le Bureau fédéral d’enquête (FBI) avertit les banques que les cybercriminels se préparent à mettre en œuvre un stratagème de fraude mondial hautement chorégraphié connu sous le nom de « retrait de guichet automatique », dans lequel des escrocs piratent une banque ou un processeur de carte de paiement et utilisent des cartes clonées dans des distributeurs automatiques de billets du monde entier. de retirer frauduleusement des millions de dollars en quelques heures seulement.
« Le FBI a obtenu des rapports non spécifiés indiquant que les cybercriminels envisagent de mettre en place un programme mondial de retrait par guichet automatique (GAB) dans les prochains jours, probablement associé à une violation d’un émetteur de carte inconnu et communément appelé une « opération illimitée », ” lit une alerte confidentielle que le FBI a partagée avec les banques en privé vendredi.
Le FBI a déclaré que des opérations illimitées compromettent une institution financière ou un processeur de carte de paiement avec des logiciels malveillants pour accéder aux informations de carte client bancaire et exploiter l’accès au réseau, permettant le vol à grande échelle de fonds aux guichets automatiques.
« Les compromis historiques ont inclus des institutions financières de petite à moyenne taille, probablement en raison d’une mise en œuvre moins robuste des contrôles de cybersécurité, des budgets ou des vulnérabilités des fournisseurs tiers », poursuit l’alerte. « Le FBI s’attend à ce que l’omniprésence de cette activité se poursuive ou augmente éventuellement dans un proche avenir. »
Les gangs de cybercriminalité organisés qui coordonnent des attaques illimitées le font généralement en piratant ou en hameçonnant leur chemin vers une banque ou un processeur de carte de paiement. Juste avant d’exécuter les retraits aux guichets automatiques, les intrus supprimeront de nombreux contrôles anti-fraude au sein de l’institution financière, tels que les montants maximum de retrait aux guichets automatiques et toute limite sur le nombre de transactions quotidiennes des clients aux guichets automatiques.
Les auteurs modifient également les soldes des comptes et les mesures de sécurité pour rendre disponible une quantité illimitée d’argent au moment des transactions, ce qui permet de retirer rapidement de grandes quantités d’argent du guichet automatique.
« Les cybercriminels créent généralement des copies frauduleuses de cartes légitimes en envoyant des données de cartes volées à des complices qui impriment les données sur des cartes à bande magnétique réutilisables, telles que des cartes-cadeaux achetées dans des magasins de détail », a averti le FBI. « À une heure prédéterminée, les co-conspirateurs retirent les fonds du compte des distributeurs automatiques de billets en utilisant ces cartes. »
Pratiquement toutes les opérations de retrait aux guichets automatiques sont lancées le week-end, souvent juste après que les institutions financières ont commencé à fermer leurs portes le samedi. Le mois dernier, BreachTrace a publié un article sur une opération apparemment illimitée utilisée pour extraire un total de 2,4 millions de dollars de comptes au Banque nationale de Blacksburg dans deux retraits de guichets automatiques distincts entre mai 2016 et janvier 2017.
Dans les deux cas, les attaquants ont réussi à hameçonner quelqu’un travaillant à la petite banque basée à Blacksburg, en Virginie. À partir de là, les intrus ont compromis les systèmes que la banque utilisait pour gérer les crédits et les débits des comptes clients.
L’opération illimitée de 2016 contre la Banque Nationale a débuté le samedi 28 mai 2016 et s’est poursuivie jusqu’au lundi suivant. Ce lundi particulier était Jour du Souvenir, un jour férié aux États-Unis, ce qui signifie que les succursales bancaires ont été fermées pendant plus de deux jours après le début du braquage. Au total, les attaquants ont réussi à siphonner près de 570 000 dollars lors de l’attaque de 2016.
Les pirates de la banque de Blacksburg ont encore frappé le samedi 7 janvier et, le lundi 9 janvier, ils avaient réussi à retirer près de 2 millions de dollars lors d’une autre opération de retrait illimité au guichet automatique.
Le FBI exhorte les banques à revoir la façon dont elles gèrent la sécurité, telles que la mise en œuvre d’exigences de mots de passe forts et d’une authentification à deux facteurs à l’aide d’un jeton physique ou numérique lorsque cela est possible pour les administrateurs locaux et les rôles critiques de l’entreprise.
D’autres conseils dans l’avis du FBI suggéraient que les banques :
-Mettre en œuvre des procédures de séparation des tâches ou de double authentification pour les augmentations de solde ou de retrait de compte au-delà d’un seuil spécifié.
-Mettre en place une liste blanche d’applications pour bloquer l’exécution de logiciels malveillants.
-Surveiller, auditer et limiter les comptes d’administrateur et d’entreprise critiques avec le pouvoir de modifier les attributs de compte mentionnés ci-dessus.
-Surveiller la présence de protocoles de réseau à distance et d’outils d’administration utilisés pour pivoter vers le réseau et effectuer la post-exploitation d’un réseau, tels que Powershell, cobalt strike et TeamViewer.
-Surveiller le trafic crypté (SSL ou TLS) voyageant sur des ports non standard.
-Surveiller le trafic réseau vers les régions où vous ne vous attendez pas à voir des connexions sortantes de l’institution financière.
Mise à jour, 15 août, 11 h 11 HE : Plusieurs sources confirment maintenant que l’alerte du FBI était liée à une violation de la Cosmos banque coopérative en Inde. Selon plusieurs sources d’informationdes voleurs utilisant des cartes clonées ont exécuté quelque 12 000 transactions et volé environ 13,5 millions de dollars sur des comptes Cosmos via 25 guichets automatiques situés au Canada, à Hong Kong et en Inde.