Le dimanche 12 août, BreachTrace a diffusé une exclusivité : The FBI mettait en garde les banques contre un système imminent de « retrait de guichets automatiques » sur le point de se dérouler dans le monde entier, grâce à une violation de données dans une institution financière inconnue. Le 14 août, une banque en Inde a révélé que des pirates informatiques avaient pénétré dans ses serveurs, volant près de 2 millions de dollars de virements bancaires frauduleux et 11,5 millions de dollars de retraits non autorisés aux distributeurs automatiques de billets dans plus de deux douzaines de pays.
Le FBI a lancé son alerte le vendredi 10 août. Les criminels qui ont piraté Pune, basé en Inde Banque Cosmos ont exécuté leur braquage à deux volets le lendemain, envoyant des co-conspirateurs se déployer et retirer un total d’environ 11,5 millions de dollars des distributeurs automatiques de billets dans 28 pays.
Le FBI a averti qu’il disposait de renseignements indiquant que des criminels avaient piraté le réseau d’un fournisseur de paiement inconnu avec des logiciels malveillants pour accéder aux informations de carte client bancaire et exploiter l’accès au réseau, permettant le vol à grande échelle de fonds aux guichets automatiques.
Les gangs de cybercriminalité organisés qui coordonnent ces soi-disant « attaques illimitées » le font généralement en piratant ou en hameçonnant leur chemin vers une banque ou un processeur de carte de paiement. Juste avant d’exécuter les retraits aux guichets automatiques, les intrus supprimeront de nombreux contrôles anti-fraude au sein de l’institution financière, tels que les montants de retrait maximum et toute limite sur le nombre de transactions quotidiennes des clients aux guichets automatiques.
Les auteurs modifient les soldes des comptes et les mesures de sécurité pour rendre disponible une quantité illimitée d’argent au moment des transactions, ce qui permet de retirer rapidement de grandes quantités d’argent du guichet automatique.
Mon histoire sur l’alerte du FBI a fait la une des journaux dimanche, mais ce n’était qu’une journée avant d’être utile aux institutions financières touchées par la violation et le blitz de retrait associé aux guichets automatiques.
Mais selon les médias indiens Dailypionneer.comune deuxième attaque a eu lieu le 13 août, lorsque les pirates de la Cosmos Bank ont transféré près de 2 millions de dollars sur le compte de ALM Trading Limited à Banque Hang Seng à Hong Kong.
« La banque a appris l’attaque de logiciels malveillants sur son système de paiement par carte de débit le 11 août, lorsqu’il a été observé que des transactions inhabituellement répétées avaient lieu via ATM VISA et Rupay Card pendant près de deux heures », écrit TN Raghunatha pour le Daily Pioneer.
Cosmos Bank n’a pas tardé à souligner que les attaquants n’avaient pas accès aux systèmes liés aux comptes clients et que l’argent prélevé provenait des comptes d’exploitation de la banque. La banque de 112 ans a imputé l’attaque à « un commutateur qui fonctionne pour la passerelle de paiement de Débit VISA/Rupay carte et non sur le système bancaire central de la banque, les comptes des clients et les soldes ne sont en rien affectés.
Visa a publié une déclaration indiquant qu’elle était au courant de la compromission affectant une institution financière cliente en Inde.
« Nos systèmes ont pu identifier le problème rapidement, permettant à l’institution financière de prendre les mesures appropriées », a déclaré la société. « Visa travaille en étroite collaboration avec le client pour soutenir ses enquêtes en cours sur la question. »
Le FBI a déclaré que ces types de retraits aux guichets automatiques sont les plus courants dans les petites institutions financières qui ne disposent peut-être pas de ressources suffisantes pour se tenir au courant des dernières mesures de sécurité pour le traitement des données des cartes de paiement.
« Les compromis historiques ont inclus des institutions financières de petite à moyenne taille, probablement en raison d’une mise en œuvre moins robuste des contrôles de cybersécurité, des budgets ou des vulnérabilités des fournisseurs tiers », indique l’alerte. « Le FBI s’attend à ce que l’omniprésence de cette activité se poursuive ou augmente éventuellement dans un proche avenir. »
En juillet 2018, BreachTrace a annoncé la nouvelle de deux cyber-effractions distinctes chez Tiny Banque nationale de Blacksburg en Virginie en l’espace de huit mois seulement, ce qui a permis à des retraits de guichets automatiques de rapporter aux voleurs plus de 2,4 millions de dollars. La banque Blacksburg poursuit maintenant son assureur pour avoir refusé de couvrir entièrement la perte.
Tel que rapporté par Reuter, Cosmos Bank a déclaré dans un communiqué de presse que son principal logiciel bancaire reçoit les demandes de paiement par carte de débit via un « système de commutation » qui a été contourné lors de l’attaque. « Lors de l’attaque du logiciel malveillant, un commutateur proxy a été créé et toutes les approbations de paiement frauduleuses ont été transmises par le système de commutation proxy », a déclaré la banque.
Traduction : si une institution financière ne crypte pas entièrement son réseau de traitement des paiements, cela peut permettre aux intrus ayant accès au réseau de détourner et/ou de modifier la réponse qui est envoyée lorsqu’une transaction au guichet automatique est demandée. Dans un tel scénario, le réseau pourrait dire qu’une transaction donnée devrait être refusée, mais les voleurs pourraient toujours faire passer le signal de cette transaction ATM de « refusée » à « approuvée ».
Une dernière note : plusieurs organes de presse ont confondu l’attaque qui a frappé Cosmos Bank avec un autre crime de guichet automatique appelé « jackpotting », qui oblige les voleurs à avoir un accès physique à l’intérieur du distributeur automatique de billets et la possibilité d’installer un logiciel malveillant qui fait cracher le guichet automatique. sortir de grosses sommes d’argent à la fois. À l’instar des retraits aux guichets automatiques/des opérations illimitées, les attaques de jackpot n’affectent pas directement les comptes des clients, mais drainent plutôt les guichets automatiques en devises.
Mise à jour, 20 h 10 HE : Une version antérieure de cette histoire indiquait à tort qu’il n’y avait que 25 guichets automatiques utilisés dans le retrait contre Cosmos. Le chiffre était censé représenter le nombre de pays avec des guichets automatiques qui ont été utilisés dans le braquage, et non des guichets automatiques, et ce nombre est de 28 au dernier décompte.