Articles

Chameleon : un botnet coûtant plus de 4,6 millions d’euros aux annonceurs publicitaires

L’entreprise de sécurité Spider.io a identifié un réseau Botnet, surnommé Chameleon, qui permet aux cybercriminels de générer plus 4,6 millions d’euros de revenus publicitaires.

Le botnet Chameleon est remarquable par la taille de son incidence financière: un coût pour les annonceurs de plus de 4,6 millions de dollars par mois, il est au moins 70 fois plus couteux que le botnet Bamital, qui a été stoppé le 6 Février 2013 par Microsoft et Symantec. Toutefois, le botnet Chameleon est sans doute plus connu pour le fait que c’est le botnet d’abord trouvé à avoir des répercussions sur les annonceurs d’affichage à l’échelle (par opposition au texte-lien annonceurs).

Plus de 120.000 machines hôtes ont été identifiées à ce jour. 95% de ces machines accèdent au Web à partir d’adresses IP publiques localisées aux États-Unis.

Selon Spider.io, le botnet cible au moins 202 sites avec un fort impact. Sur les 14 milliards d’impressions publicitaires totales enregistrées sur ces sites chaque mois, au moins 9 milliards d’euros sont générés par le botnet. C’est-à-dire que 65% du trafic est produit par le botnet.

Chameleon est un botnet sophistiqué, il ne se contente pas de générer des clics pour augmenter les revenus mais il simule également les mouvements de la souris pour se confondre avec le comportement d’un internaute lambda qui visiterait un site.

Retrouvez l’analyse complète de Spider.io [ici]

L’ Observatoire de la sécurité des cartes de paiement publie son rapport annuel 2011

L’ Observatoire de la sécurité des cartes de paiement a rendu public, ce jour, son neuvième rapport annuel d’activité, relatif à l’exercice 2011. Celui-ci est disponible sur le site Internet de l’Observatoire ( www.observatoire-cartes.fr).

Le taux de fraude s’établit pour l’année 2011 à 0,077 %, en légère augmentation pour la quatrième année consécutive, correspondant à un montant total de fraude de 413,2 millions d’euros (contre 0,074 % et 368,9 millions d’euros en 2010).

Alors que la fraude à l’international est en léger recul, cette hausse de la fraude s’explique au niveau national par deux tendances principales :

1. une augmentation de la fraude sur les paiements à distance et notamment sur le canal Internet. Ainsi, le taux de fraude sur les paiements à distance atteint 0,321 %. On notera en particulier que le taux de fraude sur les paiements sur Internet continue d’augmenter pour atteindre 0,341 %. L’ensemble des paiements à distance, qui ne représente que 8,4 % de la valeur des transactions nationales, compte pour 61 % du montant de la fraude. L’évolution défavorable de la fraude sur ce canal de paiement conduit l’Observatoire à insister pour que ses recommandations relatives à l’adoption de dispositifs permettant l’authentification non rejouable du porteur de la carte, tels que 3D-Secure, soient mises en œuvre par les e commerçants pour les paiements les plus risqués ;

2. une hausse du taux de fraude sur les paiements de proximité qui s’établit désormais à 0,015 % (contre 0,012 % en 2010). Cette tendance s’accompagne d’une poursuite de l’augmentation du taux de fraude sur les retraits qui atteint désormais 0,029 %. L’augmentation de la fraude sur ces transactions, qui reste néanmoins à un niveau très faible, intervient après plusieurs années de baisse. Elle s’explique en particulier par une augmentation des vols de carte avec code confidentiel. Face à ces tendances, l’Observatoire réitère ses conseils de prudence aux porteurs et rappelle les bonnes pratiques à suivre lors d’une opération de paiement chez un commerçant, sur Internet, ou encore lors d’un retrait (cf. annexe 1 du rapport 2011).

Sécurisation des paiements par carte sur Internet. L’enquête d’opinion menée pour la deuxième année consécutive par l’Observatoire et les statistiques transmises par les établissements bancaires et leurs prestataires techniques montrent de réelles avancées en termes d’efficacité des dispositifs de sécurisation des opérations de paiement par carte sur Internet en 2011. Pour autant, seulement 23 % des transactions de paiement sur Internet sont à ce jour sécurisées par des dispositifs d’authentification non rejouable via 3D-Secure. Ainsi, la généralisation de ces dispositifs par les e-commerçants, avec un déclenchement reposant sur une analyse de risque, reste une priorité pour l’Observatoire. Ce dernier organisera ainsi un évènement au second semestre 2012 afin d’encourager le développement de ces dispositifs auprès des e-commerçants, notamment les plus grands d’entre eux.

Il est à noter qu’en 2012, le forum européen sur la sécurité des moyens de paiement (SECUrity of REtail PAYments, « SecuRe Pay »), a proposé des recommandations similaires et qui pourraient déboucher sur la généralisation à terme de ces dispositifs au niveau européen.

Veille sur les évolutions technologiques. L’ Observatoire a étudié les nouvelles solutions visant à transformer le téléphone mobile en terminal de paiement et les nouvelles solutions de paiement sur Internet (portefeuilles électroniques). Les smartphones étant par essence multi applicatifs, multi tâches et dépourvus à ce jour d’éléments de sécurité, ils sont peu adaptés aux requis habituellement exigés en France sur les terminaux de paiement traditionnels dédiés à cette fonction. L’utilisation d’un terminal de paiement mobile dans la chaîne d’acceptation ne peut donc être actuellement envisagée que concomitamment à l’adoption de mesures permettant de garantir un niveau de sécurité équivalent à celui prévalant pour les terminaux de paiement traditionnels.

En ce qui concerne les portefeuilles électroniques, l’Observatoire constate que l’émergence de ces solutions contribue à la diversification des offres de paiement, apportant ainsi aux utilisateurs des moyens adaptés à leurs usages. Il souligne néanmoins que ces évolutions ne doivent pas se faire au détriment de la sécurité de la carte de paiement. Il recommande, dans ce contexte, des mesures visant à assurer la protection des données sensibles (dont celles liées aux cartes de paiement) et la mise en œuvre d’une authentification non rejouable du porteur au moment de l’enregistrement de la carte dans le portefeuille ainsi que pour les opérations de paiement par carte les plus risquées. Il recommande également la mise en place de règles claires quant au partage des responsabilités entre les utilisateurs, les marchands et les gestionnaires de telles solutions.

La coopération internationale en matière de lutte contre la fraude. L’ Observatoire a réalisé un état des lieux des acteurs prenant part à la lutte contre la fraude sur le territoire et des circuits de coopération existants à l’international. Il ressort de cette étude que si les acteurs se sont organisés à la fois au niveau national, européen ou international, des axes d’amélioration sont possibles. Il conviendrait notamment de garantir l’échange opérationnel de données de fraude aidant à la détection de points de compromission, de finaliser une approche commune, notamment en termes de gouvernance, en ce qui concerne la certification des terminaux d’acceptation et d’assurer une harmonisation des exigences sécuritaires par les autorités de régulation bancaire au niveau international.

Retrouvez le communiqué de presse sur http://www.banque-france.fr/observatoire/communique-de-presse-rapport-annuel-2011-observatoire-cartes-paiement.htm

Lire la suite

Les méthodes de fraude bancaire évoluent !

Les banques et autres institutions financières ont mis en place des contrôles plus stricts afin de minimiser les pertes engendrées par les attaques de phishing. Selon les chercheurs de TrendMicro, les cybercriminels n’ont pas tardé à produire de nouveaux outils pour automatiser la fraude bancaire en ligne, on parle d’ATS pour Automatic Transfer Systems.

La famille de logiciels malveillants de type ZeuS et SpyEye injectait des fichiers afin de modifier les sites internet des organismes ciblés comme les banques. Ainsi, une fois que la victime navigue sur le site compromis, les informations de connexions et les données bancaires sont dérobées.

Avec les nouveaux systèmes de transfert automatique (ATS), les attaquants ne volent plus les informations de manière passive. Ils réalisent instantanément des transactions financières débitant directement les comptes bancaires de la victime et créditant le compte des cybercriminels.

Cette méthode se développe en infectant directement les machines des victimes via des courriels d’hameçonnage ou par des compromissions par drive-by downloads. Lorsque la victime se connecte sur le site de sa banque, le malware va ordonner, de manière transparente, des ordres de virements.

Une fois la machine de la victime infectée, il est difficile de détecter les fraudes. Il reste primordial de contrôler régulièrement ses comptes et les transactions qui y ont été effectuées.

Retrouvez l’étude de TrendMicro [ici] et un schéma explicatif [ici]

La cybercriminalité génère 1 à 3 milliards d’euros de préjudice à la Belgique

BRUXELLES, 07/06/2012 – En 2011, la Direction de la lutte contre la criminalité économique et financière (DJF) de la Police judicaire fédérale a, à nouveau, lutté efficacement contre des phénomènes tels que la fraude, le blanchiment, la corruption, la criminalité informatique, etc.
La collaboration constante et grandissante avec les partenaires belges et étrangers fait de cette direction un partenaire de premier plan. Elle a également investi dans l’amélioration de son fonctionnement et dans l’appui fourni aux polices locales et unités déconcentrées de la police fédérale.

[…]

La criminalité informatique
Le nombre d’infractions enregistrées dans la Banque de données Nationale Générale (BNG) dans le cadre du phénomène de criminalité informatique a connu une augmentation constante pendant plusieurs années mais stagne pour la première fois en 2011. Ainsi, 8.882 faits ont été enregistrés en 2008, 11.302 en 2009, 13.473 en 2010 et 13.368 en 2011.

Cependant, sur base de plusieurs études, la Federal Computer Crime Unit (FCCU) a estimé que le préjudice financier causé par la criminalité informatique pouvait être chiffré de 1 à 3 milliards d’euros par an pour la Belgique. Cette donnée fait de ce phénomène une des priorités du Plan National de Sécurité 2012-2015.

Hacking
En 2011, on a vu partout dans le monde, et aussi en Belgique, des attaques de systèmes de sociétés, institutions et organisations: attaques sur les sites d’institutions européennes ainsi que quelques organismes et institutions belges. Les attaques des infrastructures DNS.be et Diginotar sont aussi à surveiller. Lorsque ces systèmes sont attaqués, il s’agit d’une menace pour le fonctionnement du réseau Internet. Heureusement, ces attaques n’étaient pas de nature à perturber le fonctionnement d’Internet.

Les auteurs de cyberattaques sont souvent des groupes ou des individus spécialisés dont l’objectif est, dans la plupart des cas, l’appât du gain. La production et la vente d’outils de hacking et d’espionnage, ainsi que la location d’infrastructures pour procéder à des cyberattaques, sont devenues les sources de revenus des criminels.

A l’étranger, 2011 a marqué l’entrée en scène de l’« hacktivisme » : un mouvement de protestation citoyenne contre le pouvoir des autorités et des grandes entreprises et contre la régulation d’Internet. Les hacktivistes attaquent les systèmes informatiques, soit pour les mettre hors de service, soit pour en extraire les données. Beaucoup de ces actions se sont faites au nom d’ « Anonymous ». En 2011, les actions d’Anonymous se sont essentiellement produites à l’étranger mais cela ne signifie pas qu’elles n’ont pas pu avoir de répercussions importantes en Belgique. Ce fut le cas par exemple du hacking du réseau Sony Playstation Network sur des serveurs aux États-Unis, au cours duquel les données personnelles de 670.000 utilisateurs belges ont été interceptées.

eCops
Le point de contact en ligne eCops a reçu plus de dénonciations que jamais en 2011, à savoir 24.220. La hausse par rapport à 2010 est d’un tiers. Une des raisons de cette hausse considérable est que les dénonciations ont toujours moins de rapport avec l’objectif original du point de contact, à savoir la dénonciation de sites et services Internet dont le contenu est illicite. Ainsi, de plus en plus de citoyens dénoncent via eCops des méfaits dont ils sont eux-mêmes victimes. Dans ces cas, la FCCU se doit de rediriger les personnes vers la police locale. Actuellement, une étude est menée sur l’impact, l’efficacité et l’avenir d’eCops, ce qui pourrait conduire à une adaptation de ce point de contact en ligne.

Escroqueries sur Internet
Les escrocs demeurent très créatifs sur Internet (et même sans Internet), et sont toujours en quête de nouvelles façons d’extorquer de l’argent.

 

Il existe autant de scénarios que d’escrocs comme:

  • la fraude au commerce en ligne;
  • les fausses loteries, faux héritages,…;
  • la fraude à l’émotion (fraude à l’amitié, fausse histoire d’amour,…) ;
  • la fraude à l’identité (vol et abus d’identité, dont relève également le phishing 1 ).

En 2011, on remarque une baisse du nombre d’escroqueries sur Internet enregistrées dans la BNG. Il s’élevait à 5.052 en 2010 pour 4.632 faits enregistrés en 2011.
Les escroqueries sans Internet ont également baissé, passant de 9.268 à 8.041 faits enregistrés dans la BNG.

En outre, la FCCU et le Federal Cyber Emergency Team (CERT) tentent de protéger les victimes potentielles en fermant au plus vite les sites de phishing. En 2010, une procédure de traitement a été élaborée afin de retirer ces sites du réseau Internet le plus rapidement possible après leur détection. En 2011, cette procédure a été mise en œuvre à 295 reprises.

Collaboration (inter)nationale
La cybercriminalité a indéniablement un caractère international, ce qui demande une approche intégrée associant différents partenaires nationaux et internationaux.
Fin 2011, 19 suspects belges ont été identifiés dans le cadre d’une action internationale de grande envergure contre la pornographie enfantine sur Internet, sous la coordination d’Europol. Au total, 269 suspects dispersés dans 22 pays ont été identifiés. L’opération a été préparée et exécutée dans le cadre du projet CIRCAMP, dont la Belgique (cellule Traite des êtres humains en collaboration avec le service FCCU) est le pilote depuis 2010.

Sur le plan national, la police fédérale travaille en collaboration avec d’autres services d’autorités fédérales au sein d’une plateforme de concertation pour la sécurité de l’information, appelée BelNIS (Belgian National Information Security). Sous la direction de la FCCU, cette plateforme travaille sur une procédure de réaction en cas de cyberincidents graves. Les travaux de la plateforme seront clôturés dans le courant de l’année 2012.

Enfin, l’utilisation de l’outil Internet est au cœur des enquêtes actuelles. Une journée d’étude sur «l’utilisation de Google dans l’enquête policière » a connu le même succès qu’en 2010, en réunissant 357 participants.

[…]

Retrouvez le communiqué de presse en entier sur le site de la Police Fédérale Belge [ici]

Le secteur des services financiers est celui qui souffre le plus de la Cybercriminalité

La cybercriminalité a pris de l’envergure au cours de la dernière année, le cybercrime est devenu le second crime le plus fréquemment rapporté affectant les entreprises du secteur des services financiers.

Selon la dernière étude de PwC sur la criminalité économique mondiale, la cybercriminalité a représenté 38% des affaires de crimes économiques et financiers dans le secteur des services financiers (contre 16% dans les autres secteurs). La première source de crime économique et financier est  le détournement d’actifs qui reste la méthode traditionnelle et la plus populaire.

Tandis que les organismes du secteur financier ont toujours pris des mesures importantes pour contrôler et protéger les données de leurs clients, l’enquête montre qu’ils sont néanmoins préoccupés par la croissance de cette menace. La moitié des répondants ont constaté que la cyber-menace a augmenté au cours des 12 derniers mois (contre 36% pour les autres industries).

Certaines des technologies en développement sont susceptibles d’augmenter encore plus ce risque. Il s’agit de l’utilisation des applications servant à accéder aux services bancaires ou encore la transformation des téléphones mobiles en moyens de paiement.

Derniers fait alarmant, près d’un tiers du personnel n’a reçu aucune formation liée à la sécurité de l’information, alors qu’il est constaté qu’un manque de sensibilisation est la conséquence du fait que la plupart des incidents de sécurité sont dus à une négligence humaine.

Retrouvez l’étude « Fighting Economic Crime in the Financial Services sector » [ici]

Arrestation d’un gang Russe exploitant le malware Carberp

La police russe a arrêté un groupe de huit personnes soupçonnés de faire des millions de dollars de profit en œuvrant dans la fraude bancaire électronique.

Les hommes sont suspectés de faire partie d’un gang basé à Moscou visant les ressortissants russes et qui auraient ratissé 2 millions de dollars depuis Octobre 2011. Le groupe utilise le cheval de Troie Carberp et d’autres souches de malwares pour voler les informations de connexion des comptes bancaires en ligne. Les fonds provenant de quelques 90 comptes compromis ont été transférés vers des comptes appartenant aux cybercriminels avant que ces derniers ne les retirent à travers le réseau de distributeurs automatiques de billets.

Les suspects louaient un bureau à partir duquel l’arnaque était réalisée sous le couvert de l’exploitation d’une entreprise d’informatique légitime. Les services de police ont déclaré que lors de la perquisition des bureaux il a été récupéré du matériel informatique, un grand nombre de cartes bancaires, des documents falsifiés et l’équivalent de 257000 dollars.

Les cybercriminels ont été accusés de diverses infractions en vertu du code criminel russe couvrant le vol, le piratage informatique et la distribution de logiciels malveillants. La majorité des suspects ont été placés en résidence surveillée en attendant les procès, où ils font face à des accusations passibles de jusqu’à 10 ans derrière les barreaux s’ils sont reconnus coupables.

Le malware Ice IX contourne les dispositifs anti-fraude des banques

Des cyber-escrocs ont développé une variante du Cheval de Troie Zeus capable de rediriger les appels téléphoniques de vérification des institutions financières, lorsqu’une activité suspecte a été repérée, directement vers les combinés des cybercriminels.

Cette « option » est fournie avec le Trojan bancaire Ice IX, mis au point avec le Toolkit Zeus. En plus de voler les données des comptes bancaires à partir des machines infectées, le malware va capturer les informations sur les comptes téléphoniques appartenant aux victimes, l’escroquerie a visé le Royaume-Uni et les clients américains.

Le malware va d’abord, de manière classique, dérober l’identifiant de la victime, son mot de passe, date de naissance, solde des comptes etc. Puis, la victime est invitée à mettre à jour ses coordonnées téléphoniques (domicile, portable, bureau) et de préciser son opérateur (au Royaume-Uni).

En prenant le contrôle des lignes téléphoniques, les escrocs vont dévier les appels téléphoniques des banques qui appellent lorsque les transactions bancaires semblent suspectes. Ainsi le système anti-fraude « post-transactions » est contourné, et les fraudeurs peuvent exploiter plus longtemps les comptes de la victime.

Les données conservées par les commerçants mal protégées

Une étude réalisée par SecurityMetrics nous apprend que 71% des commerçants ne chiffrent pas leurs données stockées concernant les cartes de paiement, ce qui représente une hausse de 8% depuis 2010.

Le stockage non chiffré des informations de paiement est une atteinte au standard PCI DSS (Payment Card Industry Data Security Standard) et peut aboutir à des amendes ou autres sanctions après un compromis.

Des informations non chiffrées sur plus de 370 millions de cartes de crédit ont été trouvées en scannant des réseaux informatiques professionnels et domestiques.

Le problème est que les commençants ne savent ce qui stocké dans leur système d’information et surtout la manière dont sont conservées les données.

Des commerces américains victimes de fraude

Quatre ressortissants roumains ont été inculpés pour leur participation présumée à des actes de cybercriminalités ayant générés un revenu de plusieurs millions de dollars.

Selon l’accusation, le district de New Hampshire aux Etats-Unis, depuis 2008 et jusqu’en mai 2011 les quatre individus auraient piraté à distance plus de 200 points de vente américains dans le but de voler les numéros de cartes de crédit, cartes cadeaux et les données qui y sont associées.

Parmi les victimes, on dénombre plus de 150 franchises Subway  situées aux USA, qui comprend moins de 1% de la totalité des franchises de restauration rapide Subway.

Plus de 80.000 personnes  auraient été victimes avec un préjudice dépassant plusieurs millions de dollars.

Si les accusés sont reconnus coupables, ils risquent un maximum de cinq ans de prison pour le chef d’accusation de « complot à des fins de fraudes informatiques », 30 ans pour « fraude électronique » et 5 ans pour « complot dans la mise en place d’appareils frauduleux ». Ils sont également passibles d’amendes pouvant atteindre jusqu’à deux fois le montant de la perte.

Des condamnations moins lourdes pour la cybercriminalité

Les cyber-criminels reçoivent souvent des peines nettement plus légères que leurs homologues du monde réel. C’est le constat du chef de l’UK’s Police Central e-crime Unit, Charlie McMurdie.

Les pouvoirs de sanction sont suffisants mais c’est l’appréciation du préjudice des victimes qui fait défaut et donc la condamnation qui en découle est amoindrie. Dans certains cas, les montants des cyber-vols peuvent atteindre un total de 6 millions d’Euros. Mais les gens pensent qu’il n’y a pas de victimes car les individus récupèrent leur argent auprès des banques. Dans ces cas de fraudes bancaires, il y a une perte pour l’économie du pays et un gain pour l’organisation criminelle qui est derrière.

La cybercriminalité reste donc un « business » rentable, avec des profits importants, des risques encourus bien plus faibles que pour les actes « non virtuels » et un investissement de départ qui peut-être relativement faible. On s’oriente ainsi vers une augmentation de l’intérêt pour les actes malveillants dans le monde virtuel où les frontières et les distances n’existent plus et où on peut espérer réussir à échapper aux autorités.