Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



10 astuces simples pour renforcer la sécurité de votre Mac



Enquête sur un incident : vol dans une banque électronique



Gains assurés ou le véritable visage de la Chance déguisée
 
 

  Page d'accueil / Analyses

Dernières tendances sur les malwares dédiés à l’univers de la finance

23.10.2008   |   comment

Roel Schouwenberg
Ingénieur Recherche et Développement, Kaspersky Lab BNL

Tendances générales

Cet article a pour objectif d'apporter aux décideurs IT les principaux éléments nécessaires pour comprendre les attaques cybercriminelles contre les institutions financières ainsi que les solutions préconisées par les experts de Kaspersky Lab.

Cet article passe en revue les méthodes que les cybercriminels utilisent actuellement pour attaquer les institutions financières et, plus particulièrement, les banques. Il revient sur leurs tendances générales et montre comment ces programmes malveillants évitent, grâce à leur conception, leur détection par les solutions antivirus. L'article traite également de l'hameçonnage (phishing), des passeurs d'argent (" money mules ") ou des étapes techniques qui précèdent le lancement d'une attaque : redirection du trafic, attaque en présence de l'utilisateur ou MitM (" Man-in-the-Middle "), attaque utilisant la connexion de l'utilisateur ou MitE (" Man-in-the-Endpoint "). Enfin, l'article apporte quelques recommandations permettant de lutter contre l'insécurité intrinsèque des services bancaires en ligne.

En 2007, les fournisseurs de logiciels antivirus ont détecté une très forte augmentation du nombre de programmes malveillants ciblant des banques (désignés ensuite comme " malware financier "). En dépit de l'absence d'informations claires provenant du secteur financier, cette augmentation est vraisemblablement proportionnelle au nombre d'attaques dirigées contre des banques.

 
Fig 1. Pourcentage de malware financier parmi tous les programmes malicieux détectés

Toutefois, malgré l'augmentation du nombre d'attaques que reflète le graphique précédent, on observe une baisse dans le pourcentage de malware financier détecté mensuellement. Les raisons de ce phénomène sont expliquées ci-après :

  • Les auteurs malveillants modifient constamment leurs programmes pour se soustraire à la détection des solutions antivirus. Les modifications mineures sont cependant détectées par les fabricants d'AV, grâce aux signatures des variantes déjà existantes.
  • Le graphique précédent ne reflète que le malware financier proprement dit. En fait, les attaques bancaires se déroulent habituellement en plusieurs étapes : ingénierie sociale, hameçonnage, recours à des téléchargeurs de logiciels malveillants (" Trojan-Downloader "). Il est plus facile pour un criminel de modifier le logiciel téléchargeur (généralement de petite taille et moins complexe) que le malware financier proprement dit.

En plus du nombre de programmes ciblant des institutions financières, l'augmentation concerne également le nombre de logiciels capables de s'attaquer à plus d'une banque ou institution à la fois. Mais si l'on s'en tient aux pourcentages, la part du malware financier ciblant plus de trois institutions financières est également en baisse, comme le montre l'illustration suivante :

 
Fig.2 Pourcentage d'attaques malveillantes ciblant plus de 3 organismes financiers

Cela signifie que la grande majorité de ces programmes malveillants est conçue pour attaquer de une à trois banques. Ce phénomène s'explique parce que ces logiciels ont d'habitude un champ d'action régional, ils ciblent des banques ou des institutions de la même région. Différentes versions de logiciels malveillants seront donc conçues pour attaquer les banques les plus utilisées au sein d'une même région, par exemple, l'Allemagne, les États-Unis, le Mexique ou le Royaume-Uni.

La majorité du malware financier vise donc un petit nombre de banques, ce que montre l'illustration ci-dessous. Deux raisons expliquent probablement qu'une banque devienne un objectif : en premier, son nombre important de clients et, ensuite, la facilité relative pour obtenir des identifiants d'accès à des comptes, grâce à un relâchement de la sécurité.

 
Fig.3 Pourcentage du malware financier attaquant le Top10 des banques

En 2007, il se produisit également une recrudescence du nombre de vols de mots de passe, moyennant des chevaux de Troie conçus pour capturer les données saisies dans les formulaires Web. Ces logiciels prennent pour cible les navigateurs les plus courants : Internet Explorer, Opera et Firefox. Ce genre de chevaux de Troie permet naturellement de dérober des numéros de cartes de crédit, qui suffisent à passer outre les défenses d'une banque – tout dépend toutefois du degré de sophistication des mesures de sécurité en place. Beaucoup de banques utilisant un système d'authentification à facteur unique sont vulnérables face à des attaques relativement simples.

Procédures d'évasion

Pour s'attaquer aux banques, le malware financier suit la tendance générale parmi les différents vecteurs d'infection ; la grande majorité d'entre eux proviennent d’Internet. Un certain nombre est encore distribué par messagerie mais, pour attaquer des institutions financières, Internet possède de meilleurs atouts.

D’abord, rester invisible

Tout d'abord, les logiciels malveillants reçus par courrier attirent bien plus l'attention des éditeurs de solutions de sécurité ou des institutions financières, relayés par les médias ou les utilisateurs. Or, l'invisibilité est un facteur clé pour réussir une attaque contre des institutions financières, ce qui explique que des solutions incitant à télécharger des exploits semblent préférables. En effet, un utilisateur qui ne remarque rien d'anormal sur son PC, continuera de l'utiliser comme d'habitude – autrement dit, de saisir ses données confidentielles, elles-mêmes détournées par des cybercriminels.

Puis la furtivité…

Une seconde raison – qui est en soi importante afin d'éviter une détection trop rapide par les antivirus –, c'est que les programmes malveillants qui infectent les systèmes victimes sont hébergés sur un serveur Web. Cela implique la possibilité de modifier leurs fichiers très facilement, moyennant des outils automatisés selon une méthode bien connue qui porte le nom de polymorphisme serveur ou côté-serveur. Contrairement au polymorphisme régulier ou local (où l'algorithme permettant de modifier le code se trouve à l'intérieur du code malveillant), il est impossible pour les chercheurs antivirus d'analyser l'algorithme de modification, car celui-ci se trouve sur le serveur distant. Il est certes possible de créer des routines génériques pour détecter des programmes à polymorphisme hébergé, mais cela prend plus de temps.

En plus des facteurs précédents, certains des téléchargeurs les plus sophistiqués sont conçus pour s'auto-détruire (" se diluer ") après avoir téléchargé le malware financier, que ce soit avec ou sans succès. Ce comportement limite naturellement le diagnostic des antivirus et des spécialistes criminels.

Passeurs d'argent ou money mules

L'augmentation du malware financier est le produit d'une criminalisation croissante du cyberespace, avec des logiciels malveillants utilisés pour gagner de l'argent. En plus de voler des fonds, les cybercriminels doivent aussi mettre au point une méthode leur permettant de les récupérer. Bien évidemment, les criminels ne vont pas se risquer à transférer l'argent volé sur leurs propres comptes, ce qui permettrait de les identifier facilement et augmenterait pour eux le risque d'arrestation et de poursuites.

Les banques réagissent à l'augmentation du nombre d'attaques en investissant davantage de temps, d'argent et d'efforts dans l'élaboration de mécanismes de détection de fraudes ou d'activités illégales. Par exemple, un signal d'alerte est déclenché quand une grande quantité d'argent va être transférée vers une région suspecte du monde.

Pour contourner de telles mesures, les cybercriminels font appel à des passeurs d'argent, parfois appelés des " mulets ". Ces passeurs sont souvent recrutés via des offres d'emploi classiques – par exemple, des cybercriminels publiant une annonce recherchant un " directeur financier ". Selon toute vraisemblance, quand le candidat répond à l'offre, il reçoit des documents en apparence officiels à signer pour que tout semble légitime. Le passeur communique son propre compte en banque, pour recevoir les transactions, puis transfère à nouveau 85 % à 90 % des sommes reçues grâce aux services d'entreprises comme MoneyGram ou E-Gold. Ces services sont utilisés parce qu'ils garantissent l'anonymat, ce qui réduit le risque de capture pour les cybercriminels. Les fonds restants sont la " commission " du passeur – il s'agit bien sûr d'argent acquis illégalement par hameçonnage ou par malware financier.

 
Fig. 4 Offre d’emploi pour recruter des passeur d’argent

Travailler comme mulet semble un moyen facile de gagner de l'argent, et certains pensent exercer une activité légitime. En réalité, ils sont juridiquement considérés comme complices des criminels, à l'inverse des victimes d'une escroquerie par hameçonnage. Les e-passeurs courent le risque d'être poursuivis et arrêtés, en particulier s'ils résident dans le même pays que la victime.

Les cybercriminels trouvent plusieurs avantages à engager des passeurs d'argent. D'abord, quand le passeur et le fraudeur vivent dans le même pays, il existe un moindre risque que les systèmes bancaires de détection automatique signalent cette transaction comme étant suspecte. Par ailleurs, le fraudeur peut utiliser plusieurs passeurs et diviser le montant à transférer – par exemple, il peut choisir de transférer 5000 € dix fois de suite, plutôt que 50 000 $ en une seule fois. Cela réduit le risque que la transaction soit signalée comme suspecte, et cela permet aussi de limiter les pertes, si une ou deux opérations sont finalement stoppées.

Naturellement, travailler avec des passeurs d'argent comporte certains risques ; les cybercriminels ont les moyens de s'assurer qu'ils peuvent leur faire confiance. Après tout, rien ne permet vraiment de garantir que le passeur ne va pas tout simplement disparaître avec l'argent reçu sur son compte.

Hameçonnage ou phishing

Quand on aborde le sujet du hameçonnage, il est important d'en donner une définition claire. Le hameçonnage désigne un système d'envoi de courriers contrefaisant une organisation (ici, financière), destinés à tromper l'utilisateur afin que ce dernier communique des informations confidentielles. Cette définition recouvre essentiellement la partie d'ingénierie sociale, car dès qu'un logiciel malveillant entre en action, l'attaque ne peut plus être assimilée seulement à du hameçonnage.

Le flux continu de courriers et le nombre de kits de fabrication spécialisés disponibles montre clairement que le hameçonnage reste un moyen efficace permettant de convaincre les utilisateurs de communiquer leurs identifiants d'accès. On peut donner plusieurs explications. Tout d'abord, les campagnes de sensibilisation des utilisateurs n'ont pas eu le résultat escompté et les gens continuent de cliquer sur les hameçons contenus dans les messages électroniques. Les utilisateurs ne connaissent pas ou ne prêtent pas suffisamment attention aux mécanismes de sécurité (l'adresse HTTPS, par exemple), ou tout simplement ignorent les avertissements concernant la présence de certificats non valides ou non vérifiables sur les sites Web. En outre, dans le but de maximiser leurs profits, les cybercriminels travaillent sans cesse à la mise au point de systèmes d'ingénierie sociale plus sophistiqués, et parviennent ainsi à tromper les utilisateurs les plus sensibilisés sur les thèmes de sécurité.

Un autre problème est qu'une attaque très simple (par hameçonnage) suffit à briser les défenses de la majorité des institutions financières. L'examen rapide des mesures de sécurité prises par un certain nombre de banques aux États-Unis, au Royaume-Uni et ailleurs montre que leur système d'accès en ligne repose sur l'emploi statique d'un nom d'utilisateur et d'un mot de passe. Par conséquent, tout ce qu'un cybercriminel doit faire, c'est obtenir le nom d'accès et le mot de passe d'un utilisateur pour avoir libre accès à pratiquement toutes les opérations bancaires. Ce procédé d'identification statique par nom d'utilisateur et mot de passe présente un autre inconvénient, à savoir que ces données peuvent être stockées ce qui signifie que les cyber criminels ou des tiers non autorisés n’ont pas besoin de traiter les données en temps réel, ils peuvent le faire au moment qui leur convient.

Les banques dotées des meilleures stratégies de sécurité utilisent au moins un mot de passe dynamique : un mot de passe à usage unique, valable pour une seule session. Ce mode d'authentification dynamique peut être utilisé lorsque l'utilisateur ouvre une session, lorsqu'il confirme une transaction ou, de préférence, dans ces deux situations. Grâce à cette approche, il devient impossible de confirmer une transaction et même, en théorie, d'ouvrir une session avec un mot de passe périmé.

Pour qu'un cybercriminel puisse effectuer des opérations à partir de mots de passe dynamiques récupérés par hameçonnage, il lui faut s'appuyer sur une attaque " en présence de l'utilisateur " ou MitM (de l'anglais Man-in-the-Middle). Nous reviendrons sur ce type d'attaque dans la suite de l'article. La mise en œuvre d'une attaque MitM est par nature plus difficile que celle d'un site d'hameçonnage, mais des kits MitM sont disponibles, et ils permettent aux cybercriminels d'organiser des attaques contre les banques les plus communes, avec un minimum d'effort.

La généralisation du hameçonnage est une preuve évidente de son succès. L'hameçonnage fonctionne sur les principaux systèmes d'exploitation. Mais il présente cependant un inconvénient majeur pour les cybercriminels : c'est à l'utilisateur que revient la décision de cliquer sur un lien présent dans un courrier, de même que celle de saisir ses identifiants d'accès sur une page Web.

La gestion du facteur choix fait partie intégrante de toutes les démarches fondées sur l'ingénierie sociale. En revanche, une approche technique mettant en œuvre des logiciels malveillants permet d'éliminer l’étape du choix, c'est pourquoi les utilisateurs dont le comportement ne dépend pas d'une escroquerie par hameçonnage restent toujours une cible viable.

Attaques automatisées

Le malware financier se présente sous toutes les variantes imaginables, et peut souvent être adapté pour cibler une seule organisation. Le fonctionnement des logiciels malveillants est normalement déterminé par le système de défense de la banque. Autrement dit, il n'est pas nécessaire pour les cybercriminels de s'investir dans la création de logiciels inutilement compliqués. Plusieurs méthodes sont utilisées par les auteurs malveillants pour contourner les systèmes de sécurité bancaires et accéder jusqu'aux données de leurs clients. Par exemple, si une banque utilise seulement un système d'authentification statique, avec un nom d'utilisateur et un mot de passe, il suffit de capturer les frappes au clavier. Certaines banques présentent des claviers dynamiques avec des touches disposées au hasard, pour que l'utilisateur saisisse son mot de passe. Dans ce cas, les auteurs malveillants disposent de deux méthodes différentes pour contourner ces mécanismes de sécurité – ils peuvent soit capturer l'écran du site visité par l'utilisateur ou tout simplement récupérer sur le formulaire les informations transmises au site. Dans les deux cas, le traitement des données volées est reporté à plus tard.

Le recours à des numéros d'autorisation de transaction (TAN) pour confirmer des opérations rend un peu plus complexe l'accès aux comptes bancaires. Un TAN peut soit figurer sur une liste fournie par l'organisme financier, soit avoir été transmis par SMS, au titulaire du compte. Dans un cas comme dans l'autre, le cybercriminel n'a donc pas accès à ce TAN. En général, le logiciel malveillant employé se charge alors de capturer les informations saisies par l'utilisateur, comme décrit plus haut. Dès que l'utilisateur saisit un TAN, le logiciel malveillant l'intercepte puis soit affiche un faux message d'erreur, soit transmet un TAN incorrect vers le site financier. Il se peut que l'utilisateur doive alors saisir un autre TAN. Il arrive qu'une organisation demande 2 TAN avant de conclure une transaction – cela dépend de l'organisation et des systèmes de sécurité mis en œuvre. Si un seul TAN est nécessaire pour effectuer une opération, l'attaque telle que nous venons de la décrire permettrait au cybercriminel de réaliser deux transactions.

Le succès de ce type d'attaques dépend énormément du système de gestion des numéros d'autorisation. Certains systèmes ne prévoient pas de date d'expiration pour les TAN, il suffit alors de déterminer quel est le prochain TAN sur la liste pour l'utiliser. Selon que le TAN suivant sur la liste donne accès au site bancaire, le criminel peut alors l'utiliser immédiatement ou le conserver pour plus tard. Mais la durée de vie des TAN volés est plus courte que celle d'un nom d'utilisateur et d'un mot de passe, car lorsqu'un utilisateur rencontre des problèmes répétitifs au cours d'une connexion bancaire, il est probable qu'il prenne contact avec sa banque pour demander de l'aide.

Dans le cas d'un SMS envoyé au titulaire du compte, il est possible d'émettre un TAN différent et unique pour chaque transaction, selon un procédé d'authentification à deux facteurs. À ce moment là, les cybercriminels doivent assurer un traitement en temps réel des données, moyennant une attaque en présence de l'utilisateur ou MitM (" Man-in-the-Middle ")

Redirection du trafic

Une autre méthode utilisée par les cybercriminels est la redirection du trafic. Il existe plusieurs façons d’appliquer cette méthode, la plus facile étant de modifier le fichier " hosts " de Windows.

Ce fichier, situé dans le répertoire %windows%\system32\drivers\etc, se substitue aux requêtes DNS (Domain Name Server, serveur de noms de domaine). Un DNS est utilisé pour convertir des noms de domaine, tels que www.kaspersky.com, en une adresse IP. Le seul intérêt des noms de domaine est leur aspect pratique et convivial, car les ordinateurs utilisent uniquement des adresses IP. Si donc le fichier Hosts est modifié pour faire pointer un nom de domaine en particulier vers l'adresse IP d'un site contrefait, il se produit une redirection des connexions de l'ordinateur vers ce site.

Une autre méthode de redirection du trafic passe par la modification directe des paramètres DNS. Au lieu d'essayer de le contourner, les paramètres sont modifiés pour que la machine consulte un autre serveur DNS, malveillant. La plupart des gens qui surfent depuis leur domicile utilisent le serveur DNS de leur fournisseur d'accès Internet. La grande majorité de ce type d'attaque vise par conséquent des postes de travail. Cependant, lorsqu'un routeur est utilisé pour accéder à l'Internet, c'est le routeur qui exécute les requêtes DNS et qui les retransmet aux postes de travail. Un certain nombre d'attaques ont été mises au point pour modifier les paramètres DNS du routeur. Étant donné l'attention croissante portée sur les failles de sécurité des routeurs, on peut s'attendre à une augmentation de ce type d'attaques. Des attaques XSS permettent de modifier certains paramètres essentiels, comme ceux des serveurs DNS utilisés, en invitant simplement l'utilisateur à visiter un site Web spécifique.

Encore une autre méthode de redirection du trafic passe par l’installation d’un cheval de Troie sur la machine de la victime, lequel sera chargé de surveiller les sites visités. Dès que l'utilisateur se connecte à un site bancaire (ou tout autre organisme financier), le cheval de Troie redirige le trafic vers un site Web contrefait. Il arrive que le trafic soit redirigé d'un site HTTPS vers un autre site HTTP (non sécurisé). Dans ce cas, le cheval de Troie est généralement capable de faire disparaître tout message d'avertissement émis par le navigateur.

Mais d'un point de vue cybercriminel, cette méthode présente encore des inconvénients : ces chevaux de Troie sont en général du type " Browser Helper Objects ", ce qui signifie qu'ils ne fonctionnent qu'avec Internet Explorer. Par ailleurs, même avec une redirection de trafic, le traitement ne se fait pas en temps réel, ce qui laisse à la victime la possibilité de contacter sa banque pour stopper la transaction.

Attaques en présence de l'utilisateur (MitM)

Dans une attaque " en présence de l'utilisateur " ou MitM (Man-in-the-Middle), les cybercriminels mettent en œuvre des logiciels plus sophistiqués qui leur permettent non seulement d'attaquer un plus grand nombre de banques, mais aussi d'obtenir de plus gros profits, car les données sont traitées en temps réel. Une attaque MitM fait appel à un serveur malveillant chargé d'intercepter tout le trafic entre le client et le serveur, c'est-à-dire entre le titulaire du compte et l'organisme financier. Tout semble normal en apparence, mais quand l'utilisateur est invité à confirmer son opération, son autorisation sert en réalité à valider une transaction créée par le cybercriminel. Les logiciels malveillants qui mettent en œuvre une attaque MitM s'assurent généralement de masquer les avertissements du navigateur au sujet de certificats Web contrefaits ou, plus fréquemment, ils affichent un avertissement falsifié. Mais il arrive aussi que, selon l'approche employée par le logiciel malveillant, aucune de ces mesures ne soit nécessaire. Ainsi, après la connexion d'un utilisateur à une banque en ligne, le logiciel malveillant peut prendre le contrôle de la connexion et rediriger le trafic vers un serveur MitM, qui se contentera de faire la " mise à jour " de la page provenant de la banque, pour faire croire à l'utilisateur qu'il est toujours connecté au même site.

Bon nombre de malware financier parmi les plus avancés mettent en œuvre des attaques MitM. Ils ont également recours à des injections de code HTML.

Ce procédé se manifeste généralement selon une ou deux manières. Les chevaux de Troie de la série Trojan-Spy.Win32.Sinowal, très répandus et capables d'attaquer plus de 750 banques, affichent souvent des fenêtres de dialogue dans lesquelles l'utilisateur doit saisir des informations. En pratique, les fenêtres de dialogue de Sinowal demandent des informations sans aucun rapport, pour mieux persuader l'utilisateur de saisir d'autres données confidentielles. La capture d'écran ci-dessous montre une fenêtre de dialogue générée par Sinowal sur un site bancaire – il demande à l'utilisateur les données de sa carte de crédit sans les associer à la transaction en cours.


Fig 5. Image d'un message de Sinowal demandant de saisir la carte de crédit

Une utilisation plus répandue de l'injection de code HTML consiste à ajouter au site bancaire de nouveaux formulaires avec des textes invitant l'utilisateur à saisir des informations complémentaires.

Normalement, les données demandées sont des identifiants requis pour confirmer une transaction. De cette manière, un serveur MitM parvient à effectuer automatiquement une transaction, même dans un système d'authentification à deux facteurs.

Même si ce procédé n'est pas indispensable pour réussir une attaque MitM, c'est encore la solution la plus facile à automatiser. Cependant, certaines attaques MitM utilise une toute autre tactique ; une nouvelle opération s'ajoute à celle autorisée par le titulaire, ou bien l'opération d'origine est modifiée – naturellement sans que la victime en soit informée.

Les attaques MitM sont habituellement couronnées de succès quoiqu’elles présentent certains inconvénients pour les cybercriminels. Une attaque MitM tend à ralentir la navigation au point d'éveiller les soupçons de l'utilisateur. En outre, les banques révisent leurs systèmes de sécurité, en particulier pour identifier de manière heuristique des transactions illégitimes. Par exemple, si les 99 connexions client précédentes proviennent d'une certaine adresse IP mais la 100ème utilise une adresse IP localisée dans un autre pays, le système émet une alerte.

Dans leur recherche d'un meilleur rapport risques / bénéfices, les cybercriminels travaillent sur d'autres procédés d'attaque. C'es ainsi que nous assistons au développement de la prochaine génération de malware financier : les attaques utilisant la connexion de l'utilisateur, ou MitE (Man-in-the-Endpoint).

Prochaine génération

Bien que le concept ait fait l'objet de débats pendant des années, ce n'est que récemment que les attaques MitE ont été activement utilisées sur le terrain. Contrairement à une attaque en présence de l'utilisateur (MitM), une attaque utilisant la connexion de l'utilisateur (MitE) n'implique pas l'utilisation d'un serveur supplémentaire pour intercepter le trafic entre le client et le serveur. Au lieu de cela, toutes les modifications sont faites sur le système local.

Cette approche présente de nombreux avantages. Tout d'abord, une connexion directe est établie avec l'organisme financier, de sorte qu'il n'y a pas de risque qu'une adresse IP inconnue provoque une alerte. En second lieu, une attaque utilisant la connexion de l'utilisateur (MitE) aura forcément plus de chances de réussir qu'une autre utilisant sa seulement présence (MitM), face à un système doté de défenses complexes.

En revanche, la création de logiciels MitE exige beaucoup de temps et d'efforts. Un scénario d'attaque passe par l'infection du système par un cheval de Troie permettant de capturer tout le trafic HTTPS. Le trafic capturé est renvoyé à des auteurs de logiciels malveillants, ce qui leur permettra de reconstituer le contenu du site. La structure du site est alors utilisée pour créer un second cheval de Troie.

Les cybercriminels utilisent habituellement des modèles MitE pour attaquer des banques dotés de systèmes d'authentification à deux facteurs, car ces derniers rendent difficile l'accès aux zones transactionnelles du site Web de la banque. La méthode décrite auparavant est efficace d'un point de vue technique. Elle élimine également la nécessité de localiser des utilisateurs sur place, pouvant fournir des identifiants d'accès au site.

Le plus souvent, les chevaux de Troie utilisés pour l'attaque récupèrent leurs instructions à partir d'un " serveur de commandes et de pilotage " où les criminels stockent les numéros de compte et le montant de l'argent à transférer. Comme un tel processus peut être dynamique, chaque machine infectée peut recevoir des instructions différentes, et être chargée de transférer les fonds sur les comptes de passeurs différents.

On remarquera que les auteurs peuvent créer une série de logiciels malveillants, avec des variantes adaptées aux mécanismes de sécurité de chaque banque concrètement. Le but est de rendre les attaques aussi efficaces que possible. Par exemple, dans le cas d'une certaine banque, le cheval de Troie va secrètement ajouter une seconde transaction, mais dans une autre, il va directement modifier la transaction pour ne pas éveiller les soupçons de l'utilisateur.

Solutions

Les institutions financières du monde entier doivent affronter des pertes financières croissantes à cause de la cybercriminalité. Certes, investir dans l'amélioration de la sécurité exige beaucoup d'argent. Mais c'est une décision que les banques doivent prendre sans aucun doute. Comme le montre cet article, il est très facile pour les cybercriminels de contourner un modèle d'authentification à un seul facteur – un simple programme suffit pour capturer les frappes au clavier. Il est donc encourageant que la plupart des banques qui n'ont pas encore mis en place un système d'authentification à double facteur aient prévu de le faire.

On assiste cependant à une évolution claire : l'augmentation des systèmes d'authentification à deux facteurs par les organismes financiers s'accompagne d'une augmentation du nombre de logiciels malveillants capables de les contourner. Cela signifie que sur le long terme, l'adoption d'un système d'authentification à deux facteurs n'aura pas de résultats significatifs. Il place tout simplement la barre plus haut pour le malware financier.

D'un autre côté, il convient de noter que la plupart des banques qui utilisent actuellement une authentification à deux facteurs n'ont pas encore configuré leurs systèmes pour garantir une sécurité maximale. Cela signifie que tout un pan d'opportunités est encore grand ouvert, que l'industrie de la sécurité devra occuper pour contrer les attaques cybercriminelles.

Un problème fondamental demeure dans le cas de l'authentification à deux facteurs, à savoir que, bien que la session elle-même soit sécurisée, ce qui se produit au cours de cette session n'est pas vérifié. Afin d'accroître la sécurité, d'autres formes de communication, comme l'utilisation de jetons cryptographiques ou de messages SMS (déjà mis en œuvre par certaines institutions financières) est nécessaire. Les messages SMS peuvent fixer des limites à la durée de vie d'un TAN, aux numéros de compte consultables et au montant maximum des opérations autorisées.

Évidemment, cette méthode introduit un effet secondaire potentiel, à savoir qu'elle pousse les auteurs de virus à créer des logiciels malveillants qui s'exécuteront sur les appareils récepteurs des messages SMS. Le choix du jeton cryptographique est donc une meilleure solution, car il n'offre pas l'occasion de développer de logiciel complémentaire. Dans l'idéal, deux algorithmes séparés devraient être mise en œuvre, d'une part, pour se connecter sur le site et, d'autre part, pour autoriser une opération.

Actuellement, pour authentifier une opération, les clients utilisent une confirmation chiffrée. Le principal problème de ces codes chiffrés est leur absence de signification pour le client. Il convient donc d'utiliser un nouveau code différent pour chacune des opérations. Mais demander une confirmation supplémentaire avant le transfert du montant total n'est pas toujours une méthode sûre. En effet, certains chevaux de Troie sont déjà capables de contourner ce mécanisme en altérant le numéro de compte, sans avoir à ajouter une autre transaction.

Une confirmation sécurisée impliquerait que le client saisisse les détails du compte vers lequel il souhaite transférer les fonds – selon un procédé impossible à anticiper par des logiciels malveillants ou par les cybercriminels. L'avantage de cet autre scénario, c'est que le numéro de compte serait alors clairement présenté à l'utilisateur, ce qui, en principe, devrait augmenter les chances de détecter une transaction incorrecte, ce qui n'est pas le cas avec le contenu d'un SMS.

En outre, un tel mécanisme pourrait être rendu plus convivial en offrant la possibilité pour le client de créer une liste blanche de numéros de compte qui n'auront pas besoin d'authentification supplémentaire. Mais cela implique d'avoir à sécuriser aussi bien la liste blanche que la procédure permettant d'y accéder.

Il est évident qu'un gros effort dépend des banques et des institutions financières, et de leur volonté de mettre en place des mesures de sécurité appropriées. En raison de la nouveauté relative des procédures bancaires en ligne, les fournisseurs de produits antivirus ont aussi leur rôle à jouer : leurs solutions sont-elles capables de détecter le malware financier actuel ? À quel point peuvent-ils détecter les nouvelles variantes de logiciels malveillants et d'hameçonnage ?

En dernier ressort, la force d'une solution ou d'un processus de sécurité dépend de son maillon le plus faible et, dans ce cas, il s'agit du client lui-même. Va-t-il cliquer sur un lien ou ouvrir une pièce jointe ? Son système est-il à jour, tous les correctifs sont-ils installés ? Les institutions financières ont déjà pris en compte ce type de contingences et certains organismes (par exemple, en Nouvelle-Zélande) vont même jusqu'à refuser de dédommager les pertes si les ordinateurs attaqués n'étaient pas parfaitement à jour.

Malheureusement, l'expérience des fabricants d'antivirus montre que la sensibilisation des utilisateurs a un effet limité, tandis que les mesures de sécurité prises par les institutions n'ont pas plus d'effet qu'un coup d’épée dans l'eau. En ce qui concerne les attaques contre des banques, tout semble indiquer que les fabricants d'antivirus restent toujours en première ligne, pour protéger à la fois les utilisateurs et les institutions financières.


Auteur: Roel Schouwenberg
Ingénieur Recherche et Développement, Kaspersky Lab Benelux

Roel a toujours été fasciné par la sécurité informatique. Lorsque son antivirus a échoué face à l'apparition d'un nouveau virus, son intérêt n'a fait qu'amplifier et il décida de se consacrer à l’étude des virus. Roel a rejoint Kaspersky Lab en 2004 où ses responsabilités actuelles s'étendent à la surveillance de la situation malicieuse dans la région, des analyses préliminaires de codes malicieux et le développement de traitement contre les nouveaux virus.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com