Le vol de 180 000 $ a emporté l’installateur du système de sécurité et de maintenance du bâtiment Systèmes primaires inc.. par surprise totale. Plus de deux douzaines de personnes ont aidé à voler des fonds dans les coffres de l’entreprise lors d’un cambriolage nocturne en mai 2012, mais aucun des auteurs n’a jamais été filmé. Au lieu de cela, un seul e-mail chargé de virus sur lequel un employé a cliqué a permis aux attaquants d’ouvrir une porte dérobée numérique, exposant des failles de sécurité qui persistent malheureusement entre de nombreuses banques et leurs entreprises clientes.
L’entreprise basée à St. Louis, dans le Missouri, a appris pour la première fois que les choses n’allaient pas tout à fait bien le mercredi 30 mai 2012, lorsque la responsable de la paie de l’entreprise s’est connectée à son compte à la banque locale et a découvert qu’un lot de paie surdimensionné d’environ 180 000 $ avait a été envoyé tard mardi soir.
L’argent avait été retiré des comptes bancaires de Primary Systems pour des montants compris entre 5 000 $ et 9 000 $ à 26 personnes à travers les États-Unis qui n’avaient eu aucune interaction préalable avec l’entreprise et qui avaient été ajoutées à la masse salariale de l’entreprise le jour même. Les 26 étaient des «money mules», des participants volontaires ou involontaires qui sont embauchés dans le cadre de programmes de travail à domicile pour aider les cyber-voleurs à transférer de l’argent à l’étranger. La plupart des mules engagées dans cette attaque ont reçu pour instruction d’envoyer les fonds de l’entreprise à des destinataires en Ukraine.
« Le responsable de la paie m’a contacté à 8h00 ce jour-là pour me demander si j’avais autorisé le lot de paie, et j’ai dit non, ça devait être une erreur bancaire », a déclaré Jim Faber, directeur financier de Primary Systems. « J’ai appelé la banque et j’ai dit qu’ils avaient dit non, qu’ils n’avaient pas fait d’erreur. C’était un sacré réveil.
L’institution financière de la société, basée à Saint-Louis Banque d’entreprise et fiducie, a refusé de commenter. Mais bien sûr, des erreurs ont été commises partout. Les employés de Primary Systems ne se méfiaient pas des pièces jointes chargées de virus et comptaient trop sur ses pare-feu et son logiciel antivirus pour bloquer les attaques. La banque n’a pas sourcillé avant de traiter un transfert de 180 000 $ marqué comme « paie » un mardi, même si l’entreprise a toujours traité son lot de paie le vendredi matin. Il n’a pas non plus signalé comme étrange l’ajout du jour au lendemain à la masse salariale de Primary de 26 nouveaux employés situés dans presque autant d’États, même si presque tous les employés légitimes de l’entreprise victime sont basés dans le Missouri.
Les seules parties à ce crime qui n’ont pas fait de faux pas étaient les voleurs. Selon Faber, les enquêteurs pensent que les escrocs ont casé le joint pratiquement avant de lancer le braquage, qui est arrivé juste en dessous du seuil de 200 000 $ qui aurait incité la banque à obtenir l’autorisation verbale de Primary Systems pour le transfert.
« Si c’était plus de 200 000 $, [the bank] n’aurait pas permis que le transfert se produise sans le confirmer avec nous », a déclaré Faber. «Mais cela vient de voler juste sous ce coup de pied. Notre masse salariale est bien inférieure à cela. C’était six fois notre masse salariale normale et c’était en milieu de semaine.
Selon Faber, Enterprise Bank permet aux clients commerciaux de déplacer jusqu’à 200 000 $ à la fois sans avoir besoin de plus qu’un nom d’utilisateur et un mot de passe de banque en ligne. Les directives mises à jour sur les services bancaires électroniques publiées l’année dernière par les régulateurs financiers fédéraux appellent les banques à effectuer des évaluations des risques plus rigoureuses, à surveiller les transactions des clients pour détecter toute activité suspecte et à redoubler d’efforts pour éduquer les clients – en particulier les entreprises – sur les risques liés aux opérations bancaires en ligne. Les nouvelles directives appellent également à des «programmes de sécurité en couches» pour traiter ces transactions plus risquées, telles que des méthodes de détection des anomalies de transaction, une double autorisation de transaction via différents dispositifs d’accès et l’utilisation de la vérification hors bande pour les transactions.
Comme la plupart des autres institutions financières, Enterprise Bank offre Rémunération positive, un service par lequel la société partage électroniquement son registre de chèques de tous les chèques émis avec la banque. La banque ne paiera donc que les chèques répertoriés dans ce registre, avec exactement les mêmes spécifications que celles répertoriées dans le registre (montant, bénéficiaire, numéro de série, etc.). Faber a déclaré que Primary Systems avait refusé d’utiliser ce service avant la violation, mais qu’il l’utilise maintenant. La société effectue également désormais ses opérations bancaires en ligne uniquement à partir d’un « ordinateur dédié autonome qui ne se connecte qu’à la banque », a-t-il ajouté.
Faber a déclaré qu’il souhaitait que la banque ait expliqué la sophistication de la menace à laquelle sont confrontées les petites entreprises et l’exposition à laquelle ces organisations sont confrontées lorsqu’elles effectuent des opérations bancaires en ligne. En vertu de la « Règle E » de la Loi sur le transfert électronique de fonds (AELE) les consommateurs ne sont pas responsables des pertes financières dues à la fraude – y compris les prises de contrôle de compte en raison de noms d’utilisateur et de mots de passe perdus ou volés – s’ils signalent rapidement l’activité non autorisée. Cependant, les entités qui subissent une fraude similaire avec un compte bancaire commercial ou professionnel ne bénéficient pas des mêmes protections et sont souvent obligées d’absorber les pertes.
Si vous exploitez une petite entreprise et une banque en ligne, demandez à votre institution financière quels services et compléments elle peut offrir pour vous aider à gérer le risque pour vos comptes. Si vous souhaitez réduire considérablement la probabilité que votre entreprise soit victime d’un cyber-casse, envisagez d’adopter une approche PC dédiée et/ou d’effectuer des opérations bancaires en ligne uniquement à partir d’une distribution Live CD.