Comptes piratés – La banque équatorienne, Banco del Austro (BDA) vient d’être piratée à son tour, via le même mode opératoire que la Banque Centrale du Bangladesh (et plus récemment une banque vietnamienne), c’est à dire grâce à l’usage de virements frauduleux réalisés grâce au piratage de comptes bancaires Swift détournés.
Comptes piratés – Nouvelle attaque informatique contre une banque présentant un mode opérationnel similaire à l’attaque contre la Banque Centrale du Bangladesh et une banque vietnamienne, plus tôt cette année. Concrètement, les attaquants sont parvenus à obtenir des identifiants valides de comptes bancaires Swift et à les utiliser pour réaliser d’importants transferts d’argents. Quelques médias dont le Wall Street Journal ont relayé les propos d’avocats de banques victimes : « Les transferts non autorisés ont été réalisés à des horaires inhabituels, pour des montants inhabituels et vers des bénéficiaires inhabituels situés dans des lieux géographiques inhabituels… ».
Autant d’éléments inhabituels qui auraient pu ou dû déclencher des alertes. Cela démontre en tout cas le potentiel de l’analyse comportementale pour prévenir de tels incidents…. En effet, des outils d’UBA – fonctionnant dans un environnement de sécurité où les logs et les données des activités privilégiées sont correctement collectés – auraient été capables de détecter l’usage frauduleux d’un compte interne, et d’alerter lorsque les identifiants ont été utilisés par les attaquants. Très simplement parce que le comportement d’un attaquant sur le réseau est forcément différent de celui de l’utilisateur utilisant habituellement l’identifiant dérobé .
Bref, comme le rappel Istvan Szabo, Responsable Produit Syslog-ng chez Balabit IT Security, les formations visant à sensibiliser les employés sur les questions de sécurité sont cruciales afin de mieux les préparer face aux attaques basées sur des malwares et de l’ingénierie sociale visant à détourner des comptes utilisateurs légitimes. Ces incidents doivent clairement inciter les banques membres de l’alliance Swift à réaliser des audits de sécurité pour détecter les faiblesses potentielles de leur sécurité entourant le système Swift. Ces piratage soulignent également l’importance de la surveillance continue pour minimiser les failles de sécurité.
De même, afin de permettre la remontée des traces laissées par les attaquants, la mise en place d’une solution d’enregistrement des logs est très importante, puisqu’elle permet d’assurer l’intégrité des logs, leur centralisation et de détecter si des logs manquent (pour retracer le chemin complet emprunté par les attaquants). La partie logging est clairement le pilier principal d’une sécurité efficace dans ce type d’attaques où les attaquants veillent à effacer ou camoufler leurs traces. Ce cas particulier confirme également l’importance de la surveillance de l’activité des utilisateurs privilégiés. Les solutions existantes permettent d’enregistrer des activités et de les rejouer en vidéo. Lorsqu’un incident survient ces outils de surveillance peuvent accélérer les investigations (forensics) pour détecter et éliminer les causes originelles du problème. Des attaques qui démontrent aussi les capacités intellectuelles des malveillants.
