Les braquages récents de la banque en ligne – comme un vol en ligne de 121 000 $ chez un fournisseur de carburant à New York le mois dernier – suggèrent que les cyber-voleurs encaissent de plus en plus en envoyant des fonds aux victimes sur des comptes de cartes de débit prépayées. Le changement semble être un effort pour contourner un goulot d’étranglement majeur pour ces crimes : leur dépendance à l’égard de mules financières peu fiables.
Les mules ont traditionnellement joué un rôle clé en aidant les voleurs à encaisser des comptes piratés et à blanchir de l’argent. Ils sont recrutés par le biais d’escroqueries au travail à domicile par courrier électronique et on leur dit qu’ils aideront les entreprises à traiter les paiements. Dans un stratagème typique, la mule fournit ses coordonnées bancaires au recruteur, qui finit par envoyer un virement frauduleux et dit à la mule de retirer les fonds en espèces, de conserver un petit pourcentage et de transférer le reste à des co-conspirateurs à l’étranger.
Mais les mules ne sont pas la méthode la plus rapide pour extraire des fonds. Pour éviter d’éveiller les soupçons (et de déclencher des exigences de déclaration anti-blanchiment par les banques), les cyber-escrocs envoient généralement moins de 10 000 $ à chaque mule. En d’autres termes, pour chaque 100 000 $ que les voleurs veulent voler, ils doivent avoir au moins 10 mules d’argent à portée de main.
En réalité, cependant, ce nombre est assez souvent plus proche de 15 mules pour 100 000 $. C’est parce que les voleurs peuvent envoyer des montants beaucoup plus faibles à des mules qui effectuent des opérations bancaires dans des institutions qui ont des déclencheurs de limite de transfert bas. Par exemple, ils limitent presque toujours les transferts à moins de 5 000 $ lorsqu’ils traitent avec des mules de Bank of America, car ils savent que les transferts d’un montant supérieur à ce montant vers des comptes de consommateurs déclencheront des alertes de fraude chez BofA.
Ainsi, la mule moyenne vaut jusqu’à 10 000 $ pour un cyberescroc. Sans surprise, il y a beaucoup de concurrence et de demande pour les mules d’argent disponibles dans le cybercriminel clandestin. J’ai identifié près de deux douzaines de réseaux distincts de recrutement de mules financières, dont la plupart exigent entre 40 et 50 % des montants de transfert frauduleux pour leur peine. Non seulement les mules sont chères à acquérir, mais elles prennent souvent des semaines à se toiletter avant qu’on ne leur fasse confiance pour les transferts.
Mais ces mules viennent aussi avec leurs propres bagages. J’ai interviewé plus de 200 mules d’argent, et il est difficile d’échapper à la conclusion que de nombreuses mules ne sont tout simplement pas les crayons les plus pointus de la boîte. Ils ont souvent du mal à suivre des instructions simples et bousillent fréquemment des détails importants au moment d’encaisser (il y a probablement de bonnes raisons pour lesquelles beaucoup de ces gens sont au chômage). Les gaffes courantes incluent la transposition des chiffres dans les numéros de compte et d’acheminement, ou le fait de ne pas se rendre à la banque pour retirer l’argent peu de temps après le transfert frauduleux, ce qui donne à la banque de la victime un temps précieux pour annuler la transaction. Dans des cas isolés, les mules disparaissent tout simplement avec l’argent et raidissent les cyber-voleurs.
Cependant, lors de plusieurs cambriolages récents de services bancaires en ligne, les voleurs semblent avoir envoyé au moins la moitié des transferts vers des cartes prépayées, évitant potentiellement les dépenses et les tracas liés à l’embauche et à l’utilisation de mules monétaires. Par exemple, le mois dernier, des cyber-escrocs ont frappé Alta Est, un revendeur d’essence en gros à Middletown, NY Selon le contrôleur de l’entreprise Debbie Weed, les voleurs ont initié 30 transferts frauduleux distincts totalisant plus de 121 000 $. La moitié de ces virements sont allés à des cartes prépayées émises par Métabanqueun important fournisseur de cartes prépayées.
Les cartes prépayées sont idéales car elles peuvent être achetées anonymement pour de petites quantités (valeurs de 25 $ à 100 $) dans les supermarchés et autres magasins. La majorité de ces cartes de faible valeur ne sont pas rechargeables, à moins que le titulaire de la carte ne se connecte en ligne et ne fournisse des informations d’identité que l’émetteur de la carte prépayée peut lier à un titulaire de crédit légitime. Une fois cette carte activée, elle peut être rechargée à distance en transférant ou en déposant des fonds sur le compte, et elle peut être utilisée comme une carte de débit, de guichet automatique ou de crédit.
« Les informations que nous recueillons lors de son ouverture sont les mêmes que celles qui vous seraient demandées si vous ouvriez un compte de carte de crédit en ligne », a déclaré Brad Hanson, président de la division des systèmes de paiement de Metabank. « Nous effectuons des vérifications auprès de différentes ressources publiques telles que Expérian et LexisNexis pour vérifier que toutes les informations correspondent et sont exactes, et que nous avons des motifs raisonnables de croire que vous êtes la personne qui demande la carte. »
Le problème, c’est que les voleurs qui réalisent ces cambriolages bancaires en ligne ont accès à d’énormes quantités de données volées qui peuvent être utilisées pour ouvrir frauduleusement des cartes prépayées au nom de personnes dont l’identité et les ordinateurs ont déjà été piratés. Une fois ces cartes approuvées, les escrocs peuvent simplement leur transférer des fonds des victimes de cyberbraquage et extraire l’argent aux guichets automatiques. Alternativement, les emplacements de virement bancaire comme Western union permettent même aux expéditeurs d’utiliser leurs cartes de débit pour exécuter une «dépense de débit», envoyant ainsi de l’argent à l’étranger directement à partir de la carte.
L’ATTAQUE
À un moment donné le 13 mars, quatre employés différents d’Alta East ont reçu des courriels qui semblaient avoir été envoyés par un client actuel. Les messages demandaient une transaction récente et citaient un numéro de facture. Selon Weeden, les quatre employés d’Alta East ont ouvert le fichier Adobe PDF joint, qui contenait un élément Javascript caché qui infectait leurs systèmes Windows XP avec une variante du Cheval de Troie ZeuS.
Six jours plus tard, les voleurs ont mis en place un lot de paiements de paie frauduleux, envoyant des instructions à la banque d’Alta East pour financer 15 cartes prépayées Metabank; le reste des fonds a apparemment été envoyé à des mules monétaires traditionnelles dans des endroits du pays.
« Les e-mails provenaient d’un client légitime et nous pensions qu’il remettait en question une facture », a déclaré Weeden. «Nous étions quatre à avoir atteint cet attachement. Ensuite, nous avons interrogé le client sur l’e-mail, mais il a répondu qu’il ne l’avait pas envoyé. »
Weeden a déclaré que les informaticiens internes d’Alta East avaient scanné sa machine avec six outils antivirus différents, mais que les scans n’avaient révélé aucune preuve d’infection. Ce n’est que lorsque l’entreprise a embauché un expert médico-légal extérieur qui a retiré le disque dur et l’a examiné dans un environnement isolé que l’expert a découvert l’infection par ZeuS.
Les voleurs n’ont pas acheminé leurs connexions frauduleuses vers le compte bancaire d’Alta East via les systèmes de l’entreprise ; ils ont plutôt représenté le trafic via les réseaux du Centre de découverteun centre de réadaptation pour personnes handicapées situé à proximité de Harris, NY Le centre n’a pas retourné les appels demandant des commentaires.
Rick Jonesvice-président exécutif des services aux entreprises à l’institution financière d’Alta East – Banque de prévoyance – a déclaré que la banque avait suivi son accord avec Alta East et avait envoyé à la société un e-mail concernant le lot de paie frauduleux le jour même de son lancement. Mais Jones a déclaré qu’Alta East avait admis avoir ignoré la notification jusqu’au lendemain matin. À ce moment-là, la plupart des transferts non autorisés avaient déjà été effectués.
Weeden a déclaré que Provident avait pu récupérer environ 20 000 dollars de transferts illicites à partir de comptes mulets et qu’il prévoyait de récupérer 21 000 dollars supplémentaires dans les semaines à venir. Elle a ajouté que son entreprise est en train de mettre en place un système dans lequel les opérations bancaires en ligne se font uniquement à partir d’un ordinateur isolé qui ne sera pas utilisé pour le courrier électronique ou la navigation régulière sur Internet. Pourtant, l’entreprise fait face à une perte de 80 000 $ à la suite de l’incident.
Il reste à voir si les cyber-voleurs continuent de déplacer une plus grande partie de leurs opérations des mules traditionnelles vers les comptes de débit prépayés. J’ai parlé à un certain nombre de victimes qui ont perdu plus de 100 000 $, mais j’ai noté que les voleurs avaient laissé plusieurs centaines de milliers de dollars intacts dans les comptes de l’entreprise. « Pourquoi laisseraient-ils autant d’argent sur la table comme ça ? Pourquoi ne pas tout prendre ? » demandent généralement les victimes. La réponse? Tout comme les voleurs de banque réels sont limités dans les montants qu’ils peuvent voler par le volume d’argent qu’ils peuvent transporter physiquement depuis la scène du crime, les cybervoleurs le sont aussi. Habituellement, les voleurs n’avaient tout simplement pas accès à suffisamment de mules pour les aider à transporter tout le butin disponible. Cette limitation est atténuée s’ils commencent à dépendre davantage des cartes prépayées, dont une pile entière peut facilement tenir dans le portefeuille d’un seul mécréant.
ANALYSE
Il y a quelques éléments qui méritent d’être soulignés dans l’histoire ci-dessus, et chaque propriétaire d’entreprise ferait bien de les considérer attentivement :
-Les pertes de l’eBanking sont susceptibles d’augmenter si les voleurs continuent de réussir avec l’approche des cartes prépayées.
-Les cyber-voleurs d’aujourd’hui sont patients et prêts à franchir plusieurs étapes pour voler votre argent.
-Cliquer sur des liens et des pièces jointes reste une activité risquée, même lorsque les liens et les pièces jointes semblent provenir de quelqu’un que vous connaissez ou en qui vous avez confiance.
-Les outils antivirus traditionnels ont un record atroce dans la détection de ZeuS et de ses semblables. Si vous pensez qu’une machine est compromise, vous ne pouvez pas faire confiance à un rapport d’un programme de sécurité qui s’exécute sur le système d’exploitation potentiellement infecté.
-La majorité de ces braquages de banque en ligne commencent par une arnaque d’ingénierie sociale envoyée par e-mail. Les entreprises devraient hameçonner activement leurs propres employés et les noter en fonction de leurs performances, et peut-être même lier ces performances à des primes de fin d’année ou à d’autres (dés)incitations.
-Contrairement aux consommateurs, les entreprises n’ont pratiquement aucune protection juridique de leur banque en raison des pertes dues à la cyberfraude. Oui, les organisations devraient pousser leurs banques à en faire plus en matière de sécurité. Mais pour le meilleur ou pour le pire, les petites et moyennes entreprises qui comptent sur leurs banques pour prévenir ce type de fraude s’exposent à des déceptions et à des pertes financières importantes.
-Bancaire à partir d’un Live CD ou à partir d’un ordinateur isolé (de préférence non Windows) est le moyen le plus sûr d’éviter les cambriolages ebanking. Cependant, cette approche ne fonctionne que si elle est systématiquement observée.