Rechercher sur ce blogue

Aucun message portant le libellé Cyberbraquage. Afficher tous les messages
Aucun message portant le libellé Cyberbraquage. Afficher tous les messages

jeudi 15 août 2019

Des failles dans la protection offerte par Desjardins

Des failles dans la protection offerte par Desjardins




faille, banques, Equifax, Cyberbraquage, hackers,
 
 
Thomas Gerbet
Olivier Bachand
Les fraudeurs peuvent dormir tranquilles. Une enquête de Radio-Canada révèle qu'il est encore possible et facile de commander des cartes de crédit à l'insu des membres de Desjardins, même s'ils sont inscrits au service d'Equifax.
« C'est un petit peu épeurant, dit Maude Moreau-Bélanger après avoir participé à un test organisé par Radio-Canada. Je suis très déçue. »
Pour notre enquête, nous avons fait appel à des volontaires. Ils devaient être des membres de Desjardins, victimes du vol de données et inscrits au service d'Equifax.
Chacun a fait une demande de carte de crédit à son nom sur le site web d'une banque et a attendu de voir si l'outil de surveillance de crédit allait les alerter.
Résultat : sur cinq personnes, une seule a reçu une alerte d'Equifax (une demande de carte à la BMO Banque de Montréal).
La carte de crédit que j'ai reçue m'alloue quand même un gros montant. Je réalise que n'importe qui aurait pu la remplir.
Maude Moreau-Bélanger, membre de Desjardins qui a participé au test
Maude Moreau-Bélanger
Photo : Radio-Canada
Maude Moreau-Bélanger s'était inscrite à Equifax le 9 juillet. Elle a reçu sa carte de crédit Visa Banque Royale par la poste le 25 juillet sans jamais recevoir d'alerte.
Sur son site web, Equifax mentionne pourtant que ses clients seront alertés pour toute interrogation de nouvelle carte, toute tentative d'ouverture d'un nouveau compte, tout changement aux comptes existants ou encore tout changement de nom ou d'adresse.
Un autre de nos volontaires, Mathieu Legault, s'est rendu compte que le service d'Equifax ne suffisait pas pour se prémunir contre la fraude.
Il s'est inscrit à l'outil de surveillance de crédit offert par Desjardins le 3 juillet. Le 28 du même mois, il a commandé en ligne une carte de crédit American Express Mariott Bonvoy, qu'il a reçue par la poste trois jours plus tard. Et il n'a pas été alerté par Equifax.
Mathieu Legault
Photo : Radio-Canada
Je me pose des questions sérieuses. C'est quoi le service que Desjardins m'offre et en quoi ça me protège?
Mathieu Legault, membre de Desjardins qui a participé au test
Après trois jours de sollicitations, Equifax n'a pas encore répondu à nos questions.

La couverture offerte par Desjardins est incomplète

Le président du Bureau canadien du crédit Sylvain Paquette
Photo : Radio-Canada
La clé pour comprendre les failles dans la protection offerte aux membres de Desjardins, c'est l'existence d'un autre service de surveillance de crédit : TransUnion.
« Toutes les banques font affaire avec les deux, explique le président du Bureau canadien du crédit, mais certaines vont privilégier TransUnion pour prendre leur décision de crédit. C'est ce qui explique pourquoi des clients vont faire des demandes de cartes de crédit et ne recevront pas d'alerte d'Equifax. »
Les banques vont souvent préférer TransUnion parce que l'information qu'elle détient remonte jusqu'à 1990, donc ça permet d'aller fouiller plus loin dans le passé du client et de donner une meilleure décision de crédit.
Sylvain Paquette, président du Bureau canadien du crédit
Le Bureau canadien du crédit constate que, ces derniers temps, les fraudeurs passent en priorité par des cartes de crédit faisant affaire avec TransUnion ou des firmes en ligne qui font des prêts de quelques centaines de dollars sans enquête de crédit.

Desjardins toujours en négociation avec TransUnion

Capture d'écran du site web de TransUnion
Photo : TransUnion
Desjardins affirme qu'Equifax couvre 70 % du marché canadien. Pour une protection complète, les 2,9 millions de ses membres victimes du vol de données devraient donc aussi bénéficier du service de TransUnion. C'est d'ailleurs ce qu'avait promis le PDG de Desjardins, le 3 juillet, sans donner de nouvelles depuis.
TransUnion n'a pas souhaité faire de commentaire et nous a dirigés vers Desjardins. Cette dernière n'a pas voulu accorder d'entrevue. « Nous sommes toujours en discussion avec TransUnion », a écrit dans un courriel la porte-parole Chantal Corbeil.
En attendant, Desjardins mentionne que ses membres peuvent déjà consulter leur dossier de crédit TransUnion par l'intermédiaire de l'application « Ma cote de crédit », accessible par AccèsD.
Le service, qui n'est pas facile à trouver, n'envoie pas d'alerte aux membres.
En date du 6 août, 728 832 membres de Desjardins s'étaient inscrits au service d’Equifax, ce qui représente 27 % des personnes concernées par la fuite de renseignements personnels.

mardi 17 février 2015

Cyberbraquage : comment les pirates ont réussi à voler un milliard de dollars


Les cybercriminels s’introduisaient de manière banale par des emails piégés pour, ensuite, réaliser un minutieux travail d’espionnage et de renseignement avant de passer à l’action. Du grand art.


Un milliard de dollars volés dans plus d’une centaine de banques dans le monde... Détecté par Kaspersky, le cyberbraquage mené par cette équipe internationale de pirates non identifiés était un vrai travail de professionnel, remarquablement organisé et techniquement sophistiqué. Mais concrètement, comment ont-ils procédé ?
Pour s’introduire dans les réseaux informatiques des banques, les pirates ont utilisé un moyen ultraclassique : des emails piégés forgés sur mesure et envoyés à des employés. Le corps du message faisait référence à une invitation, à une réglementation financière, à une demande client, etc. En pièce jointe figurait un fichier Word 97-2003 ou des fichiers systèmes (.CPL) cachés dans une archive RAR. Il suffisait de cliquer et hop, l’ordinateur était infecté par une porte dérobée baptisée Carbanak. Ce dernier, pour rester discret, disposait même d’une signature valide. A noter que les vulnérabilités exploitées pour compromettre les postes de travail sont connues depuis quelques années et qu’il existe des patchs. Les systèmes des victimes n’étaient donc pas à jour (ce qui est fréquent, hélas).
Exemple de message d\'un email piégé.
© Kaspersky
Exemple de message d'un email piégé.
Grâce à la porte dérobée Carnabak, les pirates ont pu espionner à loisir le réseau et les processus de travail de la banque infectée. Ils récupèrent les mots de passe système de l’utilisateur, naviguent à travers ses fichiers et ses emails,  analysent les applications métier intallées, sondent le réseau et les contacts pour trouver des administrateurs systèmes à infecter, installent des logiciels d’administration à distance, etc. Des captures d’écran sont prises toutes les 20 secondes pour connaître précisément le travail de la victime. Si une webcam est disponible, elle sera même filmée. Toutes ces informations seront renvoyées sous forme compressée à des serveurs de commande et contrôle situés à l’étranger, puis stockées de manière systématique dans des bases de données.
Base de données des ordinateurs infectées
© Kaspersky
Base de données des ordinateurs infectées
agrandir la photo
L\'activité de la victime est enregistrée par des séquences de  copies d\'écran.
© Kaspersky
L'activité de la victime est enregistrée par des séquences de copies d'écran.
agrandir la photo
Cette phase de reconnaissance dure entre deux et quatre mois. Une fois qu’ils sont parfaitement renseignés, les pirates passent à l’action. Ils créent de fausses transactions internationales (SWIFT) pour alimenter leurs comptes bancaires et insèrent de faux ordres de paiements en ligne. Parfois, pour rester discrets, ils augmentent artificiellement le solde d’un compte bancaire puis transfèrent la différence sur un compte dont ils ont le contrôle. Ce qui permet de rester sous le radar des contrôles comptables.
Plus impressionnant : les pirates ont parfois pu accéder au réseau informatique qui reliait les distributeurs de billets. Si ces derniers pouvaient être administrés à distance - ce qui n’est pas toujours le cas - il leur suffisait d’envoyer quelques lignes de commandes pour leur faire cracher le pactole. Pour réaliser toutes ces opérations, pas la peine d’exploiter une quelconque vulnérabilité : les pirates utilisaient les identifiants et mots de passe de leurs victimes, tout simplement.
agrandir la photo
Lire aussi:
Piratage de la Banque postale : alerte aux malwares sur les smartphones ! , le 07/11/2014
Source:
Kaspersky