Des escrocs informatiques ont volé au moins 139 000 $ dans les coffres de la ville de Pittsford, État de New York cette semaine. Le vol est le dernier rappel de l’écart grandissant entre la sophistication des cyber-voleurs organisés et les mesures de sécurité de plus en plus inefficaces employées par de nombreuses institutions financières à travers les États-Unis.
L’attaque a commencé le ou vers le 1er juin 2011, lorsque quelqu’un s’est connecté au compte bancaire commercial en ligne de la ville de Pittsford, une municipalité de 25 000 habitants située non loin de Rochester, dans l’État de New York. Les voleurs ont lancé un petit lot de transferts automatisés de chambre de compensation (ACH). à plusieurs mules financières, des individus volontaires ou involontaires aux États-Unis qui avaient été recrutés par les assaillants avant le vol. Les mules ont retiré l’argent de leurs comptes bancaires en espèces et l’ont viré à des particuliers à Saint-Pétersbourg, en Russie, et à Kiev, en Ukraine, via des services de transfert. Western union et Moneygramme.
Au cours des quatre jours ouvrables suivants, les voleurs ont lancé trois autres paiements groupés frauduleux à des mules financières. Certains transferts sont allés à des mules financières qui possédaient des entreprises, comme un paiement de 14 750 $ à Art Snyder Software, basé à Mission Viejo, en Californie. La plupart des mules d’argent ont reçu des paiements de moins de 5 000 $.
Superviseur de la ville de Pittsford Guillaume Charpentier dit le FBI enquête sur l’incident et que de nombreux détails sur la façon dont les assaillants sont entrés restent flous. Il a déclaré que le FBI lui avait dit que les voleurs avaient très probablement volé le mot de passe de la banque en ligne de la ville à l’aide d’un cheval de Troie bancaire. Il a ajouté que la ville n’avait récupéré que 4 800 dollars des fonds volés, le produit d’un seul transfert. J’ai laissé un message au bureau extérieur du FBI à New York, mais je n’ai pas encore eu de réponse.
« Nous avons de bons pare-feux et logiciels antivirus, et nous n’avons pas du tout été laxistes dans nos systèmes de sécurité », a déclaré Carpenter. « Nous pensions que nous étions assez en sécurité. »
Carpenter a déclaré que la fraude n’avait pas été détectée pendant des jours. Il a déclaré que la ville effectuait normalement sa paie par dépôt direct toutes les deux semaines le mercredi et que les premiers transferts frauduleux avaient eu lieu au cours d’une semaine sans paie.
L’attaque s’est produite peu de temps après que Pittsford a ouvert un compte avec Banque nationale et fiducie de Canandaigua (CNB), une institution régionale basée à Canandaigua, NY Carpenter a déclaré qu’avant de faire des opérations bancaires à Canandaigua, la ville détenait ses comptes en ligne dans une banque différente, où toutes les transactions devaient être approuvées par au moins deux responsables municipaux. Mais il a dit que la ville n’avait pas encore établi ces doubles contrôles sur leur compte à Canandaigua au moment de la fraude.
Carpenter a déclaré qu’il ne connaissait pas parfaitement les mécanismes de sécurité en place pour les clients commerciaux de la banque, mais un examen des procédures de sécurité affichées sur le site Web de Canandaigua indique qu’elles incluent un nom d’utilisateur, un mot de passe et un ensemble de questions de sécurité. Les clients ont également la possibilité d’enregistrer leur ordinateur, ce qui implique le téléchargement d’un certificat ou d’un cookie CNB. Selon le site de la banque, « lorsque vous vous connectez à partir d’un ordinateur enregistré, vous n’êtes pas obligé de répondre à une question de sécurité pour terminer le processus ».
Porte-parole du CNB Steve Martin a refusé de répondre à des questions spécifiques sur l’incident, mais il a confirmé les informations sur les procédures d’authentification de la banque.
La question de savoir jusqu’où les banques commerciales doivent aller pour authentifier leurs clients a fait l’objet d’une bataille judiciaire dont j’ai parlé plus tôt cette semaine. Le procès a été intenté par une entreprise de construction du Maine qui a perdu 345 000 $ en mai 2009 lorsque des voleurs ont utilisé le cheval de Troie ZeuS pour voler les informations d’identification bancaires en ligne de l’entreprise et vaincre les mesures de sécurité en ligne de leur banque, qui étaient étrangement similaires à celles de CNB : mots de passe, questions secrètes et ordinateurs enregistrés. . Cette affaire impliquait également une série de transferts frauduleux qui ont eu lieu au cours d’une semaine. Un magistrat dans cette affaire a rendu une décision recommandée plus tôt ce mois-ci, selon laquelle les mesures de sécurité de la banque étaient suffisantes pour respecter les directives fédérales sur l’authentification ebanking.
La prolifération des vols de banques commerciales impliquant le cheval de Troie ZeuS et d’autres outils d’attaque sophistiqués souligne l’asymétrie entre les attaquants et les défenseurs. Comme je l’ai détaillé dans plus de 75 articles sur ce sujet, ZeuS permet aux attaquants de manipuler le navigateur de la victime et de se connecter au compte bancaire de la victime en utilisant le propre PC de la victime, annulant ainsi toute sécurité qu’une empreinte digitale de périphérique ou un ordinateur enregistré peut fournir.
Malheureusement, ces attaques continueront ; J’ai été en contact avec trois autres organisations au cours de la semaine dernière qui ont subi des pertes dues à des vols de services bancaires en ligne, mais qui ont demandé à ne pas être nommées. Il y a des millions de villes, d’associations, d’églises et de petites entreprises qui restent dangereusement exposées à ce type d’attaque, et beaucoup trop de banques qui ne font pas assez pour éduquer leurs clients sur la menace et pour mettre en place des systèmes capables de détecter les attaques. quand ils se produisent.