Avec les yeux du monde braqués sur le Brésil pour le Coupe du monde de football 2014, le moment semble venu de mettre en lumière une forme croissante de fraude informatique qui donne du fil à retordre aux banques et aux consommateurs brésiliens. L’article d’aujourd’hui examine de nouvelles recherches sur une pratique de la cybercriminalité principalement à petite échelle qui, dans l’ensemble semble avoir rapporté aux voleurs l’équivalent de milliards de dollars au cours des deux dernières années.
Un bolet.
Le problème est le « boleto » (officiellement « Boleto Bancario »), un mode de paiement populaire au Brésil utilisé par les consommateurs et pour la plupart des paiements interentreprises. Les Brésiliens peuvent utiliser les boletos pour effectuer des achats en ligne via le site Web de leur banque, mais contrairement aux paiements par carte de crédit – qui peuvent être contestés et annulés – les paiements effectués via les boletos ne sont pas soumis à des rétrofacturations et ne peuvent être annulés que par virement bancaire.
Le Brésil a une cybercriminalité souterraine extrêmement active et talentueuse, et de plus en plus de gangs du crime organisé brésilien se tournent vers les utilisateurs de boleto qui effectuent des opérations bancaires en ligne. Cela se fait généralement par le biais d’un logiciel malveillant qui attend que l’utilisateur du PC piraté visite le site de sa banque et remplisse les informations de compte du destinataire d’une transaction boleto. Dans ce scénario, la victime involontaire soumet le transfert pour paiement et le logiciel malveillant modifie la demande en remplaçant un compte destinataire que les attaquants contrôlent.
Bon nombre des transactions boleto détournées sont de faibles montants, mais dans l’ensemble, ces paiements détournés peuvent générer un flux de revenus impressionnant, même pour un petit gang de logiciels malveillants. Mardi, par exemple, une source m’a transmis un lien vers un panneau de contrôle Web pour un botnet voleur de boleto (voir capture d’écran ci-dessous) ; dans cette opération, on peut voir que les voleurs avaient détourné quelque 383 transactions boleto entre février 2014 et fin juin, mais avaient volé l’équivalent de près de 250 000 dollars américains pendant cette période.
Les enregistrements conservés par un botnet voleur de boleto. À côté de la date et de l’heure se trouve le compte du destinataire prévu du transfert ; la colonne « linha alterada » montre les comptes utilisés par les voleurs pour accepter les paiements détournés. « Valeur » fait référence au montant, exprimé en réal brésilien.
Mais une découverte récente par des chercheurs de RSAla division de la sécurité de CEM, expose un banditisme boleto beaucoup plus lucratif et ambitieux. RSA affirme que le réseau de fraude qu’il suit – connu sous le nom d’opération « Bolware » – affecte plus de 30 banques différentes au Brésil, et peut être responsable de jusqu’à 3,75 milliards de dollars de pertes. RSA est arrivée à cette estimation sur la base de la découverte d’un panneau de contrôle de botnet similaire qui a suivi près d’un demi-million de transactions frauduleuses.
La plupart des banques brésiliennes exigent que les clients des services bancaires en ligne installent un plug-in de sécurité qui se connecte au navigateur de l’utilisateur. Les plug-ins sont conçus pour aider à bloquer les attaques de logiciels malveillants. Mais selon RSA, le malware du gang Bolware a réussi à désactiver ces plug-ins de sécurité, laissant aux clients un faux sentiment de sécurité lorsqu’ils effectuent des opérations bancaires en ligne.
Le logiciel malveillant récupère également les noms d’utilisateur et les mots de passe des PC des victimes, des informations d’identification qui sont censées être utilisées pour propager le logiciel malveillant via le spam aux contacts de la victime. RSA a déclaré que ce gang de fraude semble avoir infecté plus de 192 000 PC et volé au moins 83 000 ensembles d’informations d’identification d’utilisateurs.
L’écran d’administration du gang Bolware affiche les numéros Boleto d’origine « Bola Original » et leur banque de destination « Bola ». Image : RSA
RSA note que les malfaiteurs responsables de l’opération Bolware semblent avoir utilisé un peu plus de 8 000 comptes distincts pour recevoir les fonds volés. C’est environ 7 997 comptes de plus que ceux utilisés par les bandits boleto responsables des transactions détournées dans le panneau de contrôle du botnet boleto que j’ai découvert.
Les chercheurs de RSA suggèrent que les Brésiliens qui souhaitent effectuer des transactions en boletos en ligne devraient envisager d’utiliser un appareil mobile pour gérer leurs transactions boleto, notant que les logiciels malveillants voleurs de boleto ne sont actuellement pas capables de modifier les données stockées dans le code-barres de chaque commande boleto piratée – à du moins pour le moment.
« Comme le malware ne modifie pas le code-barres (pour l’instant), l’approche la plus sûre consiste à utiliser les applications bancaires mobiles disponibles sur les téléphones intelligents (pour l’instant, à l’abri de ce malware) pour lire le code-barres et effectuer des paiements », a déclaré la société dans son rapport (PDF) sur cette vague de criminalité.