E-banking : attention au mTAN & Co.

Ces dernières semaines, plusieurs cas ont été signalés dans lesquels des pirates ont réussi à inciter des victimes à viser des paiements frauduleux dans l'e-banking par le biais de l'ingénierie sociale.

Illustration 1 : Méthodes alternatives au mTAN : mosaïque (à gauche) et code QR (à droite) utilisés pour se connecter et viser un paiement.
Illustration 1 : Méthodes alternatives au mTAN : mosaïque (à gauche) et code QR (à droite) utilisés pour se connecter et viser un paiement.

Depuis longtemps, la plupart des banques utilisent des méthodes d'authentification mobiles pour se connecter à l'e-banking et pour viser (autoriser) des paiements via l'e-banking : Avec la procédure mobileTAN (mTAN), par exemple, la banque envoie un code de confirmation au client par SMS. Depuis quelques années déjà, des criminels tentent d'intercepter les codes de confirmation SMS (mTAN) sur le smartphone du client au moyen de logiciels malveillants pour smartphones et de les utiliser ensuite pour des fraudes à l'e-banking, comme l'écrit la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani).

Autre possibilité : en principe sûr, mais...

L'industrie a donc développé des méthodes d'authentification alternatives au mTAN, qui sont déjà utilisées par diverses banques. Dans ce cas, un code QR ou une mosaïque est affiché au client sur le portail d'e-banking lors de la connexion ou pour viser un paiement. Le client peut le scanner à l'aide d'une application sur son smartphone ou sur un appareil indépendant (autonome).

Selon le produit, le login ou le visa du paiement est confirmé directement dans l'application ou celle-ci génère un code que le client doit ensuite saisir sur le portail d'e-banking. Parmi les produits utilisant une telle méthode d'authentification et utilisés par les banques suisses, on trouve PhotoTAN, CrontoSign, SecureSign.

En principe, cette méthode d'authentification est considérée comme sûre. Toutefois, dans de nombreux cas, les clients se laissent tromper par l'ingénierie sociale et visent les paiements même lorsqu'ils pourraient reconnaître le processus comme frauduleux, par exemple lorsque l'application affiche un compte de destinataire manifestement erroné ou lorsque des données de paiement sont déjà affichées lors de la procédure de connexion.

Attention au logiciel malveillant Retefe

Melani a connaissance de tentatives actuelles de fraude à l'e-banking sur des méthodes d'authentification telles que PhotoTAN, CrontoSign ou SecureSign. En Suisse, par exemple, le maliciel Retefe, connu depuis longtemps, est actuellement en mesure, par le biais de l'ingénierie sociale, d'inciter les clients de l'e-banking à viser des paiements frauduleux via PhotoTAN, CrontoSign ou SecureSign.

Melani recommande l'utilisation de méthodes d'authentification par smartphone, telles que mTAN, PhotoTAN, CrontoSign ou SecureSign :

  • Assurez-vous que vous confirmez réellement le login lors de la procédure de login dans l'e-banking sur l'appareil mobile (par ex. smartphone ou appareil PhotoTAN dédié) et qu'il ne s'agit pas déjà de viser un paiement.
  • Si vous visez un paiement, lisez toujours le texte complet sur l'appareil mobile et vérifiez le montant et le bénéficiaire (nom, IBAN) du paiement avant de le valider.
  • Installez les applications uniquement à partir de l'App-Store officiel (Google Play Store ou Apple iTunes). N'installez jamais d'applications provenant de sources inconnues, même si vous y êtes invité. Ne modifiez pas votre appareil de manière à neutraliser les mécanismes de sécurité essentiels (p. ex. rooter, jailbreaker).
  • Si vous recevez un code de confirmation par SMS (mTAN) non sollicité, contactez immédiatement votre banque.
  • Si vous constatez des irrégularités lors de votre connexion à l'e-banking, contactez immédiatement votre banque.
  • De telles irrégularités sont par exemple
  1. Message de sécurité avant la connexion à l'e-banking. Par exemple : "Dans le cadre de la modernisation du système de sécurité, une identification supplémentaire peut vous être demandée lorsque vous vous connectez à votre compte d'utilisateur. [...]"
  2. Message d'erreur après la connexion à l'e-banking. Par exemple : "Erreur ! En raison d'un problème technique, nous sommes incapables de trouver la page que vous recherchez. Veuillez réessayer dans 2 minutes".
  3. Message de sécurité après la connexion à l'e-banking (p. ex. "Mesure de sécurité"), où il vous est demandé de saisir un numéro de téléphone fixe ou mobile
  4. Invitation à installer une application mobile après la connexion à l'e-banking
  5. Après la connexion à l'e-banking, il y a par exemple une redirection vers un site web qui n'est pas en rapport avec la banque (par exemple vers google.ch).
  6. Timer après la connexion à l'e-banking. Par exemple (voir illustration 2) : "Veuillez patienter... (Veuillez patienter une minute, ne pas recharger la page)

Source : Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani)

Ill. 2 : Message d'erreur typique, tel qu'il est affiché par les criminels.
Ill. 2 : Message d'erreur typique, tel qu'il est affiché par les criminels.
(Visité 135 fois, 1 visites aujourd'hui)
h2> Plus d'articles sur le sujet

ACTUALITÉS SUR LA SÉCURITÉ

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Vous pouvez vous désinscrire à tout moment !
close-link