Suite à la récente série de cyber-braquages Carbanak qui a permis de dérober jusqu'à un milliard de dollars auprès de différentes banques à travers le monde, une nouvelle enquête menée auprès de 175 directeurs d'organismes financiers révèle que les attaques en ligne représentent le deuxième plus grand danger perçu dans leur secteur.

La sophistication des cyber-attaques est la raison pour laquelle les responsables bancaires s'en préoccupent tellement. Les attaques récentes n'ont pu être détectées pendant des semaines, voire des mois, car les criminels manipulent les processus courants des banques pour transférer furtivement des fonds et siphonner des comptes sans attirer l'attention. Dans de nombreux cas, les transactions effectuées par les pirates semblent légitimes du point de vue des banques, ce qui donne l'impression que les cyber-braquages sont menés depuis « l'intérieur », par des personnes qui ont une compréhension approfondie du fonctionnement des systèmes bancaires.

Une maîtrise parfaite

Durant la plus récente série de cyber-braquages, des pirates se sont infiltrés dans les systèmes des banques à l'aide de techniques de phishing qui incitent les employés à cliquer sur des liens de téléchargements malveillants par le biais d'emails hautement ciblés. Le logiciel malveillant téléchargé a fourni aux pirates un accès aux réseaux internes des banques, qu'ils pouvaient tranquillement explorer pour recueillir des informations sur les systèmes et les procédures des banques, et déterminer la meilleure méthode pour dérober de l'argent.

Dans certains cas, il s'agissait de transférer simplement des fonds entre différents comptes, voire même de créditer des comptes par de grosses sommes avant de retirer des sommes identiques afin que le vol ressemble à une transaction erronée.

Dans d'autres cas, les pirates utilisaient le logiciel malveillant pour cibler les réseaux contrôlant les distributeurs automatiques et déclencher des distributions d'argent à des moments précis, de sorte que des complices pouvaient le prélever directement sur les machines. Lorsqu'une banque se rendait compte qu'elle avait été prise pour cible et prenait des mesures pour stopper les transactions frauduleuses, les agresseurs qui avaient déjà dérobé des sommes importantes passaient tout simplement à leur victime suivante.

Détournement de comptes clients

Ce n'est pas uniquement les réseaux des banques qui sont ciblés par des pirates. L'attaque « Eurograbber » de 2012 a visé des services bancaires mobiles pour dérober près de 50 millions de dollars sur les comptes de plus de 30 000 clients dans plus de 30 banques de quatre pays européens, à l'aide de logiciels malveillants qui ciblaient et infectaient à la fois les PC et les téléphones mobiles des clients.

Cette attaque sophistiquée en 2 étapes a permis aux pirates d'intercepter les codes d'authentification uniques envoyés par SMS par les banques pour autoriser les transactions. Les criminels pouvaient alors dérober l'argent des titulaires de comptes au moyen de transferts vers une série de comptes de transit. Les transactions frauduleuses étaient entièrement transparentes pour les clients, et du point de vue des banques, semblaient légitimes puisqu'elles utilisaient les codes d'autorisation appropriés. Les agresseurs limitaient même les quantités d'argent dérobées pour chaque transaction à un pourcentage du solde du compte, pour mieux les rendre inaperçues.

La faille principale : l’humain

Comment les banques devraient-elles se protéger contre de telles menaces en ligne ? Un facteur commun à toutes ces attaques est que peu importe le degré de sophistication des logiciels malveillants ou du mécanisme d'action, le point de départ est un simple email d'hameçonnage ciblé, contenant typiquement une pièce jointe infectée par un logiciel malveillant. Une fois que l'employé de banque (ou le client) clique sur la pièce jointe, ou un lien menant à un site infecté, la sécurité de la banque ou du PC du client est compromise.

Dans la majorité des cas, ces emails ciblés sont capables de contourner les défenses de sécurité conventionnelles car les agresseurs utilisent des outils capables de masquer l'identité du logiciel malveillant pour les solutions antivirus traditionnelles reposant sur des signatures. Cela signifie que même un ancien logiciel malveillant connu peut être déguisé et peut échapper à toute détection. Pour atténuer ce risque, les entreprises peuvent ajouter une couche supplémentaire de protection contre les logiciels malveillants utilisant une technique appelée « émulation des menaces » ou « analyses en bac à sable ». Les fichiers joints aux emails sont analysés pour détecter tout comportement similaire à des virus, puis les fichiers suspects sont isolés avant qu'ils n'arrivent dans les boîtes de messagerie des employés et risquent d'infecter les réseaux suite à un clic accidentel.

La sensibilisation des employés aux infections par email et via le web est également une étape importante. Former le personnel à identifier les emails d'ingénierie sociale, tels que les emails mal orthographiés, les pièces jointes ou les liens inattendus, peut faire une grande différence et permet de réduire les chances de réussite des tentatives de piratage.

Protection des clients

Comme nous l'avons vu avec l'attaque Eurograbber, la fraude bancaire en ligne peut également cibler les clients des banques. En tant que tel, la meilleure protection contre de futures attaques potentielles consiste à vérifier que les clients des banques disposent d'une protection à jour sur leur PC ou les appareils qu'ils utilisent pour effectuer leurs transactions bancaires en ligne.

Les utilisateurs devraient disposer d'un logiciel antivirus à jour et d'un pare-feu sur leurs ordinateurs personnels. Une autre mesure préventive clé pour les utilisateurs consiste à installer régulièrement des mises à jour logicielles et des correctifs, afin de maintenir la sécurité à jour autant que possible. Il est également utile de rappeler aux utilisateurs des services bancaires en ligne que leur banque ne doit jamais leur envoyer un email non sollicité, et qu'ils ne doivent pas y répondre car ce sont potentiellement des emails d'hameçonnage.

En conclusion, même les attaques les plus sophistiquées menées contre les banques commencent par les mêmes étapes simples qui tentent d'exploiter les faiblesses humaines. La lutte contre ces attaques nécessite de sensibiliser les employés (et les clients), ainsi que des protections complètes et à jour sur les réseaux des banques et les ordinateurs de leurs clients. Ces mesures représentent les meilleures chances possibles pour contrer de futures tentatives de cyber-braquage.