Le blog high-tech & telecom de Xavier Studer

E-banking: gare aux escrocs qui s’attaquent à des données d’activation

Des escrocs s’attaquent en Suisse aux paiements par internet.

Des escrocs s’attaquent en Suisse aux paiements par internet.

La sécurité informatique reste fragile. Désormais, les escrocs visent de plus en plus les moyens d’authentification mobiles utilisés pour l’e-banking, notamment en Suisse. Depuis peu, ils vont jusqu’à inciter leurs victimes à leur envoyer une copie de la lettre de la banque contenant les données permettant d’activer l’authentification à deux facteurs, selon MELANI.

Depuis environ deux semaines, la Centrale d’enregistrement et d’analyse pour la sûreté et de l’information (MELANI) recense des attaques dont le but est de se procurer la lettre contenant les données d’activation du processus d’authentification par smartphone. Aussi bien les utilisateurs d’Android de Google que ceux d’iOS d’Apple sont concernés.

Code visuel à scanner

Depuis 2016, ces criminels essaient de contourner les moyens d’authentification mobiles en recourant à l’ingénierie sociale et en utilisant des maliciels tels que «Retefe». Les utilisateurs de solutions de sécurité comme PhotoTAN, CrontoSign et SecureSign sont désormais visés.

Les données permettant une authentification sécurisée prennent souvent la forme d’une mosaïque que l’utilisateur doit numériser ou photographier avec une des applications citée ci-dessus  lorsqu’il se connecte la première fois à sa solution de paiement avec un smartphone.

Photocopie ou photo du courrier

Au terme de cette authentification, l’appareil utilisé est alors validé par la banque pour la procédure de connexion au compte e-banking. La banque transmet en général à ses clients ces données d’activation par voie postale, est-il indiqué dans une information diffusée en fin de semaine dernière.

Les escrocs essaient désormais d’obtenir les données d’activation en manipulant leurs victimes et en les incitant à en faire une copie numérique et la leur transmettre. En possession de ces données, ces individus pourraient activer un autre téléphone mobile qui serait lui aussi reconnu comme valable pour l’authentification à deux facteurs…

XS

Les recommandations de MELANI

  • La lettre contenant les données d’activation vous a été adressée à vous, et à vous seul, par votre banque. Ne divulguez son contenu à personne, pas même à votre banque, même si on vous presse de le faire. En cas de doute, demandez des renseignements par téléphone à votre banque ou à votre conseiller.
  • Lorsque vous vous connectez à l’e-banking en utilisant un appareil mobile (par exemple un téléphone mobile ou un appareil dédié à PhotoTAN), vérifiez que vous êtes réellement en train de vous connecter à votre compte et non en train de valider un paiement
  • Si vous validez un paiement, veillez à bien lire tout le texte s’affichant sur l’appareil mobile et vérifiez encore le montant et le destinataire (nom, IBAN) du paiement avant de valider celui-ci.
  • Installez uniquement des applications depuis l’«App Store» officiel (Google Play ou l’Apple Store). Ne téléchargez jamais d’application depuis une source inconnue, même si on vous le demande. Ne modifiez en aucun cas votre appareil de manière à affaiblir des mécanismes de sécurité essentiels (par ex. obtenir les droits de super utilisateur ou faire sauter le bridage logiciel).
  • Installez les mises à jour de sécurité aussi bien sur votre ordinateur que sur votre téléphone mobile dès que celles-ci sont disponibles.
  • Si vous relevez des irrégularités lors de votre connexion à l’e-banking, prenez immédiatement contact avec votre banque. Ces irrégularités peuvent notamment prendre la forme:
    • d’une annonce de sécurité avant votre connexion au compte d’e-banking, par exemple: « En raison de la modernisation de notre système de sécurité, une identification supplémentaire peut vous être demandée lors de la connexion au compte. […]»;
    • d’un message d’erreur après votre connexion, par exemple: «Erreur! En raison d’un problème technique, nous ne sommes pas en mesure de trouver la page que vous recherchez. Veuillez réessayer dans deux minutes»;
    • d’un message de sécurité après votre connexion (par ex. «mesure de sécurité») qui vous demande de fournir votre numéro de téléphone fixe ou mobile;
    • d’une demande d’installation d’une application mobile après votre connexion;
    • d’une redirection vers un site Internet qui n’a aucun lien avec votre banque (par ex. vers google.ch) après votre connexion;
    • d’un compteur qui apparaît après votre connexion et vous demande de patienter sans recharger la page. 

 

 

5 commentaires pour “E-banking: gare aux escrocs qui s’attaquent à des données d’activation

  1. Ludo
    21/08/2017 à 7:45

    Merci pour l’info. si je comprends bien si les pirstes veulent ces données, c’est que login et mot de psse sont insuffisants’ C’est bien ça?

  2. Nycko
    21/08/2017 à 7:55

    Dans tous les cas, utiliser une carte de crédit prépayée ou un compte que vous approvisionner régulièrement pour vos payements avec une limite mensuelle fixe pour retrait. Comme ça on limite les risques. Très facile de transférer du compte principal une somme plus grande sur le compte qui sert à payer au besoin.

  3. merinos
    21/08/2017 à 12:18

    autre article intéressant: http://korben.info/authentification-double-facteur-2fa.html

  4. Ludo
    21/08/2017 à 7:38

    L’e-banking est très sécurisé. Les montants des fraudes engendrés par l’e-banking sont des cacahuètes pour les banques. Les fraudes à la carte de crédit ou au bulletin de versement coûtent bien plus chers.

    Un piqûre de rappel sur les règles de base de sécurité est toujours importante, mais il ne faut pas éviter l’e-banking pour des raisons de sécurité, bien au contraire.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :