E-banking: les escrocs prennent pour cible les données d'activation
Fin 2016, MELANI a fait savoir dans une lettre d'information que les escrocs visent de plus en plus les moyens d'authentification mobiles utilisés pour l'e-banking. Depuis peu, ils vont jusqu'à inciter leurs victimes à leur envoyer une copie de la lettre de la banque contenant les données permettant d'activer l'authentification à deux facteurs.
Depuis 2016, les criminels essaient de contourner les moyens d'authentification mobiles en recourant à l'ingénierie sociale et en utilisant des maliciels tels que «Retefe». Sont visés par ces attaques les utilisateurs de PhotoTAN, CrontoSign et SecureSign, indépendamment du système d'exploitation installé sur leur téléphone mobile (Android, iOS).
Depuis environ deux semaines, la Centrale d'enregistrement et d'analyse pour la sûreté et de l'information (MELANI) recense des attaques qui cherchent à faire main basse sur la lettre contenant les données d’activation du processus d’authentification mobile. Ces données prennent souvent la forme d'une mosaïque que l'utilisateur doit, lorsqu'il se connecte à l'aide d'un appareil mobile la première fois à l'e-banking, numériser ou photographier avec une application telle que PhotoTAN, CrontoSign ou SecureSign. L'appareil utilisé est alors reconnu par la banque comme autorisé pour la procédure de connexion au compte e-banking. La banque transmet en général ces données d'activation à ses clients ou à ses clientes par voie postale. Les escrocs essaient désormais d'obtenir les données d'activation en manipulant leurs victimes et en les incitant à en faire une copie numérique ou une photographie qui doit leur être transmise.
Une fois que les escrocs ont obtenu les données, ils pourraient être en mesure d'activer un autre téléphone mobile qui sera lui aussi reconnu comme valable pour l'authent ification à deux facteurs et de se connecter au compte d'e-banking de leurs victimes. Dès lors, ils pourraient se connecter à tout moment au compte de leurs victimes et effectuer des paiements à l'insu de celles-ci.
MELANI recommande les mesures suivantes aux utilisateurs de l'e-banking:
- La lettre contenant les données d'activation vous a été adressée à vous, et à vous seul, par votre banque. Ne divulguez son contenu à personne, pas même à votre banque, même si on vous presse de le faire. En cas de doute, demandez des renseignements par téléphone à votre banque ou à votre conseiller.
- Lorsque vous vous connectez à l'e-banking en utilisant un appareil mobile (par exemple un téléphone mobile ou un appareil dédié à PhotoTAN), vérifiez que vous êtes réellement en train de vous connecter à votre compte et non en train de valider un paiement
- Si vous validez un paiement, veillez à bien lire tout le texte s’affichant sur l’appareil mobile et vérifiez encore le montant et le destinataire (nom, IBAN) du paiement avant de valider celui-ci.
- Installez uniquement des applications depuis l'«App Store» officiel (Google Play ou l'Apple Store). Ne téléchargez jamais d'application depuis une source inconnue, même si on vous le demande. Ne modifiez en aucun cas votre appareil de manière à affaiblir des mécanismes de sécurité essentiels (par ex. obtenir les droits de super utilisateur ou faire sauter le bridage logiciel).
- Installez les mises à jour de sécurité aussi bien sur votre ordinateur que sur votre téléphone mobile dès que celles-ci sont disponibles.
- Si vous relevez des irrégularités lors de votre connexion à l'e-banking, prenez immédiatement contact avec votre banque. Ces irrégularités peuvent notamment prendre la forme:
- d'une annonce de sécurité avant votre connexion au compte d'e-banking, par exemple: « En raison de la modernisation de notre système de sécurité, une identification supplémentaire peut vous être demandée lors de la connexion au compte. […]»;
- d'un message d'erreur après votre connexion, par exemple: «Erreur! En raison d'un problème technique, nous ne sommes pas en mesure de trouver la page que vous recherchez. Veuillez réessayer dans deux minutes»;
- d'un message de sécurité après votre connexion (par ex. «mesure de sécurité») qui vous demande de fournir votre numéro de téléphone fixe ou mobile;
- d'une demande d'installation d'une application mobile après votre connexion;
- d'une redirection vers un site Internet qui n'a aucun lien avec votre banque (par ex. vers google.ch) après votre connexion;
- d'un compteur qui apparaît après votre connexion et vous demande de patienter sans recharger la page.