Dans la nuit du samedi 5 au dimanche 6 novembre, la banque Tesco, filiale de la première chaîne de distribution britannique, a été victime d’une attaque retentissante. Après avoir avancé que 20 000 comptes avaient été compromis, la banque a finalement confirmé que des débits frauduleux avaient été effectués sur 9 000 comptes. Le montant total de la fraude s’élèverait à environ £2,5m.

Sur les réseaux sociaux, des clients de la banque rapportent des débits compris entre £20 et £3 000. Certains signalent aussi que leurs comptes ont été vidés en plusieurs prélèvements, d’autres qu’ils auraient identifié des transactions frauduleuses au Brésil ou en Espagne. Ces informations n’ont cependant pas été confirmées par les sources officielles et il n’est pas possible d’en tirer des conclusions sur le mode opératoire de l’attaque. La première mesure mise en place par Tesco Bank a été l’interruption de tout paiement en ligne. Les clients impactés ont été remboursés en 48h environ.

Des scénarios d’attaque divers et variés ont été avancés, de la fraude au DAB à l’attaque ciblée par malware, en passant par l’exploitation de vulnérabilités sur le site bancaire. La découverte par le cabinet israélien CyberInt de messages sur des forums cybercriminels présentant Tesco Bank comme « une vache à lait » et une « machine à sous » puis de plusieurs messages faisant référence à un « salarié de Tesco souhaitant fournir des coordonnées bancaires de clients » ont renforcé la thèse d’une complicité interne. Cependant, dans l’état actuel de l’enquête, il n’est pas possible de tirer des conclusions et de démêler le vrai du faux dans les différents scénarios avancés. La National Crime Agency épaulée du NCSC sont chargés de l’enquête.

On peut cependant noter que le grand nombre de transactions frauduleuses, effectuées sur plusieurs milliers de comptes, en quelques heures à peine, témoigne du caractère particulièrement élaboré de cette fraude. L’envergure et la technicité de l’attaque suggèrent que les individus avaient une connaissance pointue des processus bancaires et cet incident pourrait s’inscrire dans la mouvance d’une nouvelle vague d’attaques identifiées depuis quelques mois et qui témoignent d’une évolution des techniques chez les cybercriminels de haut vol.

Les attaques ciblées contre les banques

L’affaire Tesco n’est pas une nouveauté et confirme une tendance de fond depuis 2013 environ.
Les groupes de cybercriminels spécialisés se concentrent sur les attaques ciblées contre les banques. Effectivement, les attaques contre les clients de banque continuent grâce aux malware bancaires, mais les groupes les plus évolués se concentrent sur les attaques ciblées, dont le rendement est supérieur et demandent moins de travail et de logistique. Les cibles principales sont des banques régionales et de petite taille le niveau de  sécurisation du réseau informatique étant moins important.

Si au tout début, les cybercriminels s’intéressaient uniquement aux banques, maintenant ils s’intéressent également aux systèmes de paiements, aux marchés boursiers et aux entreprises qui fournissent des informations aux institutions financières. Chaque attaque se prépare pendant des mois parfois alors que  l’opération en elle-même peut se dérouler en quelques minutes.

En février 2015 le groupe Corcow a obtenu le contrôle du terminal boursier d’une des banques régionales russe. Les hackers ont réussi à émettre des ordres d’achats de dollars pour un total de 500$ millions. Ces transactions ont fait baisser le cours de la paire dollar/rouble de 15% sur une période très courte [1].

En mars 2016, la Banque Centrale du Bangladesh a été victime d’un piratage de près d’un milliard de dollars. Les fraudeurs ont notamment exploité le réseau international et interbancaire de transfert de fonds SWIFT. S’il a été possible de récupérer la majeure partie de la somme (850 millions de dollars), les cybercriminels sont tout de même parvenus à dérober 81 millions de dollars.

Les possibilités de manipulation des cours boursiers sont étudiées par les groupes et peuvent s’avérer dévastatrices. Navinder Sarao, un ancien courtier britannique, a reconnu son implication dans le Flash Crach du 2010, lorsque l’indice de Dow Jones a baissé de 9 % pendant 20 minutes, ce qui a permis au courtier de s’enrichir à hauteur de 40$ million [2]

Les groupes de cybercriminels russophones, qui sont les plus évolués dans les attaques ciblées contre les banques, ont acquis suffisamment d’expérience pour s’orienter un jour  vers d’autres pays. C’est pour les banques de petite taille que le risque d’attaque sera alors le plus fort.

Depuis environ un an, les pertes dues aux attaques ciblées des banques russes ont augmenté de 300 %, comparé à la même période en 2016. Derrière ces attaques, se cachent des groupes dont auparavant la spécialité était le piratage informatique contre les particuliers, clients de banques. [3].

La tendance d’attaque doit visiblement s’affirmer, et être conjuguée avec  l’aide de complices au sein des banques. Ainsi, en Russie, par exemple, des groupes se forment parfois autour d’un ancien employé. Pour preuve, le 7 novembre 2016, la Cour de Justice de S. Pétersbourg a rendu un jugement concernant un groupe de 10 personnes dont un ancien employé de la banque ciblée. Le groupe sévissait depuis 2011 et était spécialisé dans le vol depuis les comptes de la plus grande banque du pays, la Sberbank. Au total le préjudice s’élève à 5 714 286€. Deux personnes ont été condamnées à la prison ferme pour 5 et 9 ans, selon les nouveaux articles du Code Pénal. [4]  Leur mode opératoire est devenu assez classique: ils accèdent aux comptes des clients et transfèrent les sommes vers les comptes des sociétés fictives, en retirant par la suite du liquide depuis les DAB ou dans les bureaux des banques avec des passeports contrefaits.

Face à la recrudescence des attaques ciblées, aucune solution ne peut sécuriser le système à 100%. Les conseils sont classiques dans ce cas-là, à savoir améliorer les procédures d’audit et surveiller les signaux faibles permettant d’identifier un événement suspicieux. Et lorsque le mal est fait, il faut repérer rapidement l’endroit où les informations sont vendues ou mises en ligne afin d’élaborer une stratégie de récupération ou prendre des mesures et limiter les conséquences directes et indirectes de fuites et tentatives d’intrusions. Si l’entreprise volée surveille et analyse le dark web, l’équipe de sécurité est en mesure d’être plus proactive afin d’en atténuer les conséquences.

 

[1] https://www.bloomberg.com/news/articles/2016-02-08/russian-hackers-moved-currency-rate-with-malware-group-ib-says

[2] http://www.bloomberg.com/news/articles/2016-11-09/accused-flash-crash-trader-sarao-to-plead-guilty-in-chicago  

[3] http://www.csoonline.com/article/3135364/security/russian-criminals-bank-attacks-go-global.html

[4] http://sledcom.ru/news/item/1078816/