05.07.2018 - Ces derniers jours, des appels aux entreprises durant lesquels des escrocs se font passer pour des employés d’une banque se multiplient. Les escrocs incitent l'entreprise à délivrer un paiement ou l'informent qu'une prétendue mise à jour concernant le e-banking devra être effectuée puis testée.
Les attaquants cherchent typiquement à persuader les collaborateurs d'installer un logiciel d'accès à distance (NTR-Cloud ou teamviewer par exemple). Ils pourront par la suite accéder à la machine pour simuler une mise à jour du système e-banking. Au final, les escrocs prétendent devoir tester la mise à jour et incitent les collaborateurs à saisir les identifiants d'accès au compte e-banking de l'entreprise. lls chercheront alors à effectuer un virement, sous la justification d’un test visant à vérifier les fonctionnalités du système de paiement Si une procédure de signature collective est en place, les escrocs n'hésiteront pas à demander la présence d'autres collaborateurs pour libérer le paiement.
Dans une autre variante, les victimes sont priées de renoncer à utiliser l'e-banking pendant quelques jours, au prétexte de mises à jour urgentes. Si des transactions doivent être effectuées, les victimes sont priées d'appeler un numéro fourni par les escrocs. Lors d'un tel appel, les criminels demanderont alors le nom d'utilisateur et mot de passe, ainsi que le mot de passe à usage unique. Ils obtiendront ainsi accès au compte e-banking. Ce procédé peut être répété jusqu'à ce que la victime ne devienne méfiante.
Ce mode opératoire démontre que les attaques par social engineering (ingénierie sociale) sont très actuelles (voir aussi MELANI Newsletter du 20.01.2017 Ingénierie sociale: Nouvelle méthode d’attaque ciblant les entreprises). La sensibilisation au sein des entreprises est la clé afin de se prémunir contre de telles fraudes.
Recommandations:
- Contrôlez quelles informations sont disponibles en ligne sur l’entreprise. N'indiquez jamais les adresses e-mail de vos collaborateurs ou des membres de votre direction sur le site web de l'entreprise. Utilisez plutôt des adresses e-mail génériques.
- Soyez méfiant lorsque quelqu'un s'adresse à vous avec une demande inhabituelle et examinez attentivement la personne en étant à l'origine. Il est fortement recommandé de vérifier à l'interne la légitimité d'une demande ou d'une prise de contact, lorsque celle-ci paraît douteuse ou inhabituelle. Mettez un accent particulier sur la prévention du personnel envers ces phénomènes, notamment aux postes clefs.
- Ne transmettez jamais vos données d'accès à un tiers, que ce soit par téléphone, e-mail ou à travers Internet. Les établissements financiers ne vous demanderont jamais de leur transmettre vos données d’accès que ce soit par téléphone, e-mail ou SMS.
- N’installez jamais de logiciels lorsque l’on vous le demande de manière téléphonique ou par e-mail, et soyez également méfiant lorsque l'on vous incite à suivre un lien. N’autorisez jamais un accès à distance à votre système informatique. Aucune banque ne vous demandera de collaborer à des tests liés à des mises à jour de sécurité.
- Enfin, tous les processus relatifs à des virements devraient être clairement définis à l’interne et appliqués de manière rigoureuse par tous les employés, en toute situation.