“Carbanak”: le casse du siècle. Ou comment voler 1 milliard de dollars sans armes à feu !

Un grand nombre de banques ont été virtuellement cambriolé grâce à une cyberattaque d’un nouveau genre. Depuis 2013, des banques du monde entier ont été hacké. Montant estimé des pertes, près d’un milliard de dollars.

Révélé par l’éditeur d’antivirus Kaspersky, lundi 16 février 2015, ce programme baptisé Carbanak, a infiltré une centaine de banques, de systèmes de paiements électroniques et d’institutions financières, dans plus de 30 pays.

Par une méthode de “phishing” (ou “hameçonnage”), ce groupe de hackers a réussi à infecter les postes de travail d’employés de banques par l’intermédiaire d’un e-mail très personnalisé en se faisant passer pour un proche ou un collègue. Une fois la pièce jointe malicieuse ouverte, l’ordinateur infecté a copié le ver informatique (définition) sur le réseau interne de la société. Le programme se propage alors d’un pc à un autre en utilisant le fichier contact jusqu’à remonter aux ordinateurs des administrateurs ayant accès aux caméras de vidéosurveillance.

phishingPHISHING (hameçonnage ou filoutage) est une technique par laquelle des personnes malveillantes se font passer pour de grandes sociétés ou des organismes financiers qui vous sont familiers en envoyant des mails frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds. (Source : DGCCRF)
Les campagnes de “phishing” ciblés ont augmenté de 91%, souligne le dernier rapport sur les menaces en ligne de la société Symantec. Le “phishing” représente dans le monde un e-mail envoyé sur 392.

Modus operandi

modus operandiEn prenant la main sur les systèmes de surveillance et sur le réseau informatique de gestion des distributeurs de billets, les hackers ont piraté les codes d’accès des employés et ainsi accédé aux comptes des clients des différentes banques afin de transférer et d’encaisser l’argent, selon trois modes opératoires :
1. Le transfert direct d’argent sur leurs comptes pour effectuer des achats en ligne, le plus souvent situés en Chine et aux Etats-Unis.
2. Le gonflement de plusieurs milliers de dollars de certains comptes de particuliers avant d’effectuer un virement vers leurs comptes en prenant bien soin de conserver le solde initial du client de la banque de façon à ne pas éveiller les soupçons.
3. La prise de contrôle de distributeurs automatiques de billets, où un complice, à un moment très précis et de manière simultanée sur plusieurs continents, n’avait plus qu’à attendre en face de la machine pour récupérer l’argent.
L’entreprise de sécurité Kaspersky affirme qu’en moyenne il a fallu entre deux et quatre mois aux hackers pour infecter le premier ordinateur et retirer de l’argent. Dans ce cas c’est la quantité de ces transferts qui leur a permis d’amasser un tel magot. Cette campagne, toujours en cours malgré la divulgation de l’affaire il y a presque un an indique clairement l’avènement d’une nouvelle ère pour la cybercriminalité.cibles

7 commandements pour se prémunir du “phishing”

1. Méfiez-vous. Un e-mail étrange, un message privé sur Facebook, une publicité sur Twitter, etc. En cas d’e-mail frauduleux, ne répondez pas, ne le transférez pas.
2. Ne rien indiquer par e-mail. Aucun service gouvernemental, banque, organisme officiel, ou plus généralement de sites web ne demandera à ses clients de saisir son identifiant et mot de passe dans un e-mail. Même chose pour les coordonnées bancaires.
3. Le cadenas avant tout. Bien vérifier l’adresse (l’URL) du site web que l’on souhaite visiter avant de se connecter. Ensuite, avant de saisir des informations personnelles (identifiants, coordonnées bancaires…), veillez à ce que le site soit sécurisé, c’est-à-dire qu’un cadenas apparaisse dans le navigateur et que l’adresse du site commence par HTTPS au lieu de HTTP.
4. Ne pas cliquer sur les liens. En cas de doute sur la provenance d’un e-mail (bien vérifier l’adresse d’expédition), il est déconseillé de cliquer sur un lien contenu dans celui-ci. Il est préférable de saisir manuellement l’adresse dans le navigateur.
5. Gare à l’urgence. Il faut faire preuve de vigilance pour tous les e-mails et messages prétextant une urgence. Même chose pour les liens “attractifs” ou “exclusifs”. Enfin, il convient de prêter attention à l’orthographe ainsi qu’à la langue utilisée.
6. Filtrer sa machine. Utiliser une solution de sécurité complète qui protège à la fois contre le “phishing” et les arnaques sur les réseaux sociaux. Ces solutions peuvent être couplées aux filtres contre le “filoutage” mis en place par les navigateurs internet, ou anti-spam contre les e-mails malveillants. Sans être parfaits, tous ces filtres permettent de limiter l’exposition aux tentatives de “phising”.
7. Le doute est permis. En cas de doute ou de problème, il convient de prendre contact rapidement avec sa banque ou le service concerné.

L’abus d’utilisation d’informations personnelles peut être signalé aux autorités compétentes. Si vous pensez avoir été victime de “phishing”, signalez-le sur : https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
Le signalement sera traité par le service de police judiciaire spécialisé dans ces questions, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) ou par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Les limites des systèmes de sécurité

La sécurité informatique, c’est 80% de bon sens et 20% de technique. En réalité la sécurité informatique est l’affaire de tous. Il n’y a pas de réponses simples aux problèmes de sécurité informatique et les problèmes de sécurité sont souvent liés à des problèmes humains.
Tous les systèmes en place ne pourront rien contre les hackers. Les hackers sont mille fois plus motivés que ceux qui gèrent la sécurité informatique. La culture de la sécurité n’existe pas ou trop peu dans les entreprises, banques, institutions et se fait à moindre coût. Un quart d’entre elles échouent lors des audits de sécurité, et il n’existe pas de protection infaillible contre le phishing évoqué plus haut, celui-ci exploitant des erreurs humaines et non pas des failles informatiques.

Au total (vols d’argent, de propriété intellectuelle, d’informations stratégiques des entreprises, etc.), les pertes liées à la cybercriminalité dans le monde atteindraient les 400 milliards de dollars selon le CSIS (Center for Strategic and International Studies) ce qui fait des pirates informatiques les voleurs les plus productifs.

La sensibilisation et la formation des utilisateurs sont primordiales. Sans elles, les efforts techniques de sécurité sont vains.

 

Désiré Bruckmann PhotoDESIRE BRUCKMANN
Analyste et Veilleur Stratégique
En cours de spécialisation en E-business et Webmarketing.
Etudiant en Master 2 « Commerce Electronique » (Université de Strasbourg) et titulaire d’un Master 2 « Marketing, Gestion Relation Client, Développement d’affaires ».

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.