Les pirates ont utilisé des e-mails de phishing pour s’introduire dans une banque de Virginie lors de deux cyber-intrusions distinctes sur une période de huit mois, remportant plus de 2,4 millions de dollars au total. Maintenant, l’institution financière poursuit son assureur pour avoir refusé de couvrir entièrement les pertes.
Selon un procès intenté le mois dernier dans le district ouest de Virginie, le premier cambriolage a eu lieu fin mai 2016, après qu’un employé de La Banque nationale de Blacksburg a été victime d’un e-mail de phishing ciblé.
Droit d’auteur photo : Kerri Farley
L’e-mail a permis aux intrus d’installer des logiciels malveillants sur le PC de la victime et de compromettre un deuxième ordinateur de la banque qui avait accès au Réseau STARun système géré par le géant de l’industrie financière Premières données que la banque utilise pour gérer les transactions par carte de débit pour les clients. Ce deuxième ordinateur avait la capacité de gérer les comptes des clients de la Banque Nationale et leur utilisation des guichets automatiques et des cartes bancaires.
Armés de cet accès, selon la banque, les pirates ont pu désactiver et modifier les protections antivol et antifraude, telles que les numéros d’identification personnels (PIN) à 4 chiffres, les limites de retrait quotidiennes, les limites d’utilisation quotidiennes des cartes de débit et le score de fraude. protections.
La Banque Nationale a déclaré que la première violation a commencé le samedi 28 mai 2016 et s’est poursuivie jusqu’au lundi suivant. Normalement, la banque serait ouverte un lundi, mais ce lundi-là était Jour du Souvenir, un jour férié fédéral aux États-Unis. Les pirates ont utilisé des centaines de guichets automatiques à travers l’Amérique du Nord pour retirer des fonds des comptes clients. Au total, les auteurs ont volé plus de 569 000 $ lors de cet incident.
À la suite de la brèche de 2016, la Banque Nationale a embauché une firme de criminalistique en cybersécurité Foregenix enquêter. La société a déterminé que les outils de piratage et l’activité semblaient provenir d’adresses Internet basées en Russie.
En juin 2016, la Banque Nationale a mis en place des protocoles de sécurité supplémentaires, tel que recommandé par FirstData. Ces protocoles sont appelés «règles de vitesse» et ont été mis en place pour aider la banque à signaler des types spécifiques de modèles de transactions répétées qui se produisent dans un court laps de temps.
Mais à peine huit mois plus tard – en janvier 2017, selon le procès – des pirates ont de nouveau pénétré par effraction dans les systèmes de la banque, accédant à nouveau aux systèmes de l’institution financière via un e-mail de phishing.
Cette fois, non seulement les intrus ont retrouvé l’accès au réseau STAR de la banque, mais ils ont également réussi à compromettre un poste de travail qui avait accès à Navigateurqui est un logiciel utilisé par la Banque Nationale pour gérer les crédits et les débits des comptes clients.
Avant d’exécuter le deuxième braquage, les pirates ont utilisé le système Navigator de la banque pour créditer frauduleusement plus de 2 millions de dollars sur divers comptes de la Banque Nationale. Comme pour le premier incident, les intrus ont exécuté leur cambriolage un week-end. Entre le 7 et le 9 janvier 2017, les pirates ont modifié ou supprimé des contrôles de sécurité critiques et ont retiré les crédits frauduleux en utilisant des centaines de guichets automatiques.
Pendant tout ce temps, les intrus ont utilisé les systèmes de la banque pour surveiller activement les comptes clients à partir desquels les fonds étaient retirés. À la fin du braquage de 2017, les pirates ont utilisé leur accès pour supprimer les preuves de débits frauduleux des comptes clients. La perte totale déclarée par la banque à la suite de cette violation était de 1 833 984 $.
Verizon a été embauché pour enquêter sur l’attaque de 2017 et, selon les experts en criminalistique de la banque Verizon, ont conclu que les outils et les serveurs utilisés par les pirates étaient d’origine russe. Les notes de procès l’entreprise a déterminé qu’il s’agissait probablement du même groupe d’attaquants responsable des deux intrusions. Verizon a également déclaré à la banque que le logiciel malveillant utilisé par les attaquants pour s’implanter initialement dans la banque lors de la violation de 2017 était intégré dans un piégé Microsoft Word document.
LE PROCÈS
Dans sa poursuite (PDF), la Banque Nationale dit avoir une police d’assurance avec Compagnie d’assurance nationale de l’Everest pour deux types de couverture ou « avenants » pour le protéger contre les pertes liées à la cybercriminalité. Le premier était un avenant «crime informatique et électronique» (C&E) qui avait une responsabilité limitée de perte unique de 8 millions de dollars, avec une franchise de 125 000 $.
Le second était un « avenant de carte de débit » qui offrait une couverture pour les pertes résultant directement de l’utilisation de cartes de débit perdues, volées ou altérées ou de cartes contrefaites. Cette police a une limite de responsabilité unique de 50 000 $, avec une franchise de 25 000 $ et une limite globale de 250 000 $.
Selon le procès, en juin 2018, Everest a déterminé que les violations de 2016 et 2017 étaient couvertes exclusivement par l’avenant de carte de débit, et non par l’avenant C&E de 8 millions de dollars. La compagnie d’assurance a déclaré que la banque ne pouvait pas récupérer les fonds perdus en vertu de l’avenant C&E en raison de deux « exclusions » dans cet avenant qui énoncent les circonstances dans lesquelles l’assureur ne remboursera pas.
La première de ces exclusions exclut la couverture de toute perte « résultant directement ou indirectement de l’utilisation ou de l’utilisation présumée de cartes de crédit, de débit, de paiement, d’accès, de commodité ou autres. . . (1) pour obtenir un crédit ou des fonds, ou (2) pour avoir accès à des dispositifs mécaniques automatisés qui, au nom de l’Assuré, versent de l’Argent, acceptent des dépôts, encaissent des chèques, des traites ou des instruments écrits similaires ou effectuent des prêts sur carte de crédit . . ..”
La deuxième exclusion de l’avenant C&E annule la couverture des « pertes impliquant des dispositifs mécaniques automatisés qui, au nom de l’assuré, versent de l’argent, acceptent des dépôts, des chèques en espèces, des traites ou des instruments écrits similaires ou accordent des prêts sur carte de crédit. . ..”
« Dans sa détermination de la couverture, Everest a en outre déterminé que l’intrusion de 2016 et l’intrusion de 2017 étaient un événement unique, et donc, conformément à l’avenant de carte de débit, la couverture totale de la Banque Nationale en vertu du cautionnement était de 50 000,00 $ pour les deux intrusions », a déclaré la banque dans son procès.
Everest National Insurance Company n’a pas répondu aux demandes de commentaires. Mais le 20 juillet, il a déposé une réponse (PDF) aux réclamations de la banque, alléguant que la Banque Nationale n’a pas caractérisé avec précision les conditions de sa couverture ou expliqué pleinement le fondement de la décision de couverture d’Everest.
Charisse Castagnoliprofesseur associé avec La faculté de droit John Marshalla déclaré que la demande de la banque semble être fondée sur un concept juridique connu sous le nom de « cause immédiate», une affirmation qui comprend généralement le terme révélateur « mais pour », comme le fait tout au long de ce procès.
« La cause immédiate essaie de déterminer où est la responsabilité légale associée à l’élément d’origine qui a causé la perte », a déclaré Castagnoli. « Prenez l’exemple d’une victime d’un accident de voiture dont le maître-cylindre du véhicule a manqué de liquide et, par conséquent, le conducteur a allumé un feu rouge et a heurté une autre voiture. Le conducteur fautif pourrait faire une réclamation dans le cadre d’un procès contre le constructeur automobile « mais si vous n’aviez pas fabriqué cette pièce correctement, cet accident ne se serait pas produit ».
Dans ce cas, Castagnoli a déclaré que ce que la banque semble prétendre, c’est que l’avenant de carte de débit ne devrait pas s’appliquer parce que – mais pour le piratage informatique — les pertes ne se seraient pas produites. En effet, la poursuite de la banque affirme : « Toutes les pertes liées à l’intrusion de 2017 étaient le résultat et n’auraient pas été possibles sans le piratage des systèmes informatiques de la Banque Nationale qui a entraîné l’entrée ou la modification de données électroniques et de programmes informatiques dans l’ordinateur. systèmes.
« Par conséquent, même si les pertes ont été physiquement subies par des extractions de guichets automatiques, les limites de l’avenant de carte de débit ne devraient pas s’appliquer car ce type d’avenant n’envisage pas les changements dynamiques des limites de crédit et les dérogations à la surveillance de la fraude n’étaient possibles que par piratage informatique auquel le C&E Rider devrait s’appliquer », a expliqué Castagnoli.
La plainte de la banque contre Everest note que l’institution financière ne sait pas encore avec certitude comment les voleurs impliqués dans la violation de 2017 ont extrait des fonds. Dans les précédents stratagèmes de ce type (connus sous le nom de « retraits illimités »), les fraudeurs qui orchestrent l’intrusion recrutent des armées de « mules monétaires » – généralement des criminels de rue qui reçoivent des cartes de débit clonées et des codes PIN volés ou fabriqués ainsi que des instructions sur où et quand retirer des fonds .
Castagnoli a déclaré qu’établir et prouver ces lignes fines de cause immédiate peut être très difficile dans les réclamations d’assurance.
« Bien qu’il soit assez facile d’écrire une politique concernant la responsabilité en cas de violation de données, lorsqu’il s’agit d’intrusions réelles et de gestion des intrusions, c’est un Far West sauvage », a-t-elle déclaré. « Les politiques et les définitions qu’ils utilisent ne sont pas cohérentes d’un opérateur à l’autre. »
Castagnoli conseille aux entreprises qui envisagent des polices de cyber-assurance d’examiner de près leurs polices et leurs avenants, et de trouver un expert qui peut les aider à élaborer une police adaptée à l’assuré.
« Les courtiers sérieux qui vendent de la cyber-assurance disent tous la même chose : demandez à un expert de vous aider à rédiger votre police », a-t-elle déclaré. « C’est extrêmement compliqué et nous n’avons pas de langage standard dans les polices d’assurance qui aident les clients à décider quelle police leur convient. »
Elle a ajouté que bien qu’il y ait eu une poignée de cas où les fournisseurs de cyber-assurance ont refusé la couverture de l’assuré, la plupart de ces différends ont été réglés à l’amiable.
« Il s’agit d’un domaine en croissance rapide et d’un centre de profit pour de nombreuses compagnies d’assurance », a déclaré Castagnoli. « Mais il n’y a pas beaucoup de jurisprudence publiée à ce sujet, et vous devez vous demander si quelque chose de public sort comme ça, ce que cela va faire à la réputation de l’industrie. »