Trend Micro, un des leaders mondial de la sécurité des contenus Internet, annonce la publication d’un nouveau rapport de recherche sur les menaces à la fraude bancaire.

Ce document porte sur un système de transfert automatique (ATS - Automatic Transfer System), permettant aux cybercriminels de déjouer les mesures les plus récentes en matière de sécurité bancaire, dans l’objectif de “vider” le compte bancaire des victimes sans laisser de traces d’une activité criminelle.

Ce rapport, rédigé par Loucif Kharouni, chercheur chez Trend Micro, évalue comment l’outil ATS est utilisé en association avec des variantes des virus SpyEye et ZeuS pour créer une attaque “Man in the Browser (MitB)”. On parle d’une attaque MitB car la cible exécute un module au sein du navigateur de l’utilisateur qui est programmé pour opérer automatiquement des transferts de fonds. Ce module « connaît » le fonctionnement du site web et permet de modifier à la volée les données transmises et reçues par la victime.

Cette attaque, qui ne nécessite pas que le cybercriminel soit en ligne pendant la session web de sa victime, initie un transfert bancaire en utilisant les identifiants de la victime, sans que cette dernière ne soit alertée. (en modifiant la vue du solde du client par exemple).

Le rapport Automatic Transfer System, a New Cybercrime Tool dresse le panorama des attaques qui ont ciblé des banques pourtant utilisatrices de mesures de sécurité évoluée : seuils plafonds en matière de transfert, authentification à deux facteurs avec notifications via SMS, etc. Les banques en Allemagne, au Royaume-Uni et en Italie ont été les principales cibles.

“Ces exactions sont particulièrement inquiétantes, car elles contournent des mesures de sécurité très strictes », explique Tom Kellermann, Vice-président en charge de la cyber sécurité chez Trend Micro. “Cet outil ATS utilise des méthodes furtives pour modifier certains fichiers, et il devient plus que jamais impératif d’utiliser des solutions de protection capables de prévenir le déclenchement d’une infection, ou de juguler la menace après infection. Les utilisateurs doivent également mettre à jour leurs outils de sécurité pour postes clients, pour mettre toutes les chances de leur côté face à ces attaques. ”

À ce jour, l’outil ATS ne cible que les accès aux comptes bancaires via un PC sous Windows. Contrairement aux précédents outils criminels qui interagissent avec SpyEye et ZeuS, l‘outil ATS n’affiche pas de pop-up et exécute différentes tâches automatiquement : vérification du solde bancaire, réalisation de transferts bancaires et modification des transactions bancaires pour dissimuler toute trace d’exaction.

Comment les utilisateurs peuvent se protéger de ce type d’attaque ?

C’est lors de la première phase que les utilisateurs doivent se protéger, car c’est à ce moment que le malware qui contient le « MitB » est installé sur le poste client. Afin d’éviter son installation, il convient de rappeler un certain nombre de bonnes pratiques :

1.Garder son PC à jour : Les compromissions sont souvent réalisées via des vulnérabilités connues qui sont corrigées par un patch ou une mise à jour. Garder son système à jour permet de limiter les risques aux vulnérabilités non patchées. Notons que des solutions permettant de faire du virtual patching permettent de diminuer les risques et peuvent combler les lacunes des systèmes difficiles à patcher :Deep Security - OfficeScan

2. Par défaut, bloquer l’exécution de scripts sur son navigateur : L’activation des scripts sur le navigateur devrait se faire au cas par cas. Toutefois, la gestion des pages autorisées à exécuter des scripts peut être très fastidieuse. NoScript est un module de Firefox qui permet de répondre à ces attentes de sécurité sans trop gêner l’utilisateur.

3. Utiliser un antimalware efficace: Les solutions classiques fortement basées sur les signatures sont moins bien adaptées pour répondre aux problématiques de sécurité actuelles où un très grand nombre de menaces sont découvertes dans un temps très court. L’utilisation de solutions basées sur la réputation doit être préférée : OfficeScan - Titanium