E-banking: des attaques ciblent les moyens d'authentification mobiles
Une majorité de banques utilise des moyens d'authentification mobiles pour l’accès au e-banking, de même que pour la validation (autorisation) des paiements. Un exemple de ces méthodes est le mobileTAN (mTAN), par laquelle la banque envoie un code de confirmation par SMS à ses clients. Depuis plusieurs années déjà, des criminels essaient d’intercepter ces codes à l’aide de maliciels spécialement conçus pour les smartphones.
En conséquence, des entreprises ont développées des alternatives à l’identification par mTAN, qui sont déjà mises en œuvre par différentes banques. Lors de la connexion au compte (login), ou lors de la validation d’un paiement, le client verra s’afficher un code QR ou une mosaïque sur le portail e-banking. Il pourra alors scanner cette image à l’aide d’une application (App) sur son smartphone ou un autre appareil fourni par la banque.
Selon les solutions, la connexion, respectivement la validation, sera directement confirmée par l’application, ou alors un code sera généré et devra être saisi par l’utilisateur sur le portail e-banking. Les produits utilisés par les banques suisses sont notamment :
- PhotoTAN
- CrontoSign
- SecureSign
En principe ces méthodes d’authentification sont sûres. Cependant, les clients se laissent régulièrement tromper, et valident des paiements qu’ils pourraient reconnaître comme frauduleux. Par exemple lorsque le compte destinataire affiché dans l’application est clairement faux, ou lorsque dans la procédure de connexion, les détails d’un paiement apparaissent déjà.
MELANI a connaissance de tentatives de fraude actuelles ciblant les méthodes d’authentification PhotoTAN, CrontoSign ou SecureSign. En Suisse, le maliciel Retefe par exemple, parvient à manipuler des utilisateurs à l’aide d’ingénierie sociale, afin que ces derniers acceptent de valider des paiements frauduleux via ces méthodes.
MELANI recommande les mesures suivantes lors de l’utilisation de méthodes d’authentification comme PhotoTAN, CrontoSign ou SecureSign :
- Lors de la procédure de connexion au compte (login), assurez-vous que vous soyez uniquement en train de vous connecter au compte via l’appareil mobile (smartphone ou autre appareil dédié à cette activité), et non pas en train de valider un paiement (frauduleux).
- Si vous validez un paiement, veillez à bien lire tout le texte apparaissant sur l’appareil mobile (smartphone ou autre appareil dédié à cette activité) et vérifiez le montant et le destinataire (nom, IBAN) du paiement.
- Installez uniquement des applications pour votre smartphone issues de l’ « App store » officiel (Google Play Store et Apple iTunes). N’installez jamais d’applications de sources inconnues, même lorsque l’on vous presse de le faire. N’apportez pas à votre smartphone de modifications visant à obtenir plus de privilèges (« root » pour Android ou « jailbreak » pour iPhone). Ceci affaiblit des processus de sécurité essentiels.
- Si vous recevez un code de confirmation par SMS (mTAN) non sollicité, contactez votre banque sans plus attendre.
- Si vous constatez des anomalies lors de la connexion au e-banking, contactez votre banque sans plus attendre.
- De telles anomalies pourraient par exemple être:
-
- Message de sécurité avant la connexion au compte e-banking. Par exemple « En raison de la modernisation de notre système de sécurité, une identification supplémentaire peut vous être demandée lors de la connexion au compte . […]»
Message d’erreur après la connexion au compte e-banking, de type : « Erreur ! en raison d’un problème technique, nous ne sommes pas en mesure de trouver la page que vous recherchez. Veuillez réessayer dans deux minutes ».
Message de sécurité après la connexion au compte e-banking (de type « mesure de sécurité ») ; vous demandant de fournir votre numéro de téléphone fixe ou mobile.
Demande d’installation d’une application mobile après la connexion au compte e-banking
Après la connexion au compte e-banking, une redirection vers un site web sans lien avec la banque se produit, par exemple vers google.ch.
Timer après la connexion au compte e-banking, vous demandant de patienter pendant que la page se charge.