Résumé
Une récente vague d’attaques visant les solutions bancaires d’entreprises a été observée au Luxembourg et en Europe. Les attaquants effectuent des transferts illégaux d’argent à partir de ces solutions bancaires en volant le code PIN dans le but de débloquer la carte à puce et d’abuser de l’application grâce au malware installé sur le PC des victimes. Les attaquants utilisent plusieurs techniques, dont des appels téléphoniques, pour forcer l’utilisateur à effectuer des actions malveillantes. Nous recommandons vivement à tout utilisateur d’une telle solution d’examiner nos recommandations ci-dessous et de veiller à ce que l’infrastructure utilisée pour de tels services soit sûre et adéquate.
Recommandations afin de prévenir la fraude
Afin de maximiser la résilience contre ce type de fraude, CIRCL recommande la mise en œuvre des points suivants:
- Utiliser un ordinateur dédié pour les transactions bancaires: un ordinateur qui n’est utilisé pour rien d’autre que les transactions bancaires.
- Lorsque vous utilisez un lecteur de carte: n’insérez votre carte à puce que le temps de votre transaction. Retirez la carte du lecteur immédiatement après signature et ne la laissez jamais sans surveillance dans le lecteur.
- Limitez le nombre de logiciels sur cet ordinateur à un strict minimum. Evitez la navigation Web en dehors du cadre de ces opérations bancaires; une attention spécifique est requise lorsque vous traitez des e-mails (voir le paragraphe sur la sensibilisation).
- Retirer les plug-ins et les extensions non utilisés du navigateur. Si des plug-ins spécifiques sont nécessaires, gardez-les toujours à jour.
- Mettez à jour de manière automatique le système d’exploitation dès que de nouvelles mises à jour sont publiées.
- Contrôlez le réseau: laissez cet ordinateur dédié uniquement accéder à Internet sur les sites et les ports requis par l’application bancaire.
- Empêchez les mouvements latéraux des attaquants: désactivez tous les services de réseau locaux ouverts ou utilisez un pare-feu pour les rendre inaccessibles.
- Sensibilisez les utilisateurs :
- Si vous recevez un message de maintenance (ou un appel téléphonique ou un courrier), contactez le fournisseur du service et demandez des explications.
- Ne faites pas confiance à l’affichage du numéro de téléphone. Les criminels utilisent des techniques pour afficher le “caller-id” d’un organisme ciblé pour établir un lien de confiance.
- Ne cliquez sur aucun lien ou url recu par email ou par téléphone ou un courrier.
- N’ouvrez pas les e-mails, ou leurs pièces jointes, de gens dont vous n’attendez pas d’e-mails.
- Types de fichiers critiques à ne pas ouvrir ou à vérifier avec le département de la sécurité informatique (ou CIRCL), de parties non fiables : Word, Excel, Screensaver, Exe-files, Rar, Zip, PDF.
- Ne pas utiliser l’ordinateur pour autre chose que l’utilisation financière dédiée.
- N’ayez pas peur de demander si quelque chose ne semble pas habituel.
- Ne vous laissez pas mettre sous pression par des messages (par courrier, téléphone ou email) et vérifiez avec votre banque.
Si vous êtes victime de cette fraude
- Contactez la ou les banques et l’opérateur de service de l’application financière afin de faire bloquer immédiatement les transactions frauduleuses et les cartes à puce.
- Faites une acquisition de la mémoire du système si le système est toujours actif.
- Puis une acquisition des disques du système infecté.
- Après vérification de l’intégrité de l’image du disque, mettez le dans un endroit sûr. Si possible, faites une autre copie du disque.
- Contactez CIRCL si vous souhaitez recevoir un soutien technique pour tout type d’analyse.
- Contactez la police si vous avez l’intention de poursuivre les assaillants.
- Installez un nouveau système à partir de supports de confiance: système d’exploitation et systèmes bancaires.
- Changez le code PIN de la carte à puce sur ce nouveau système.
Ne vous attendez pas à ce qu’un produit AntiVirus soit capable de nettoyer correctement un système infecté. Même si celui-ci vous informe qu’il a nettoyé certaines parties de l’infection, les infections inconnues sont susceptibles de rester.
La réinstallation du système est le seul moyen fiable de continuer votre travail.
Support du CIRCL
CIRCL peut vous aider dans diverses situations : des formations techniques jusqu’à la réponse sur incident. Le support des sujets abordés dans ce document technique comprend :
- Accédez aux Indicators of Compromise sharing database (MISP) incluant les indicateurs pour des menaces similaires.
- Accédez au système de Dynamic Malware Analysis (DMA).
- Formations techniques pour les équipes locales de réponses aux incidents.
Références
Classification de ce document
TLP:WHITE L’information peut être distribuée sans restriction, mais est soumise à des contrôles de droits d’auteur.
Revision
- Version 1.0 - TLP:WHITE - First version (20150518)
- Version 1.0 (fr) - TLP:WHITE - Translation (20150528)
- Version 1.1 (fr) - TLP:WHITE - Updated with phone calls (20170509)