le malware s’installe tout seul de manière à se lancer automatiquement lors de l’utilisation de Windows Registry, processus légitime de Windows déguisé, utilise un code injecté pour masquer l’activité du réseau, et finit par détourner tous les navigateurs disponibles sur le système. Une fois que ce dernier est infecté, le malware envoie un signal au serveur de contrôle et de commande et attend les directives du hacker. Tout en étant à l’intérieur du navigateur, le malware attend que les utilisateurs se connectent à la plateforme d’échange de bitcoins et procède ensuite au vol de leurs identifiants qui seront utilisés plus tard pour extraire la totalité des bitcoins stockés sur leur compte en ligne.

Le bitcoin, monnaie virtuelle au succès grandissant, attire l’attention de plus en plus de cybercriminels. La chute successive de deux acteurs principaux, MtGOX et Flexcoins, ainsi que l’attaque de Poloniex montre aujourd’hui un besoin urgent de sécurisation des transactions et plus largement de tout l’écosystème bitcoin. En visite début mars dans les locaux de Tracfin (Traitement du Renseignement et Action contre les Circuits FINanciers clandestins), Pierre Moscovici, Ministre de l’Economie et des Finances, a appelé à une concertation européenne sur la régulation des monnaies virtuelles comme le bitcoin, un enjeu majeur pour définir un cadre légal et limiter les pertes financières qui pourraient avoir de lourdes conséquences au niveau international. Espérons que le projet Ethereum soit un de ces possibilités de sécurisation.

 

Banque, Chiffrement, cryptage, Cybersécurité

Lancement d’Ethereum : un nouveau bitcoin sécurisé ?

3 commentaires

Pour sécuriser les transactions via des monnaies non centralisées, le projet Ethereum voit le jour. Derrière ce projet, des dizaines de spécialistes du Bitcoin, la monnaie décentralisée. Parmi ses membres éminents, Charles Hoskinson, chef du Projet Bitcoin, Anthony Di Iorio, directeur exécutif de l’Alliance Bitcoin du Canada et fondateur de la coworkingspace Bitcoin (Toronto) ou encore Mihai Alisie, fondateur de Bitcoin Magazine. Ethereum est une nouvelle sécurité cryptographique qui est conçu pour permettre aux utilisateurs d’encoder leurs transactions. Ethereum fonctionnera avec toutes les devises personnalisées. Contrairement à de nombreuses idées précédentes qui ont tenté de faire la même chose, Ethereum ne pas tenté de contraindre les utilisateurs via des « caractéristiques » spécifiques, mais plutôt, de proposer un langage de programmation complet qui peut être utilisé pour construire tout type de projet qui sera définie mathématiquement. Bref, un nouveau protocole développé par le pape du sujet, Vitalik Buterin. A suivre !

Arnaque, Banque, escroquerie, Fuite de données, Paiement en ligne

Social engineering à 17 millions d’euros

Plusieurs entreprises françaises ponctionnées de centaines de milliers d’euros via des pirates informatiques adeptes du social engineering. Le social engineering est vieux comme le monde. L’étude sociale d’une cible permet de tout connaitre sur sa vie afin de réussir à lui extraire des informations, des secrets ou tout simplement de l’argent.

Plusieurs entreprises du sud de la France viennent de vivre cette mauvaise aventure. Elles ont été ponctionnées de 800.000 à … 17 millions d’euros. Toujours la même méthode. Les escrocs récoltent des centaines d’informations sur l’entreprise, les collaborateurs : adresses, emails, photos, … L’idée, faire une parfaite cartographie de la cible. Dans la police, cette technique est baptisé « faire l’environnement ».

Une fois les informations en main, Google, Facebook et le web sont de précieux alliés dans ce genre d’escroquerie, les voleurs n’ont plus qu’à faire croire à une transaction qui doit rester secrète. Un mensonge qui peut prendre plusieurs semaines, mais qui semble payant !

La juridiction interrégionale spécialisée de Bordeaux (Jirs) est sur les dents et tente de remonter la piste. Le journal Sud-Ouest indique que les voyous font virer l’argent sur des comptes de transit, à Chypre, au Danemark ou en Lettonie. Ensuite, des petites mains, des « mules », retirent l’argent pour le renvoyer en Chine et en Israël. La Jirs, quand elle est alertée à temps, semble pouvoir bloquer l’attaque. Dans l’affaire des 17 millions, une partie de la somme a pu être récupérée.