Des cyber-voleurs organisés ont volé plus de 28 000 $ dans une petite ville de la Nouvelle-Angleterre la semaine dernière. L’affaire met une fois de plus en évidence l’inadéquation entre la sophistication des attaquants d’aujourd’hui et la faiblesse des mesures de sécurité protégeant de nombreux comptes bancaires commerciaux en ligne.
Le 11 juillet 2011, j’ai alerté le contrôleur municipal de Eliot, Maine que ses comptes étaient probablement attaqués par des escrocs informatiques en Europe de l’Est. J’avais entendu parler d’une «mule financière», une personne qui avait été recrutée par le biais d’une arnaque au travail à domicile pour aider les voleurs à blanchir de l’argent. Il avait des doutes sur un travail qu’il venait de terminer pour son employeur. Le travail consistait à aider à transférer près de 5 000 $ d’un des « clients » de son employeur à des particuliers en Ukraine. Le reçu que son employeur lui a envoyé par e-mail avec le transfert d’argent indiquait que le client était « Ville d’Eliot, Ma. »
Norma Jean Spinneyle contrôleur municipal, a déclaré avoir immédiatement alerté l’institution financière de la ville, Banque TD, mais la banque n’a trouvé aucune transaction inhabituelle. Spinney a déclaré que trois jours plus tard, elle avait reçu un appel de la Banque TD, informant la ville d’un lot suspect de dépôts directs de paie totalisant plus de 28 000 $. La Banque TD a peut-être eu une chance d’arrêter ce vol, mais apparemment, ils ont laissé tomber la balle.
Néanmoins, la ville ne risque pas de revoir l’argent volé. Contrairement aux consommateurs, les organisations ne sont pas protégées contre les pertes bancaires en ligne dues à la cyberfraude. De plus, une analyse médico-légale effectuée par une société informatique locale a montré que le PC de Spinney était infecté par au moins deux chevaux de Troie bancaires au moment du braquage.
Porte-parole de la Banque TD Jennifer Morneau a refusé de discuter de l’incident, citant les politiques de confidentialité des clients.
Spinney a déclaré que la Banque TD exigeait un nom d’utilisateur et un mot de passe, ainsi que la réponse à au moins une «question de défi» lors de la connexion au compte de la ville.
De nouvelles directives émises par les régulateurs bancaires le mois dernier indiquent que les questions de défi ne sont pas suffisantes pour protéger les comptes bancaires en ligne des entreprises contre les cyber-voleurs d’aujourd’hui. Malheureusement, de nombreuses banques continuent de s’appuyer sur les méthodes existantes d’authentification des clients : les examinateurs bancaires ne commenceront à mesurer la conformité des institutions bancaires avec les recommandations qu’en janvier 2012.
Si vous êtes responsable d’un compte bancaire commercial et que vous accédez au compte en ligne, le moyen le plus sûr consiste à utiliser un ordinateur non Windows, tel qu’un Macou un CD en direct version de Linux. Les malfaiteurs peuvent commencer à écrire des chevaux de Troie bancaires pour les aider à voler des organisations utilisant d’autres plates-formes informatiques, mais toutes les attaques sur lesquelles j’ai écrit à ce jour impliquaient des logiciels malveillants qui ne fonctionneront que sur un PC Windows. Pour ceux qui doivent utiliser Windows, accéder à vos comptes via un PC dédié qui n’est utilisé qu’à cette fin est une autre alternative, si vous accédez à vos comptes en utilisant uniquement cette machine dédiée et jamais via une autre.
Si votre banque le permet (et la plupart le font), envisagez de tirer parti des mécanismes anti-fraude comme Positive Pay, et d’exiger que plus d’une personne signe toutes les transactions comptables.
Les nouvelles directives comprennent de nombreuses recommandations pour améliorer la sécurité des services bancaires en ligne. Les clients des banques doivent les examiner et les comparer à la sécurité actuelle de leur banque. Une banque qui offre une protection adéquate n’attendra pas 2012 pour mettre en place les mesures renforcées.