Une agence de l’Union européenne créée pour améliorer la sécurité des réseaux et des données offre des conseils directs, opportuns et rafraîchissants aux institutions financières alors qu’elles tentent de sécuriser le canal bancaire en ligne : « Supposons que tous les PC sont infectés ».
Source: zeustracker.abuse.ch
La perspective inhabituellement franche vient du Agence européenne chargée de la sécurité des réseaux et de l’informationen réponse à une rapport récent « High Roller » (PDF) par McAfee et Analyse des gardiens sur des souches de logiciels malveillants sophistiqués et automatisés qui ciblent de plus en plus les comptes bancaires à solde élevé. Le rapport détaillait comment les voleurs utilisant des versions personnalisées du Zeus et SpyEye Les chevaux de Troie ont construit des systèmes automatisés basés sur le cloud capables de contourner plusieurs couches de sécurité, y compris les jetons matériels, les codes de transaction à usage unique et même les lecteurs de cartes à puce. Ces variantes de logiciels malveillants peuvent être configurées pour initier automatiquement des transferts vers des comptes de mules ou prépayés vérifiés, dès que la victime se connecte à son compte.
« De nombreux systèmes bancaires en ligne… fonctionnent en partant du principe que le PC du client n’est pas infecté », a écrit l’ENISA dans un avis publié jeudi. « Compte tenu de l’état actuel de la sécurité des PC, cette hypothèse est dangereuse. Les banques devraient plutôt supposer que les PC sont infectés et prendre des mesures pour protéger les clients contre les transactions frauduleuses.
L’ENISA a cité comme exemple la forte dépendance aux mots de passe + l’authentification de base à deux facteurs – comme les jetons. Consultez la catégorie Cible : Petites entreprises pour un certain nombre d’histoires dans lesquelles des voleurs ont contourné ces stratagèmes.
« Une authentification de base à deux facteurs n’empêche pas les attaques de type « man-in-the-middle » ou « man-in-the-browser » sur les transactions », indique l’alerte. « Il est donc important de recouper avec l’utilisateur la valeur et la destination de certaines transactions, via un canal de confiance, sur un appareil de confiance (ex : un SMS, un appel téléphonique, un lecteur de carte à puce autonome avec écran). Même les smartphones pourraient être utilisés ici, à condition que la sécurité des smartphones soit maintenue. »
L’ENISA exhorte en outre les banques à ne pas tenir la sécurité des smartphones pour acquise, et que des mesures de sécurité supplémentaires seront nécessaires pour renforcer la sécurité dans l’espace mobile (par exemple, dans une référence voilée à la plate-forme Android de Google, elles appellent à davantage d' »appstores contrôlés ») .
Il ne fait aucun doute que la sécurité est une cible en constante évolution ; il est nécessairement réactif et donc en retard sur les nouvelles méthodes adoptées par les cybercriminels. Mais de mon point de vue, l’avis met en évidence un écart de réalité fondamental entre la perception des menaces et les pratiques de sécurité dans le secteur bancaire aujourd’hui.
Mon expérience à ce sujet se limite principalement à la situation aux États-Unis, où de nombreuses institutions financières semblent se soucier de la sécurité du bout des lèvres. Beaucoup exhortent simplement les clients à suivre des conseils de sécurité de plus en plus désuets et hors de propos : utilisez un pare-feu et un logiciel antivirus ; ne répondez pas aux e-mails de phishing ; choisissez des mots de passe complexes et changez souvent votre mot de passe.
Ce qui n’est presque jamais mentionné, c’est que toutes ces procédures de sécurité ne valent rien si le système du client est déjà compromis par un puissant cheval de Troie bancaire comme ZeuS ou SpyEye. L’avis de l’ENISA est accompagné d’un graphique montrant que seulement 38 % environ des logiciels malveillants ZeuS sont détectés par un logiciel antivirus ; ces données, tirées de ZeuSTracker, est légèrement supérieur à la moyenne que j’ai trouvée dans une analyse similaire sur presque exactement la même période que l’échantillon ZueSTracker. Comme je l’ai dit récemment à un lecteur, je ne dis pas qu’un logiciel antivirus est complètement inutile, mais simplement que les utilisateurs doivent se comporter comme s’il l’était.
Peut-être que certaines banques ici aux États-Unis fonctionnent déjà en supposant que tous les PC des clients sont compromis. Mais si c’est le cas, je n’ai pas encore vu d’institution financière disposée à le communiquer à ses clients. Les grandes institutions financières réalisent d’énormes économies grâce à la banque en ligne de leurs clients et hésitent à faire quoi que ce soit pour effrayer les clients de ce moyen. Les petites institutions ne réalisent peut-être pas de telles économies, mais proposent l’ebanking parce que leurs clients s’y attendent.
Dans tous les cas, l’avis de l’ENISA a résonné en moi parce que j’ai longtemps exhorté les clients des banques en ligne à supposer que leurs PC sont compromis et à utiliser une approche Live CD lorsqu’ils effectuent des opérations bancaires en ligne. Il s’agit plutôt d’un « must » pour les petites entreprises qui effectuent des opérations bancaires en ligne, car – contrairement aux consommateurs, qui bénéficient d’une protection juridique contre les pertes financières dues à la cybercriminalité – les entreprises américaines de toutes tailles n’ont pas une telle garantie en cas de cyberattaque.
Il est vrai que de nombreuses banques américaines commencent à adopter des technologies et des approches prometteuses qui cherchent à identifier plus précisément les activités qui précèdent généralement un cyberbraquage. D’autres banques se tournent vers des solutions qui tentent de créer des modes de communication plus fiables et exclusifs entre les institutions financières et leurs clients.
Mais ce processus d’adoption est au mieux inégal. Dans un certain nombre d’histoires à venir, je montrerai une série de cybercasses récents dans lesquels les victimes de petites entreprises ont effectué des opérations bancaires dans des institutions qui continuent d’autoriser le transfert de centaines de milliers de dollars de l’argent de leurs clients, tout en ne nécessitant rien d’autre qu’un simple nom d’utilisateur. et mot de passe.
Les conseils de l’ENISA sont d’autant plus pertinents qu’il est souvent difficile pour les clients de « faire le tour » des banques offrant la meilleure sécurité, au-delà de se renseigner sur les précautions de sécurité face aux clients telles que les jetons ou la double autorisation : pour le meilleur ou pour le pire, la plupart des institutions financières sont réticents à parler de ce qu’ils pourraient faire pour protéger les clients.
Le rapport « High Roller » de McAfee et Guardian Analytics met en évidence une menace sophistiquée qui a principalement ciblé les clients européens, mais qui a récemment été repérée comme étant utilisée contre des cibles à forte valeur ajoutée dans les banques américaines. L’une des raisons pour lesquelles ces attaques automatisées particulières ont été lentes à cibler les clients américains est peut-être la relative uniformité et le faible nombre d’institutions financières en Europe, en Amérique du Sud et dans d’autres régions, par rapport aux États-Unis. Par exemple, le Royaume-Uni ne compte qu’une poignée d’institutions financières au service des clients commerciaux et de détail, alors qu’aux États-Unis, il y a plus de 7 000 institutions financières.
Bien sûr, il ne suffit pas de lutter contre ce problème en réagissant constamment aux dernières tactiques de malware. J’ai longtemps cru que même si la cybercriminalité souterraine se développe chaque jour, une grande partie est dirigée par un groupe de pirates assez petit, lâche et innovant. C’est pourquoi j’ai été ravi de voir l’ENISA appeler à une réponse plus coordonnée pour lutter contre les cybercriminels et leur infrastructure.
De nombreux sceptiques rétorquent que la cybercriminalité est un problème de taupe et que dès que vous éliminerez un cerveau cybercriminel de premier plan, un autre se lèvera pour prendre sa place. Cette croyance semble découler d’une croyance compréhensible mais erronée selon laquelle l’underground est une organisation hautement structurée apparentée à la mafia traditionnelle. À mon avis, rien ne pourrait être plus éloigné de la vérité : la plupart de ces types peuvent être décrits comme participant à une cybercriminalité désorganisée. C’est-à-dire qu’ils sont une confédération d’entrepreneurs indépendants qui travaillent ensemble parce que c’est un avantage financier mutuel. La clé ici est qu’il n’y a pas de loyauté dans ces alliances, et lorsqu’un parti est arrêté ou disparaît, cela a un impact immédiat et mesurable sur ses pairs.
Ayant passé un nombre incalculable d’heures sur d’innombrables forums clandestins, il me semble que bon nombre des mêmes personnages exécutent les mêmes sections sur plusieurs formulaires de fraude. Par conséquent, cibler seulement quelques dizaines d’individus – au lieu de s’en prendre à un groupe de personnes engagées dans un forum ou une cyberattaque ou un crime spécifique – pourrait avoir un effet disproportionné sur les niveaux et les pertes globaux de cybercriminalité. C’était en grande partie la conclusion d’une étude publiée le mois dernier au Royaume-Uni, appelée Mesurer les coûts de la cybercriminalité (PDF).
Si vous dirigez une petite ou moyenne entreprise, envisagez d’effectuer vos opérations bancaires à partir d’un Live CD. J’ai publié quelques instructions sur ce lien qui peuvent vous permettre d’exécuter Puppy Linux à partir d’un CD en quelques minutes. Puppy est extrêmement léger (il tient sur un CD ordinaire), démarre très rapidement et prend en charge la plupart des matériels.
[EPSB]
Avez-vous vu:
Miser sur un CD en direct… Une série d’enquêtes que j’ai écrite au cours des trois dernières années sur les gangs de cybercriminalité organisés utilisant des logiciels malveillants pour voler des millions de dollars à des petites et moyennes entreprises a généré plus que quelques réponses de propriétaires d’entreprise préoccupés par comment se protéger au mieux de ce type de fraude. Je l’ai dit il y a près de trois ans, et cela reste vrai : la réponse la plus simple et la plus rentable que je connaisse ? N’utilisez pas Microsoft Windows lorsque vous accédez à votre compte bancaire en ligne.
[/EPSB]