Skimer ou le retrait inopiné au DAB qui peut faire mal (-ware) !

Sans répit aucun, voilà qu'en plus des sacro-saintes ponctions fiscales annuelles s'ajoutent une crainte bien plus grande (?) pour les contribuables que nous sommes, risquant bien de nous faire frissonner : la réapparition active du malware Skimer sur les distributeurs automatiques de billets sans aucun moyen de détecter physiquement la fraude...

 

DAB_argent billets

En effet, comme expliqué le 17 Mai dernier par Kaspersky Lab, officiellement mise en lumière en 2009 par ce dernier, le programme malicieux prend racine en Russie, avant d'être déployé massivement entre 2010 et 2013. Malheureusement, comme tout virus infectieux, celui-ci a muté récemment et avec une variante de taille : le camouflage du malware, ce qui lui permet de ne pas avoir besoin d'un support piraté physique pour être éventuellement détecté : "Une chose effrayante est qu'il n'y a aucun moyen pour les personnes lambda de distinguer les guichets automatiques infectés. Ils ne présentent pas de signes physiques d'être malveillants, contrairement à des cas avec un dispositif de skimmer quand un utilisateur avancé peut découvrir si il s'agit d'un véritable lecteur de carte d'une machine ainsi remplacé", explique l'éditeur en solutions sécuritaires.

Backdoor.Win32.Skimer - le nom du malware - s’installerait de soit en interne, sur le réseau bancaire en question, soit en externe, directement depuis un DAB donné avant d'infecter, une fois l'installation opérationnelle, l'ensemble du système / noyau, précieux sésame pour ces individus peu scrupuleux pour accéder aux retraits espèces ainsi qu'aux cartes bancaires (nom de la banque, numéro de compte voire code PIN). Dès lors, pour procéder au méfait, en moins d'une minute, le hacker active ce lien distant avec le malware intégré au DAB infecté donné via l'insertion d'une carte magnétique avec diverses fonctions incluses dont bien sûr le retrait d'argent ou encore l'impression des informations des numéros bancaires ainsi collectés frauduleusement, allant même jusqu'à pouvoir dupliquer, au besoin, des cartes bancaires de manière à pouvoir librement retirer de l'argent sans danger : "Dans la majorité des cas, les criminels choisissent d'attendre et de collecter les données des cartes recueillies dans le but de créer des copies de ces cartes plus tard. Avec ces copies ils vont vers un DAB non infecté et, au passage, retirent l'argent des comptes-clients. De cette manière, les criminels peuvent s'assurer du fait que les DAB infectés ne seront pas découverts de si tôt. Et leur accès à l'argent est simple, et, de manière préoccupante, facile à gérer", constate de manière sérieuse Kaspersky Lab.

 

DAB_fraude arnaque humour

Pour l'heure, aucune vrai remède n'est à préconiser : c'est du côté des organismes financiers que tout devra se jouer puisqu'il va vraisemblablement falloir adapter en conséquence / mettre à jour les DAB... Une action apparemment plus facile à dire qu'à faire, comme l'a confié récemment, le 11 Mai dernier à Clubic, Alexey Osipov, ingénieur à Kaspersky Moscou : "Changer l'intégralité des machines représente un investissement trop coûteux pour les constructeurs. D'autant qu'une telle mesure nécessiterait aussi de renouveler le personnel, pas vraiment formé pour contrer les derniers risques de piratage alors que cela fait bien 13 ans que des fraudes de ce type surviennent couramment", explique t-elle avec, selon les chiffres de l'année 2015 de l'éditeur anti-virus, des DAB intégrant WinXP à hauteur de 95 %. Une aubaine pour certains individus malveillants qui n'hésitent pas exprimer pleinement leur potentiel créatif, comme ce fût le cas en Août 2014 pour cet homme d'une trentaine d'année à l'époque et qui, grâce à une imprimante 3D, avait pu concevoir des façades frauduleuses de DAB pour mieux escroquer les clients : "Plus de 30 000 EUR ont été ainsi détournés avant que la Caisse d'épargne ne s'aperçoive de la supercherie, poursuit la même source. Le concepteur de ces façades maîtrisait parfaitement le maniement d'une imprimante 3D. Celle découverte chez son amie était d'un volume imposant, ce qui lui a permis de fabriquer ses fausses façades. C'est la première fois que nous découvrons ce type de façade conçue via ce matériel de pointe", explique ainsi la PJ de Montpellier, selon Le Parisien.

 

L'éditeur anti-virus aurait déjà recensé 49 mutations de ce malware de type Backdoor (porte dérobée) "dont 37 de ces modifications ciblaient les DAB de seulement un des fabricants majeurs". Des pays tels que les États-Unis, la Chine, l'Allemagne, la Pologne, le Brésil, la Russie, l'Espagne voire, entre-autres, la France malheureusement, ne sont pas épargnés. Kaspersky Lab étudie encore actuellement le problème et conseille, dans l'attente d'une solution, de ne pas retirer de l'argent au sein de DAB potentiellement suspect aux yeux du consommateur pour mieux privilégier les guichets bancaires, de vérifier, bien évidemment, les débits bancaires de ses comptes pour repérer les ponctions indésirables éventuelles (auquel cas, toujours faire opposition auprès de votre banque !), ou encore d'utiliser (quand le service est fournie par la banque) le système de paiement avec vérification de code par SMS pour finaliser la transaction.

 

carte bancaire_puce securite

L'argent n'a pas fini d'être le mobile tristement tendance des escroqueries numériques via le ransomware ou, ici plus particulièrement, le skimming : Mercredi 24 Mai la section de recherche de la gendarmerie de Pau, en collaboration avec le groupement de gendarmerie des Landes et le JIRS, a interpellé 13 personnes accusées de fraudes bancaires via skimming. Le butin, estimé à environ 1 million d'euros pour 4 000 cartes bancaires infectieuses, aurait été récolté principalement dans le Sud de la France sous la coupe d'un homme de 54 ans et de "l'informaticien", dont ce dernier se chargeait de reformater des cartes vierges bancaires ou des cartes de fidélités à partir de caméras disposées sur les DAB - pour voir les code PIN entrés par les consommateurs - et de faux-DAB (façade frauduleuse, faux lecteur de carte...). L'escroc, qui mettait à contribution sa famille, avait appris la technique lors d'un séjour en prison, grâce à un codétenu Kosovar. Les peines peuvent aller jusqu'à 10 ans de prison pour les suspects. "Cacher avec sa main le code secret au moment du retrait" serait, pour ce cas-ci, la seule véritable défense, selon le Lieutenant-Colonel Laurent Lessaffre de la section de recherche de la Gendarmerie de Pau, qui met en garde les consommateurs du Sud-Ouest et de la région PACA, victimes potentielles des cartes dupliquées qui seraient éventuellement encore active / en circulation.

Selon l'enquête "Cadre de vie et sécurité" menée par l'ONDRP (Observatoire National de la Délinquance et des Réponses Pénales, pour la période allant de 2011 à 2014, les achats en ligne sur Internet constitue le type premier de fraude financière (34 %) contre 4 % "seulement" pour le piratage de fichiers clients ou encore 12 % du panel interrogé pou cette période, pour un retrait au DAB ; Et sur deux années consécutives, en 2014 (période 2012 et 2013), sur 28 175 000 personnes questionnées, 1 603 000 ont subis un débit frauduleux contre 1 339 000 pour 2013 (2011 et 2012)... A suivre !

 

Source : Kaspersky Lab, communiqué du 17 Mai 2016.




  • Mots-clef: , ,