Archives de catégorie : Banque

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, Paiement en ligne, Patch

Sécuriser son achat sur Internet : nouvelle version de la technologie Verified by Visa

Sécuriser son achat sur Internet ! Visa lance une nouvelle version de la technologie Verified by Visa pour sécuriser et simplifier davantage les paiements en ligne

Sécuriser son achat sur Internet ! Visa annonce l’amélioration prochaine de son service Verified by Visa, une solution globale conçue pour rendre les paiements en ligne plus sûrs en s’assurant que ces paiements soient effectivement réalisés par le titulaire du compte Visa. La nouvelle version apportera aux institutions financières et aux commerçants des données de transaction enrichies permettant une meilleure authentification des consommateurs, réduisant ainsi les cas de fraude pour les achats effectués à partir d’un navigateur Internet fixe ou mobile, d’une application ou d’un objet connecté. Dans le cadre de cette mise à jour, Visa renforce ses systèmes pour soutenir
3-D Secure 2.0, la nouvelle génération de la plateforme de sécurité créée par Visa et servant de socle technologique au service Verified bv Visa.

Grâce à la mise à jour de 3-D Secure 2.0, les émetteurs de moyen de paiement Visa et les commerçants auront plus d’options pour personnaliser le processus d’authentification et rendre l’expérience d’achat toujours plus rapide et ergonome. Bref, Sécuriser son achat sur Internet deviendra plus efficace encore. En construisant un canal de partage d’informations en temps réel et collaboratif, Visa améliore le transfert de données entre commerçants et émetteurs qui accèdent ainsi accès à une masse d’informations inédite relative aux transactions (type d’appareil, adresse de livraison…),  et peuvent vérifier en temps réel l’identité de leurs clients avec davantage d’exactitude. Les études montrent que la durée de règlement des paniers d’achat peut être réduite de 85% avec le nouveau système, et qu’il pourrait y avoir jusqu’à 70%  de diminution du taux d’abandon de panier.

Sécuriser son achat sur Internet

« Les technologies d’authentification ont énormément évolué depuis l’époque des bandes magnétiques et des signatures, tout comme notre manière de payer : d’où le besoin d’innovation pour assurer la sécurité des achats. La grande majorité des Européens utilise aujourd’hui un appareil mobile pour effectuer des paiements, mais la fraude et les problèmes de sécurité restent le frein numéro un à l’adoption, » remarque Mike Lemberger, Senior Vice President, Product Solutions Europe, Visa.

« En soutenant le développement de la plateforme 3DS 2.0, nous sommes en mesure d’offrir un service d’authentification amélioré qui rend ces paiements à la fois plus rapides et mieux sécurisés. Cela permet aux e-commerçants européens de s’attaquer à l’enjeu stratégique des abandons de paniers. Cette mise à jour apporte également tous les outils nécessaires pour se conformer aux dispositions de la Directive Service de Paiement 2 (DSP2) pour les paiements par carte : un avantage majeur qu’il ne faudrait pas sous-estimer. »

Pour donner du temps aux émetteurs de moyens de paiement Visa et aux commerçants de tester, réaliser des pilotes et déployer les solutions, les règles actuelles s’appliquant aux tests commerçants pour les transactions utilisant 3-D Secure s’étendront jusqu’à la version mise à jour début avril 2019. Les commerçants et les émetteurs travaillent déjà à la mise en place de la nouvelle version et Visa prévoit son adoption à partir du deuxième semestre 2017. Visa collaborera avec ses clients et ses partenaires dans le monde entier pour accompagner le déploiement et l’utilisation des nouvelles solutions 3-D Secure 2.0, au service de la sécurité des paiements et d’un meilleur taux d’autorisation des transactions, pour assurer une expérience fluide et intuitive du paiement digital.

Cette nouvelle version ayant la capacité de fonctionner sur de multiples appareils (mobile, app, navigateur Internet), elle aidera à renforcer la protection des consommateurs, quels que soient le lieu et le mode de paiement choisi. L’étude Digital Payments 2016 de Visa, qui a interrogé plus de 36 000 consommateurs européens, révèle que trois fois plus d’entre eux effectuent régulièrement des paiements avec un appareil mobile par rapport à 2015 (54% contre 18%). Les améliorations permettront aussi l’intégration future de technologies de paiement dans l’Internet des Objets, alors que Gartner prévoit plus de 20,8 milliards d’objets connectés d’ici 2020. L’amélioration de l’authentification basée sur le risque atténuera les points de friction en réduisant les étapes supplémentaires de vérification, tels que les mots de passe statiques ou les codes PIN, lors d’un achat quel que soit le terminal utilisé.

Banque, Chiffrement, cryptage, Cybersécurité, loi, Social engineering

Pirates, rien à déclarer ?

Le service de déclaration des revenus a été lancé le 13 avril dernier, et déjà près de 5 millions de français y ont eu recours. Pratique, rapide et mobile, la déclaration s’effectue en seulement quelques clics et permet même de bénéficier d’un délai supplémentaire ! La version papier devait être déposée au plus tard ce 17 mai, tandis que les citoyens ont jusqu’à la fin du mois, voire début juin en fonction de leur département, pour la soumettre en ligne. Chaque année, de plus en plus de français choisissent cette dernière option. Dans ce contexte, bien que le site officiel du gouvernement soit sécurisé et vise à protéger les informations des internautes, les hackers sont à l’affût de la moindre faille. Ils misent notamment sur la volonté de bien faire des citoyens ainsi que sur la crainte d’être en situation d’impayé avec l’administration fiscale.

Les pirates se donnent beaucoup de mal pour imiter les interactions entre les contribuables et les institutions. Emails frauduleux, fausses pages internet ou encore virus propagés sur les réseaux sociaux, autant de techniques employées pour tenter d’accéder aux données personnelles des citoyens pendant la période de télédéclaration. Le phishing par exemple, ou hameçonnage, consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance afin de lui soutirer des informations cruciales. Profitant que l’administration envoie notamment des emails pour rappeler les dates de soumission des déclarations et informer sur les démarches à suivre, les pirates vont utiliser ce même canal et prétendre qu’il manque un versement et qu’une majoration sera due s’il n’est pas réglé. La technique est imparable, les questions liées à l’argent et au respect de la loi fragilisent toujours les particuliers, par conséquent moins vigilants face à ce type d’emails.

Pour se protéger de telles tentatives de cyberattaque, il existe quelques indices faciles à repérer et des bonnes pratiques à adopter : S’assurer que l’adresse email de l’expéditeur soit bien « dgfip.finances.gouv.fr » et que celle du site internet soit « https://www.impots.gouv.fr« . Même si le format, le logo ou encore les couleurs sont similaires à la page web officielle, cette vérification est primordiale et donne déjà un premier niveau d’information concernant la source ;

Contrôler que le site en question utilise le protocole « https », garantissant ainsi la confidentialité et l’intégrité des données envoyées par le citoyen et reçues du serveur ;

Ne pas répondre aux emails prétendant provenir de la Direction Générale des Finances publiques et qui demandent des identifiants ou des informations bancaires par exemple. L’administration fiscale n’exige en effet jamais ainsi ce type de données de cette façon. Elle le rappelle d’ailleurs sur son site : « pour votre sécurité, ne répondez jamais à un courriel vous demandant vos coordonnées bancaires. » ;

Ne pas cliquer sur les liens contenus dans ce type d’email, ils peuvent renvoyer vers des faux sites derrières lesquels se cachent des hackers qui tenteront de récupérer des données personnelles et des informations bancaires ;

Supprimer tout email supposé frauduleux et mettre à jour le système de protection du terminal utilisé pour optimiser leur détection.

Ces bonnes pratiques semblent simples sur le papier. Néanmoins, il y a encore aujourd’hui trop de victimes de ces hackers qui emploient des techniques toujours plus sophistiquées pour « singer » les communications officielles et parvenir à leurs fins. Il est donc primordial de continuer à sensibiliser les internautes afin qu’ils connaissent les règles de sécurité à adopter pour protéger leurs données et leur argent ! Ce travail d’information est d’autant plus important que le gouvernement cherche à inciter toujours plus de contribuables à effectuer leurs déclarations en ligne, jusqu’à les rendre obligatoires et généralisées dès 2019. (Par Bastien Dubuc, Country Manager, Consumer, chez Avast France)

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, loi, RGPD

Développement des risques numériques et assurance

Des offres assurance lancées afin de préserver les TPE et PME des conséquences des risques numériques.

Risques numériques – Generali Protection Numérique est une nouvelle offre proposant assistance, réparation et indemnisation aux TPE et PME exposées aux conséquences des cyber-risques. En cas d’incident numérique, l’entreprise couverte bénéficie des services coordonnés de Generali, d’Europ Assistance et d’ENGIE Ineo afin de rétablir son activité. Interlocuteur principal de l’entreprise, Europ Assistance prend en charge le dossier et accompagne le client tout au long de la gestion du sinistre. La réparation et la sécurisation du système informatique attaqué sont confiées à ENGIE Ineo, Generali indemnisant les conséquences matérielles du dommage (équipements, perte d’exploitation, …) ainsi que la responsabilité civile.

Le risque numérique, une menace encore trop sous-estimée par les TPE-PME

41% des TPE et PME touchées par un cyber-incident connaissent une baisse ou interruption de leur activité, révèle une récente enquête IFOP-Generali. Les petites entreprises sont d’autant plus exposées aux cyber-risques qu’ils résultent d’actes informatiques malveillants, c’est-à-dire d’attaques, dont le risque est augmenté par l’imprudence humaine. Pourtant, seule une entreprise sur trois se dit consciente d’être exposée aux risques numériques. « La majorité de petites entreprises ne pensent pas être concernées, déclarent exercer une activité non ciblée, être dans une structure trop petite et bénéficier de protections fiables », explique Régis Lemarchand, membre du comité exécutif de Generali en charge du marché des entreprises. « Pourtant, l’analyse de la fréquence de leurs sauvegardes et les moyens de protection mis en place révèlent un niveau de protection limité. » Les petites et moyennes entreprises représentent d’ailleurs 77% des victimes d’attaques numériques en France.

Des conséquences lourdes pour les données et l’activité des entreprises

Du ransomware à l’espionnage informatique, du vol de données à l’installation insoupçonnée d’un logiciel malveillant, les incidents numériques sont à l’origine de nombreuses complications non seulement pour les entreprises touchées, mais aussi pour les partenaires, fournisseurs ou clients. « Les conséquences sont graves et multiples, pouvant aller jusqu’à l’arrêt prolongé de l’activité, voire même la disparition de l’entreprise. Frais d’expertise informatique et de reconstitution des données découlent fréquemment de ces incidents. Une atteinte à la réputation de l’entreprise peut aussi générer une perte de confiance des clients, très dommageable pour l’entreprise victime », explique Laurent Saint-Yves, responsable Cyber-sécurité d’ENGIE Ineo.

Generali Protection Numérique anticipe par ailleurs un besoin futur des TPE et PME, concernées par le nouveau cadre juridique européen qui entrera en application le 24 mai 2018. Renforçant l’obligation de notification, le règlement général sur la protection des données (RGPD) contraint les entreprises à informer dans un délai de 72 heures les autorités et les personnes physiques dont les données personnelles ont fait l’objet d’une violation. En cas de non-respect, les sanctions financières peuvent aller jusqu’à 4% du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros. Pourtant seules 17% des entreprises interrogées par l’IFOP et Generali déclarent avoir connaissance du RGPD.

Cette assurance prend en charge les dommages et pertes subis, notamment les frais d’expertise et de remédiation, les coûts liés à la reconstitution des données et aux notifications règlementaires mais aussi les pertes d’exploitation et les frais supplémentaires engendrés par l’incident. Les conséquences pécuniaires de la responsabilité civile sont également couvertes, en inclusion de l’offre. Generali Protection Numérique inclut des services dédiés à la résolution des incidents, complétés d’une sécurité financière adaptée à la taille de l’entreprise (TPE-PME).

Au sein de l’offre Generali Protection Numérique, ENGIE Ineo assure l’expertise technique liée à l’incident numérique. « Nos collaborateurs ont développé un savoir-faire reconnu dans les solutions liées à la transition énergétique et numérique », souligne Jean-Louis Marcucci, Directeur général adjoint d’ENGIE Ineo. Les experts d’ENGIE Ineo établissent un diagnostic pour qualifier la nature de l’incident et vérifier le caractère cyber de l’attaque. Puis ils procèdent à l’investigation et collectent les preuves de l’attaque. Ils assurent enfin les prestations liées notamment à la restauration et la reconstitution des données. Les experts mobilisés sont en mesure de collaborer avec les équipes dédiées à l’informatique au sein des entreprises. La garantie temps d’intervention (GTI) pour prendre en charge techniquement le dossier est d’une heure. L’intervention des experts d’ENGIE Ineo permet donc de réduire fortement les conséquences d’un risque numérique avéré et assurer la reprise de l’activité dans les meilleures conditions.

Alors qu’on constate que deux à trois attaques ciblées en moyenne par mois et par entreprise atteignent leur objectif  , le Groupe Saretec, acteur de la prévention et de la gestion des risques, dévoile son offre dédiée au risque cyber. Développée en partenariat avec Exaprobe, expert intégrateur en cyber sécurité, l’offre compte trois volets permettant de couvrir l’intégralité du risque cyber, du pentesting à la réponse à incident en passant par l’évaluation des pertes, la recherche de responsabilités et la formation des équipes.

Une offre modulable en trois temps chez Saretec

« Tout est parti d’un constat pourtant simple : le cyber risque est aujourd’hui géré de façon contractuelle, sans réelle implication des DSI concernées et sans souplesse. Or, nous sommes convaincus que sa complexité nécessite d’être adressée par une approche holistique de type service« , résume Alain Guède, DSI du Groupe Saretec. L’assureur a élaboré une offre en trois briques : avant, pendant et après l’incident Cyber et s’articule en cinq packs : Check, Crise, Réparation, Responsabilité et Sérénité.

AVANT (auditer, prévenir) : un audit du niveau de protection engagé afin de faire correspondre les termes du contrat à la nature et à l’importance des risques encourus.
PENDANT (stopper et expertiser) : l’élaboration d’un plan de réponse à incident pour circonscrire l’attaque dans les délais les plus brefs, en identifiant l’origine, et réparer l’incident.
APRES (réparer et capitaliser) : l’évaluation des dommages (financiers, de notoriété, pertes d’informations, …), la communication de crise, la détermination de la chaîne de responsabilité (juridique et assurantielle) et le retour d’expérience pour réajuster les moyens de prévention.

Lancée pour les PME, les ETI et les grandes entreprises, cette cyber réponse promet aux assurances de maximiser leurs gains dans la mesure où le travail de sécurisation du SI est garanti à la source et limite par conséquent le montant du dédommagement.

Argent, backdoor, Banque, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Particuliers, Piratage, Social engineering

Piratage de banques polonaises, le voleur passe par le régulateur national

Piratage de banques ! Plusieurs institutions financières polonaises ont confirmé l’infiltration de leurs systèmes informatiques par un malware.

Piratage de banques ! Étonnante attaque informatique, surtout quelques jours après l’arrestation de neuf pirates Russes du groupe Lurk, professionnels de l’infiltration bancaire, dans les serveurs de plusieurs institutions financières polonaises. L’aspect intéressant de cette attaque, la partie social engineering. Les escrocs ont utilisé le régulateur financier polonais, la KNF, pour diffuser plusieurs logiciels malveillants.

Un porte-parole de la KNF a confirmé que les systèmes internes du régulateur avaient été compromis par des pirates « d’un autre pays« . Une fois dans les serveurs de la KNF, les pirates ont modifié un JavaScript (JS), puis ils ont écrit aux banques, leur proposant de venir visiter KNF. Une usurpation d’identité particulièrement efficace. Le JS malveillant téléchargeait plusieurs codes pirates, dont un cheval de Troie, dans les machines des visiteurs ciblés.

Le « bombe 2.0 » était caché sur des sites basés en Suisse (sap.misapor.ch) et en Inde (eye-watch.in). Afin d’éviter la propagation des logiciels malveillants, les autorités ont pris la décision de fermer l’ensemble du réseau de la KNF.

Du côté des banques, les personnels informatique des plus importantes banques du pays ont remarqué le trafic anormal associé à la présence d’exécutables sur plusieurs serveurs. Ironiquement, le KNF est l’organisme de réglementation qui surveille et promeut des mesures de sécurité a adopter dans les banques polonaises.

Argent, Arnaque, backdoor, Banque, Base de données, Cybersécurité, Entreprise, escroquerie, Fuite de données, Particuliers, Social engineering

Hôtels – Enquête sur une fuite de données pour le groupe IHG

Le groupe britannique InterContinental a lancé une enquête interne à la suite de la découverte de données bancaires de clients utilisées hors de ses hôtels.

L’InterContinental Hotels Group est une société britannique forte de 5000 hôtels de part le monde. Des marques prestigieuses allant du Kimpton, en passant par Indigo, Even Hotels, HuaLuxe, Crowne Plaza ou encore les Holiday Inn. Bref, une marque présente dans 100 pays.

En France, on trouve des Crowne Plaza, Intercontinental et autres Holiday Inn à Lille, Marseille, Lyon, ou Cannes. Le plus connu étant l’InterContinental Carlton Cannes haut lieu people lors du festival du cinéma.

Le chercheur Krebs a eu vent de plusieurs enquêtes en cours concernant une probable fuite de données visant IHG, et plus précisément ses Holiday Inn sur le territoire américain. Voici le message officiel de la société hôtelière britannique à ce sujet :

« IHG takes the protection of payment card data very seriously. We were made aware of a report of unauthorized charges occurring on some payment cards that were recently used at a small number of U.S.-based hotel locations.  We immediately launched an investigation, which includes retaining a leading computer security firm to provide us with additional support.  We continue to work with the payment card networks.

We are committed to swiftly resolving this matter. In the meantime, and in line with best practice, we recommend that individuals closely monitor their payment card account statements.  If there are unauthorized charges, individuals should immediately notify their bank. Payment card network rules generally state that cardholders are not responsible for such charges. »

Comme j’ai pu souvent le rappeler, les lieux de vacances ou professionnels sont de véritables nids de données pour les pirates. Je vous expliquais  comment il était simple de mettre la main sur des informations sensibles dans les ordinateurs d’hôtels, mais aussi comment des pirates avaient pris le pouvoir dans l’informatique d’hôtels en Tunisie. Depuis quelques mois, les fuites de données et autres piratages s’accumulent comme nous avons pu le voir avec les Hotels Kimpton, Trump, Hilton, Mandarin Oriental, Starwood, Hyatt ou encore des hôtels basés sur l’Île Maurice.

Argent, backdoor, Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne, Particuliers

Banque JP Morgan : Arrestation d’un 3ème pirate

2 commentaires
Un troisième suspect présumé responsable de la violation des données de JP Morgan Chase, en 2014, arrêté à l’aéroport de New York.

En 2014, la banque JP Morgan subissait l’un des plus importants piratages informatiques de ces dernières années. 76 millions de clients et sept millions d’entreprises se retrouvaient dans les mains de malveillants. Deux ans plus tard, le FBI et l’US Secret Service New York Field Office (USSS) de l’Oncle Sam continuent de traquer les pirates. Deux sont déjà sous les verrous. Gery Shalon et Ziv Orenstein ont été arrêtés en Israël en juillet 2015. Un troisième vient d’être arrêté par les autorités américaines à l’aéroport JF Kennedy (New York).

Joshua Samuel Aaron, 32 ans, connu sous le pseudonyme de Mike Shields, pouvait rester en Russie et échapper à l’extradition. Ressortissant américain, il a préféré se rendre « pour répondre de manière responsable aux accusations » annonce son avocat. Il a été inculpé de fraude et piratage en novembre 2015. Gery Shalon signait ses fraudes, dont en France, sous les pseudonymes de Garri Shalelashvili, Gabi, Philippe Mousset et Christopher Engeham. Ziv Orenstein utilisait aussi des pseudonymes, dont John Avery et Aviv Stein.

Aaron risque 5 ans de prison pour piratage informatique, 5 ans pour conspiration numérique, 5 ans pour piratage, 5 ans pour fraude, 20 ans pour « Securities Market Manipulation Scheme« , 20 ans pour vol, 20 ans pour fraude, 15 ans pour vol de documents, 2 ans pour vol d’identité et 20 ans pour manipulation bancaire illégale. Bref, Aaron et ses amis risquent 117 ans de prison ferme !

Banque, Cyber-attaque, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Leak, Particuliers, Piratage, Social engineering, Twitter, Vie privée

Des politiques Indiens attaqués par un mystérieux Legion Group

Plusieurs politiques Indiens ont été victimes de piratages informatiques signés par un mystérieux collectif Anonymous prénommé Legion Group. Les pirates annoncent s’être aussi attaqués aux institutions bancaires du pays.

Au cours de ces derniers jours de décembre 2016, une dizaine de comptes Twitter d’hommes et de femmes politiques Indiens (Rahul Gandhi, Vijay Mallya, Ravish Kumar, Barkha Dutt) ont été piratés par un mystérieux collectif d’hacktivistes signant leurs actes sous le pseudonyme de Legion Group. Pour annoncer leurs actions, ils ont affiché plusieurs messages sur les comptes malmenés des politiques et de plusieurs journalistes de la télévision nationale : « Remember kids, e-mail us at legion_group@xxxxx.org if you have useful information or sp00lz.« 

En novembre dernier, le vice-président du Congrés [Indian National Congress], Rahul Gandhi, avait été piraté par le même groupe. Des traces de Legion group ont été retrouvées à Bangalore, aux États-Unis, en Suède, au Canada, en Thaïlande et en Roumanie. Bref, les proxies tournent à plein. Le porte-parole, qui risque d’être l’unique membre de cette team, a indiqué agir sans aucun motif politique. « Notre prochaine cible, les banques du pays » affirme le pirate. Parmi les cibles annoncées : sansad.nic.in [Registar indien], et le système bancaire du pays. « Le système bancaire de l’Inde est profondément défectueux et a été piraté à plusieurs reprises » déclare Legion Group, sans apporter cependant la moindre preuve. Bref, peu importe le continent, les pirates sont tous les mêmes !

Banque, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Piratage, Social engineering

La Loterie nationale obligée de changer le mot de passe de 26.500 joueurs

Camelot, l’opérateur en charge de la Loterie Nationale du Royaume-Uni, a dû réinitialiser les mots de passe de ses joueurs après la découverte du piratage de 26.500 comptes d’utilisateurs.

Camelot, l’opérateur de la Loterie Nationale du Royaume-Uni, a annoncé que 26.500 comptes de joueurs en ligne ont été piratés, probablement en raison de mot de passe utilisés sur d’autres sites par ses propres clients. Camelot ne pense pas que ses propres systèmes ont été compromis. Pour l’entreprise, le fautif est le client qui utilise les mêmes identifiants sur plusieurs sites Internet. L’un d’eux a dû être piraté, bilan, l’accès au compte Camelot était facilité pour les pirates. Camelot possède 9,5 millions de joueurs. Les 26.500 comptes semble sortir tout droit des dernières fuites de données en date, DailyMotion en tête. Camelot confirme que 50 comptes clients ont été malmenés ces dernières heures. (SCM)

Android, Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, double authentification, Paiement en ligne, Particuliers, Piratage, ransomware, Sécurité, Smartphone

Un cheval de Troie a leurré les clients de 18 banques françaises

Les Français sont de plus en plus mobiles et veulent pouvoir effectuer certaines activités quotidiennes où qu’ils se trouvent. Par exemple, selon un récent sondage du Conseil Supérieur de l’Audiovisuel (CSA), 92 % des personnes possédant un téléphone portable l’utilisent pour consulter leurs comptes bancaires. Bien que ces applications soient utiles à de nombreux égards, elles représentent aussi des portes dérobées pour les hackers à l’affût de données sensibles.

D’ailleurs, une déclinaison du cheval de Troie GM Bot, appelé aussi Acecard, Slembunk et Bankosy, vise actuellement les clients de plus de 50 banques dans le monde, dont 18 en France, y compris BNP Paribas, la Société Générale ou encore Le Crédit Agricole. Rien que le trimestre dernier, GM Bot a pris pour cible des centaines de milliers d’utilisateurs de portables. Nikolaos Chrysaidos, Responsable des menaces et de la sécurité mobile chez Avast, revient sur les procédés de ce malware nuisible et sur les façons de s’en protéger : « GM Bot est un cheval de Troie qui ressemble, à première vue, à une application inoffensive. Il est surtout téléchargeable sur des plateformes tierces de téléchargement d’applications qui disposent de contrôles de sécurité bien moins pointus que sur ceux des stores d’Apple et de Google. GM Bot se déguise souvent en une application dont le contenu est réservé aux adultes ou à un plug in, comme Flash ».

Une fois téléchargée, l’icône de l’application disparait de la page d’accueil de l’appareil, mais cela ne signifie pas pour autant que le programme malveillant a quitté le terminal. L’application demande alors constamment des identifiants de connexion divers et variés. S’il parvient à se les procurer, le malware peut rapidement causer de sérieux dégâts.

Doté des identifiants de connexion, GM Bot peut contrôler tout ce qui se passe sur l’appareil infecté. Le malware s’active quand une application préalablement listée s’ouvre, liste comprenant principalement des services bancaires. Lorsque l’utilisateur ouvre l’une de ces applications, GM Bot affiche un cache ressemblant à la page d’accueil au lieu d’ouvrir la page de l’appli légitime. Berné, la victime rentre ses identifiants sur ce cache, et ses informations sont directement envoyées aux cybercriminels. Cette technique d’ingénierie sociale est très souvent utilisée pour tromper l’utilisateur et l’inciter à révéler ses données personnelles.

Pire encore ! GM Bot peut intercepter les SMS et est donc en mesure de voler les codes d’authentification à deux facteurs lors d’une transaction sans que le propriétaire ne s’en rendre compte. Ainsi, le malware récupère et partage des informations tels que le cryptogramme de sécurité au verso de la carte bancaire, les codes reçus par SMS, ou encore les numéros de téléphones.

Le code source du cheval de Troie GM Bot a fuité en décembre 2015, il est donc désormais à la portée de n’importe qui possédant quelques notions d’informatique.  Les cybercriminels peuvent même aller plus loin et ajuster le code du malware afin d’obtenir plus d’informations. Cela signifie que de nouvelles versions aux capacités changeantes sont constamment créées. Dans certains cas, par exemple, les hackers infiltrés demandent aux victimes d’envoyer les scans recto-verso de leur carte d’identité.

Heureusement, il existe des solutions efficaces qui détectent et bloquent le cheval de Troie et tout type de logiciel malveillant avant que celui-ci ne compromette l’appareil de l’utilisateur. Toutefois, il est également crucial de télécharger toutes ses applications depuis des plateformes sûres et sécurisées, telles que l’App Store d’Apple et le Play Store de Google. Les autres sources proposent certes des applications qu’on ne trouve pas toujours sur les plateformes de confiance ou offrent des applis habituellement payantes, mais cela est bien souvent trop beau pour être vrai. Enfin, les utilisateurs doivent être vigilants et ne pas donner les droits administrateurs de leurs applis à n’importe qui. Cette mesure est capitale car la personne qui détient ces droits est alors en mesure de contrôler l’appareil via l’appli en question.

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Particuliers

Cybercriminalité nigériane

L’Unité 42 publie sa dernière étude en date consacrée à la cybercriminalité nigériane. Une analyse appliquées à une série de 8 400 échantillons de malwares.

L’Unité 42 publie ce jour sa dernière étude en date consacrée à la cybercriminalité nigériane. Ses analyses évoluées, appliquées à une série de 8 400 échantillons de malwares, ont permis d’attribuer à une centaine d’acteurs ou de groupes distincts plus de 500 domaines hébergeant l’activité de logiciels malveillants. Par son étendue et sa consistance, cette étude pose un diagnostic actuel et très complet, centré sur la menace collective et non sur tel ou tel acteur.

Globalement, nous avons observé que les acteurs nigérians ont évolué depuis leurs escroqueries classiques par e-mail, de type fraude 419. Les attaques de malwares sont en constante progression depuis deux ans : représentant moins d’une centaine de cas en juillet 2014, elles se développent aujourd’hui au rythme de 5 000 à 8 000 par mois. Ces attaques, loin d’être dirigées contre des catégories de victimes bien précises, couvrent les principaux marchés verticaux et ciblent davantage les entreprises que les particuliers. Passés maîtres dans le maniement de logiciels malveillants qui se sont banalisés, les acteurs en question ont extorqué des dizaines de milliers, voire des millions de dollars aux entreprises qu’elles ont choisi pour victimes, rien que pour la seule année dernière. Au vu des données recueillies, nous estimons que les évaluations rétrospectives concernant cette menace méritent d’être revues car ces acteurs ont aujourd’hui prouvé qu’ils constituent une réelle menace pour les entreprises et les administrations du monde entier.

L’étude expose en détail les phases successives de la cybercriminalité nigériane, aborde les tactiques employées, et permet de mieux comprendre la façon dont la menace a évolué par sa dimension, son périmètre, sa complexité et son savoir-faire technique au cours des deux dernières années. Elle analyse également les aspects ci-après :

Profils des acteurs
L’analyse des acteurs révèle avant tout qu’ils sont instruits. Nombre d’entre eux ont fréquenté des établissements d’enseignement secondaire et possèdent une licence dans une discipline technique. Pour ce qui est de leur classe d’âge, elle se situe entre la fin de l’adolescence et 45 ans environ ; plusieurs générations sont donc concernées. Concrètement, des acteurs d’un certain âge, versés dans les arnaques classiques de type fraude 419 et l’ingénierie sociale, côtoient donc des plus jeunes qui, eux, sont incollables sur les malwares. Et surtout, ces acteurs parfaitement organisés se servent des réseaux sociaux pour communiquer, coordonner et partager leurs outils et techniques.

Préjudices financiers
Les préjudices causés par ces acteurs ont des répercussions significatives sur les entreprises aux quatre coins du monde. En 2015, un rapport annuel publié par l’IC3 (Internet Cyber Crime Center), dépendant du FBI, recensait 30 855 victimes d’escroqueries « classiques » de type fraude 419/remboursement d’un trop-perçu, pour un préjudice total de plus de 49 millions de dollars. Bien que ce montant soit conséquent, le 1er août 2016, Interpol annonçait l’arrestation d’un acteur nigérian apparemment à l’origine d’un détournement de plus de 60 millions de dollars au total, dont plus de 15,4 millions de dollars au préjudice d’une seule entreprise.

Techniques
Les arnaques au président, ou escroqueries aux faux ordres de virement (Business Email Compromise, BEC) et les usurpations d’e-mails d’entreprises (Business Email Spoofing, BES) sont deux techniques qui sont, depuis peu, très en vogue chez ces acteurs. Les domaines visant à imiter des entreprises légitimes, les « crypteurs » utilisés pour dissimuler des malwares ainsi que d’autres méthodes leur permettent de s’introduire sur le réseau d’une victime. Une fois dans la place, l’ingénierie sociale sert à duper les victimes en les convaincant d’effectuer un virement bancaire à un tiers pour obéir à un prétendu ordre d’un dirigeant.