Non, ce n’est pas un film avec Christian Clavier, mais une opération complexe de cyberattaques visant les établissements bancaires : « L’Opération Emmental », découverte par l’éditeur Trend Micro, s’attaque aux services de banque en ligne en mêlant des techniques de malware, de spoofing, de phishing et de social engineering. Identifiants et mots de passe des clients sont alors habilement détournés. La Suisse, l’Allemagne, la Suède et le Japon seraient particulièrement visés. La France n’apparaît pas, elle, dans le rapport de l’éditeur…
Dans un long rapport de 20 pages, l’éditeur explique, captures d’écran à l’appui, comment les cybercriminels ont pénétré les défenses les plus avancées de services de banque en ligne dans plusieurs pays. Trente-quatre banques au total sont sont concernées. Les trois experts David Sancho, Feike Hacquebord et Rainer Link, de l’équipe de recherche de Trend Micro, expliquent que l’attaque a été créée en vue de contourner une procédure d’authentification à deux facteurs spécifique utilisée par les banques. « Elle contourne en particulier les tokens de session qui sont souvent envoyés vers les dispositifs mobiles des utilisateurs par SMS. Les utilisateurs doivent entrer un token de session afin d’authentifier leur identité et d’activer leur session de services bancaires en ligne. Cette méthode est généralement considérée comme sûre car le token passe par une voie distincte. »
Le processus de prise de contrôle
Comment procèdent les pirates ? En gros, le malware déployé au sein de cette attaque reconfigure l’ordinateur de la victime et disparait aussitôt. Lorsque la victime essaye d’accéder à ses services de banque en ligne, elle est alors directement dirigée vers un site frauduleux ressemblant à un site Internet officiel. Le programme l’incite ensuite à télécharger sur son smartphone une application malicieuse censée être un générateur de codes d’authentification par SMS. En réalité, l’application filtre les identifiants et mots-de-passe afin de prendre le contrôle du compte sans que la victime ne se doute de rien.
Pour les chercheurs de Trend Micro, « le programme malveillant utilisé par les pirates a révélé une faiblesse dans les stratégies de protection par des tokens à session unique. Les banques et autres organismes qui continuent à utiliser ces stratégies s’exposent et exposent leurs clients aux risques de fausses applications mobiles. Des systèmes de défense plus avancés, comme l’utilisation de numéros d’authentification de transaction (TAN) multiples, de TAN photos et de lecteurs de cartes, devraient être envisagés. Bien que ces systèmes soient plus difficiles à entretenir, chaque entreprise doit décider si l’investissement en vaut la peine pour renforcer ses défenses. »
L’éditeur soupçonne des pirates d’origine russophone, et à bien évidemment prévenu les banques ciblées par les tentatives de phishing des cybercriminels à l’origine de l’Opération Emmental.
Pour connaître en détail les méthodes d’attaque, les adresses des faux serveurs DNS des pirates ou encore les éférentiels binaires de programmes malveillants Android en ligne détectés, rendez-vous ici
