Menaces sur les services bancaires mobiles

Alors que le nombre d’utilisateurs de smartphones progresse chaque année, opter pour des services bancaires mobiles devient quasi-naturel. Les utilisateurs de services bancaires mobiles seraient environ 590 millions dans le monde, un chiffre qui franchirait le cap du milliard d’ici 2017. Mais alors que les services mobiles gagnent en popularité, il devient essentiel que les utilisateurs soient sensibilisés à certains risques de sécurité.

La problématique du Spoofing

Comme avec d’autres applications, les utilisateurs peuvent tomber sur des applications mobiles véhiculant un cheval de Troie, ou qui usurpent le look and feel d’applications bancaires légitimes. Les cybercriminels utilisent, en effet, différentes techniques pour simuler une application légitime, qu’il s’agisse d’utiliser les mêmes images et icônes, ou de reprendre la marque bancaire légitime.

Prenons l’exemple de FAKEBANK, un logiciel malveillant identifié au second trimestre 2013. Une fois installé, il utilise l’icône de Google Play pour rester furtif. Pendant son installation, il remplace certains fichiers d’une application bancaire légitime par un code malveillant, mais ne modifie ni les icônes, ni l’interface utilisateur. Lorsqu’un utilisateur exécute cette application, il dévoile de manière fortuite ses identifiants de connexion à son compte bancaire. À savoir que FAKEBANK détourne également les journaux d’appels et les messages SMS.

Icônes et interface utilisateur usurpées

Les applications bancaires sont également devenues des cibles pour les cybercriminels. Le malware  FAKETOKEN imite l’interface qui génère les codes d’authentification ( token) d’une institution financière connue. Les utilisateurs de cette app risquent ainsi de dévoiler leur mot de passe pour ne plus subir le message d’erreur.  Lorsque le mot de passe est saisi, le malware envoie cette information détournée à un numéro spécifique.

fake token

Message d’erreur sur un faux générateur de tokens

Le spoofing n’est pas le seul risque qui pèse sur les applications bancaires. Les sites  mobiles de phishing prennent de l’ampleur et ciblent également les informations personnelles des utilisateurs. Nos données recueillies de janvier à septembre 2013 soulignent ainsi un bond de 53% du nombre de sites mobiles de phishing par rapport à la même période de 2012. Les sites des institutions financières sont ceux qui sont les plus ciblés sur ce trimestre.

Les principaux sites mobiles ciblés en matière de phishing

                                   Les principaux sites mobiles ciblés en matière de phishing

Nos chercheurs ont également identifié une attaque de phishing mobile qui usurpe la page d’authentification mobile d’une banque américaine. Si le site de phishing est certes visuellement proche du site Web légitime, certains éléments lui font néanmoins défaut, comme l’icône du cadenas de sécurité ou de l’utilisation du protocole HTTPS.

Site légitime (gauche) et site de phishing (droite)

Site légitime (gauche) et site de phishing (droite)

Les sites illégitimes cherchent à recueillir les données d’authentification, mais ils redirigent également les utilisateurs vers d’autres pages qui demandent des adresses email et des scans de documents officiels d’identité. Une fois ces informations fournies, les sites dirigeront invariablement l’internaute vers une page d’erreur.

Les cybercriminels peuvent utiliser les adresses email recueillies pour tenter d’accéder aux comptes bancaires, tandis que les documents d’identification permettent de détourner des identités ou de procéder à des actes frauduleux.

Vulnérabilité des applications légitimes

Bien que des vulnérabilités mobiles aient déjà été identifiées dans le passé, ce n’est que récemment que nous avons vu une vulnérabilité jouer un rôle en matière de banque mobile. La faille  master key d’Android  permet aux cybercriminels d’insérer un code malveillant au sein d’applications légitimes installées. Presque tous les équipements sous Android, depuis Android 1.6 (Donut) sont touchés par cette faille.

Les cybercriminels ont utilisé cette faille pour cibler les utilisateurs de services mobiles bancaires, plus particulièrement ceux de NH Nonghyup Bank, une institution bancaire Sud-coréenne. Une mise à jour de l’application a été rendue disponible sur des app store tiers. C’est cette mise à jour qui utilise la vulnérabilité master key d’Android pour activer un cheval de Troie. Ainsi, même une application légitime peut se transformer en menace en cas de vulnérabilité.

 Autres risques

Les applications usurpées et les sites de phishing ne sont pas les seules menaces qui planent sur les services bancaires en ligne. Ce sont les messages par SMS qui peuvent également faire office d’actes frauduleux. Le malware ZITMO , identifié la première fois en 2011, et le malware PERKEL en sont des exemples, et ils peuvent envoyer et recevoir des messages SMS de manière totalement furtive. En prenant le contrôle des messages SMS, les cybercriminels détournent des informations de sécurité, notamment dans le cadre d’une authentification à deux ou plusieurs facteurs, pour ainsi accéder aux comptes bancaires.

Les utilisateurs mobiles se voient également confrontés au smishing (phishing par SMS) ou au vishing (phishing voix). Si les techniques sont différentes – le smishing fait appel à des sms, tandis que le vishing privilégie les appels vocaux – le résultat final est le même : le détournement d’informations.

Les menaces peuvent être encore plus simples que ne le pensent les utilisateurs. La disparition d’un téléphone via par accident ou par vol peut avoir des conséquences lourdes, surtout si ces équipements ne sont pas verrouillés par mot de passe. La victime donner ainsi accès à ses comptes en ligne.

 Protéger les services bancaires mobiles

Les institutions financières doivent déployer une stratégie exhaustive, intégrant notamment les éléments de sécurité, avant de proposer des services mobiles à leurs clients. Il s’agit donc d’aller au-delà de la création de sites ou d’applications dédiées à l’univers mobile, en se focalisant sur les efforts continus de sécurité, notamment via des mises à jour logicielles ou des refontes de sites.

Les utilisateurs doivent bénéficier de processus d’authentification évolués, à plusieurs facteurs, ou des notifications par messages SMS. Des règles et recommandations claires doivent également être fournies aux utilisateurs pour les sensibiliser à la sécurité des services bancaires mobiles.

 

Leave a Reply

Your email address will not be published. Required fields are marked *