Cet article passe en revue les méthodes que les cybercriminels utilisent actuellement pour attaquer les institutions financières et, plus particulièrement, les banques. Il a pour objectif d'apporter aux décideurs IT les principaux éléments nécessaires pour comprendre les attaques cybercriminelles contre les institutions financières ainsi que les solutions préconisées par les experts de Kaspersky Lab.

Dans l’ensemble, les statistiques reflètent une baisse dans le pourcentage de malware financier détecté mensuellement. Toutefois, le nombre de programmes malicieux visant les institutions financières est en nette augmentation, celle-ci concerne également le nombre de logiciels capables de s'attaquer à plus d'une banque ou institution à la fois. La grande majorité de ces programmes ciblent entre une et trois banques et tendent à cibler les banques les plus actives du marché.

Pour s'attaquer aux banques, le malware financier suit la tendance générale parmi les différents vecteurs d'infection ; la grande majorité d'entre eux proviennent d’Internet. Un certain nombre est encore distribué par messagerie mais, pour attaquer des institutions financières, Internet possède de meilleurs atouts. Les programmes malveillants qui infectent les systèmes victimes sont hébergés sur un serveur Web. Cela implique la possibilité de modifier leurs fichiers très facilement, moyennant des outils automatisés selon une méthode bien connue qui porte le nom de polymorphisme serveur ou côté-serveur.

L'augmentation du malware financier est le produit d'une criminalisation croissante du cyberespace, avec des logiciels malveillants utilisés pour gagner de l'argent. En plus de voler des fonds, les cybercriminels doivent aussi mettre au point une méthode leur permettant de les récupérer. Ils font alors appel à des « passeurs d’argent » (money mules) ce qui leur permet d’éviter les mécanismes de détection de fraude déployés par les banques.

Le flux continu de courriers et le nombre de kits de fabrication spécialisés disponibles montre clairement que le hameçonnage (phishing) reste un moyen efficace permettant de convaincre les utilisateurs de communiquer leurs identifiants d'accès. En outre, dans le but de maximiser leurs profits, les cybercriminels travaillent sans cesse à la mise au point de systèmes d'ingénierie sociale plus sophistiqués, et parviennent ainsi à tromper les utilisateurs les plus sensibilisés sur les thèmes de sécurité.

Par ailleurs, l'examen rapide des mesures de sécurité prises par un certain nombre de banques montre que leur système d'accès en ligne repose sur l'emploi statique d'un nom d'utilisateur et d'un mot de passe ce qui est particulièrement dangereux. Les banques dotées des meilleures stratégies de sécurité utilisent au moins un mot de passe dynamique : un mot de passe à usage unique, valable pour une seule session. Mais là encore ces méthodes ne sont pas infaillibles.

Certaines techniques consistent à modifier le fichier « hosts » de Windows ou les paramètres du serveur DNS afin de rediriger le trafic vers des sites contrefaits ou de placer un Trojan sur le PC victime. Le trafic peut passer d’un site HTTPS (sécurisé) à un site HTTP (non sécurisé). Par ailleurs, même avec une redirection de trafic, le traitement ne se fait pas en temps réel ; aussi lorsqu’un cyber-criminel réalise ce type d’opération (afin d’empêcher la victime de contacter sa banque pour stopper la transaction) une attaque Man-in-the-Middle est déployée.

Une attaque MitM fait appel à un serveur malveillant chargé d'intercepter tout le trafic entre le client et le serveur, c'est-à-dire entre le titulaire du compte et l'organisme financier. Bon nombre de malware financier parmi les plus avancés mettent en œuvre des attaques MitM. Ils ont également recours à des injections de code HTML.

Dans leur recherche d'un meilleur rapport risques / bénéfices, les cybercriminels travaillent sur d'autres procédés d'attaque. C'es ainsi que nous assistons au développement de la prochaine génération de malware financier : les attaques utilisant la connexion de l'utilisateur, ou MitE (Man-in-the-Endpoint).

Ce type d’attaques n'implique pas l'utilisation d'un serveur supplémentaire pour intercepter le trafic entre le client et le serveur. Tous les changements sont faits sur le système local. L’article fournit une vue d’ensemble des avantages de ces attaques par rapport aux autres méthodes.

Investir dans l'amélioration de la sécurité exige beaucoup d'argent. Mais c'est une décision que les banques doivent prendre sans aucun doute. Il est très facile pour les cybercriminels de contourner un modèle d'authentification à un seul facteur. On assiste cependant à une évolution claire : l'augmentation des systèmes d'authentification à deux facteurs par les organismes financiers s'accompagne d'une augmentation du nombre de logiciels malveillants capables de les contourner.

D'un autre côté, il convient de noter que la plupart des banques qui utilisent actuellement une authentification à deux facteurs n'ont pas encore configuré leurs systèmes pour garantir une sécurité maximale. Cela signifie que tout un pan d'opportunités est encore grand ouvert, que l'industrie de la sécurité devra occuper pour contrer les attaques cybercriminelles.

En dernier ressort, la force d'une solution ou d'un processus de sécurité dépend de son maillon le plus faible et, dans ce cas, il s'agit du client lui-même.

Confidentialité |Contactez-nous