De quoi avez-vous besoin pour retirer de l’argent dans un guichet automatique ? Premièrement, vous avez besoin d’une carte bancaire qui agit comme une clé vers votre compte bancaire. Deuxièmement, vous ne pouvez rien faire sans le code PIN de votre carte, sinon la banque n’approuverait pas la transaction. Et troisièmement, vous devez avoir de l’argent sur votre compte. Mais c’est différent pour les pirates : ils n’ont pas besoin de carte, de code PIN ou même de comptes bancaires pour obtenir de l’argent. Tout ce dont ils ont besoin c’est en fait d’un distributeur automatique avec de l’argent dessus et un logiciel spécialisé.
Plus tôt cette année, à la demande d’une institution financière, nos collègues de la GReAT Team (notre équipe internationale de recherche et d’analyse) ont réalisé une enquête sur des attaques cybercriminelles ciblant plusieurs distributeurs automatiques en Europe de l’Est. Et ce qu’ils ont découvert est plutôt impressionnant. Imaginez juste cela : un individu se rend à un distributeur automatique, rentre son code PIN et obtient automatiquement 40 billets, puis d’autres, et même encore d’autres. Comment est-ce possible ? Nos experts expliquent que cela est dû au cheval de Troie appelé Tyupkin qui infecte les PC des distributeurs automatiques et les forces à distribuer des billets quand un code spécial est rentré.
Les #pirates ont utilisé des douzaines de distributeurs pour retirer le plus d’argent possible
Tweet
Comme l’enquête le montre, les criminels accèdent parfois physiquement aux distributeurs afin d’installer un malware via un CD de démarrage inséré dans la machine Windows. Le cheval de Troie lui-même dispose de capacités plutôt intéressantes. Premièrement, une fois activé sur le distributeur, il peut désactiver le logiciel antivirus McAfee Solicare afin de pouvoir réaliser son travail facilement et sans aucuns problèmes. Deuxièmement, pour éviter sa détection accidentelle, le cheval de Troie Tyupkin peut rester en mode stand-by pendant une semaine et s’activer par exemple le dimanche et le lundi soir. Troisièmement, il peut désactiver le réseau local en cas d’urgence afin que la banque ne puisse pas se connecter à distance au distributeur afin de vérifier ce qu’il lui arrive.
Grâce à toutes ces fonctionnalités, tout ce que le pirate a à faire est de se rendre au distributeur infecté et de rentrer un code PIN spécial afin d’accéder à un menu secret qui lui permettra de retirer de l’argent ou de contrôler le cheval de Troie (pour par exemple, le supprimer). Pour réaliser un retrait, la personne doit connaitre la commande appropriée, mais aussi une formule pour calculer la clé de session – une sorte d’authentification à deux facteurs. Si les deux codes sont correctes, un second menu apparait permettant au criminel de choisir le numéro du bac et retirer l’argent. Malgré le fait que seul 40 billets peuvent être retirés en une fois, il est possible de retirer n’importe quelle somme d’argent, vous avez juste besoin de réaliser les actions plusieurs fois.
Les pirates ont donc pu retirer des centaines de milliers de dollars dans différents distributeurs sans attirer l’attention. Vicente Diaz, responsable de l’équipe GReAT, explique que les pirates peuvent désormais infecter uniquement certains modèles de distributeurs, mais la variété des distributeurs infectés continuera d’augmenter si les banques et les fabricants de distributeurs automatiques ne renforcent pas la protection physique et logicielle de leurs machines.