Le shopping en ligne, les transferts d’argent en ligne, et les comptes bancaires en ligne nous permettent de gagner beaucoup de temps et rendent nos vies plus faciles. Néanmoins, ces technologies rendent également la vie des cybercriminels plus simple en leur offrant de nouvelles manières directes de voler l’argent des utilisateurs. Utiliser des données de paiement volées est une manière efficace et populaire de faire du profit rapidement. Bien que les banques essaient de protéger leurs clients, les attaques contre les particuliers sont toujours monnaie courante. Pirater une banque prend plus de temps, revient plus cher et le risque de se faire attraper est plus élevé. À l’inverse, de nombreux particuliers utilisent des ordinateurs qui contiennent de nombreuses vulnérabilités et qui sont donc plus faciles à compromettre. En volant une somme relativement minime de chaque compte bancaire en ligne piraté, un cybercriminel a de bonnes chances de ne pas être détecté. Les attaques contre les particuliers sont en grande partie automatisées et ne requièrent presque pas d’intervention de leurs auteurs.
Des armes d’infection massive
Les chevaux de Troie sont populaires sur le marché criminel depuis plusieurs années déjà. Le nombre impressionnant de victimes potentielles qui ne maintiennent pas les applications de leurs ordinateurs à jour offre des opportunités énormes aux cybercriminels. Un cheval de Troie infecte un ordinateur et collecte des informations de paiement, certains sont même capables d’effectuer des transactions financières à la place des utilisateurs.
Par exemple, le cheval Troie bancaire, Zeus, injecte ses propres données d’accès dans une page Web, ce qui lui permet d’obtenir les détails de paiement des utilisateurs (numéro de carte, CVC2/CVV2, nom du propriétaire, adresse de facturation, etc.).
Après avoir injecté son code dans le navigateur, Carberp, un programme malveillant répandu dans l’espace cybernétique russe, sauvegarde les données de carte bancaire (numéro de carte) à partir de la page principale du système de paiement en ligne et demande ensuite aux utilisateurs des informations complémentaires (CVV2, données personnelles, etc.).
En plus de ces injections, les chevaux de Troie utilisent d’autres techniques afin d’obtenir des informations de paiement. Par exemple, les dernières variantes du malware Carberp mentionné précédemment peuvent modifier le code d’ iBank 2, un système bancaire en ligne célèbre, en interceptant les informations de paiement lors de leur transmission.
Passer le second obstacle
Certaines banques essaient de compliquer la vie des cybercriminels en introduisant des variantes sophistiquées de certains facteurs d’authentification supplémentaires, tels que les jetons d’authentification – de petits appareils USB qui contiennent une clé d’utilisateur unique qui est demandée à chaque fois qu’une transaction de paiement est effectuée. Les développeurs du cheval de Troie, Lurk, ont trouvé une méthode ingénieuse pour contourner cette protection et autoriser les transactions de paiement :
1. Un utilisateur commence une transaction de paiement dans un système bancaire en ligne et rentre les informations requises.
2. Le cheval de Troie intercepte les détails de paiement et attend que le système demande un jeton d’authentification.
3. Le système bancaire en ligne demande à l’utilisateur de fournir un jeton d’authentification. L’utilisateur réalise cette opération en branchant le jeton USB dans le support matériel approprié.
4. Le cheval de Troie intercepte les données et un écran bleu apparaît : celui-ci informe l’utilisateur qu’une partie de la mémoire est actuellement vidée et invite l’utilisateur à ne pas éteindre son ordinateur jusqu’à ce que l’opération soit complétée.
5. Alors que l’utilisateur attend que l’opération se termine (avec le jeton d’authentification toujours branché dans le port USB), les cybercriminels, qui ont désormais accès au compte de l’utilisateur, complètent la transaction de paiement en transférant l’argent de l’utilisateur sur leur compte.
Un système de sécurité conçus pour les transactions financières
Après qu’un malware bancaire ait infiltré un ordinateur, il a besoin de trouver une manière d’intercepter les données de paiement. Pour cela, les chevaux de Troie utilisent généralement les techniques suivantes :
- injection Web (modifie le contenu des pages Web avant qu’elles ne s’affichent sur l’écran de l’utilisateur)
- pirater une session HTTP/HTTPS (un exemple classique d’attaque de l’homme du milieux)
- falsifier un formulaire d’authentification ou rediriger vers un site d’hameçonnage
- réaliser des captures d’écran
- enregistrer les frappes de clavier
Comprendre cette liste de menaces permet de créer un scénario de paiement sécurisé :
1. Un utilisateur ouvre une site de banque en ligne dans le navigateur.
2. La solution antivirus le détecte et analyse le système d’exploitation à la recherche de vulnérabilités critiques. Un exemple de cela est notre module de protection des transactions bancaires qui est conçu pour protéger les données de paiement et qui met pleinement en place ce système en utilisant une base de données incorporée dans le produit antivirus.
3. En même temps, le module anti-hameçonnage vérifie l’URL en la comparant à une base de données de sources sécurisées. La solution intégrée qui protège les informations de paiement réalise cela en exigeant des informations sur le nom de domaine à partir de la base données.
4. La solution antivirus vérifie le certificat utiliser afin d’établir une connexion sécurisée.
5. Si le certificat peut-être trouvé dans la base de données des certificats de confiance, la solution antivirus lance le processus du navigateur et établit une connexion HTTPS sécurisée avec l’URL en question. Le processus est surveillé par le logiciel antivirus qui empêche qu’il ne soit manipulé par d’autres applications.
6. L’utilisateur rentre ses informations de paiement (numéro de carte, CVV2/CVC2, données personnelles, etc.) en utilisant un clavier sécurisé qui garantie que le code d’analyse de chaque clé entrée est transféré en toute sécurité au navigateur.
La balle d’argent
Les banques et les systèmes de paiement protègent activement leurs utilisateurs. L’authentification sophistiquée à plusieurs facteurs, l’utilisation d’appareils supplémentaires (jetons, processus chipTan, etc.), les différentes notifications de possibilité de fraude – tous ces moyens sont conçus pour protéger l’argent des consommateurs. Néanmoins, les cybercriminels continuent de trouver de nouvelles manières tout aussi sophistiquées de voler les informations de paiement et les codes supplémentaires d’autorisation de paiement.
C’est pourquoi il est extrêmement important de mettre en place une protection 360 degrés du côté de l’utilisateur, afin de sécuriser son ordinateur ainsi que le canal de communication utilisé et de s’assurer que celui-ci se connecte au bon serveur. C’est exactement le principe de notre module de protection des transactions bancaires intégré à Kaspersky Internet Security. Il fournit une solution complète face au vol d’argent en ligne, et offre une protection à toute épreuve contre l’activité malveillante des malwares bancaires.