Ne pas donner de données d'activation

Le bureau d'enregistrement Melani a signalé il y a quelques mois que les criminels visent de plus en plus les méthodes d'authentification mobiles pour l'e-banking. Aujourd'hui, les pirates vont plus loin et tentent d'inciter les victimes à envoyer aux escrocs une copie de la lettre reçue de la banque contenant les données d'activation pour l'authentification à deux facteurs (2FA) de l'e-banking.

Depuis 2016, des pirates tentent, à l'aide de logiciels malveillants (malware) comme par exemple "Retefe", de contourner les méthodes d'authentification mobiles sur les smartphones par le biais de l'ingénierie sociale. Les utilisateurs de PhotoTAN, CrontoSign et SecureSign sont concernés par de telles attaques. Ceci est indépendant du système d'exploitation du smartphone utilisé (Android, iOS).

Ne jamais ( !) donner sa lettre d'activation personnelle

Depuis le début du mois d'août, le Bureau de communication de la Confédération observe une augmentation des attaques dans lesquelles les criminels tentent d'obtenir des lettres de banques contenant des données d'activation. Cette lettre d'activation contient généralement une image en mosaïque qui doit être scannée ou photographiée lors de la première connexion d'un appareil à l'e-banking avec une application comme PhotoTAN, CrontoSign ou SecureSign. Ensuite, l'appareil correspondant est autorisé par la banque pour la méthode d'authentification mobile. Ces lettres sont généralement envoyées par la banque à ses clients par courrier postal. Les pirates demandent à la victime de scanner ou de photographier la lettre et de la transmettre aux escrocs. Celui qui le fait doit s'attendre à ce que les criminels se connectent à l'e-banking de la victime en utilisant un autre smartphone pour l'authentification à deux facteurs. A partir de ce moment, les pirates peuvent se connecter à tout moment au portail d'e-banking et ordonner des paiements frauduleux à partir du compte de la victime à son insu.

Recommandation du bureau de communication

Dans le cadre de l'utilisation de l'e-banking, le bureau de communication recommande

• Ne pas "partager" la lettre d'activation de la banque avec qui que ce soit, même si on est invité à le faire. En cas de doute, contacter la banque.
• Assurez-vous que vous confirmez réellement le login lors de la procédure de login dans l'e-banking sur l'appareil mobile (par ex. smartphone ou appareil PhotoTAN dédié) et qu'il ne s'agit pas déjà de viser un paiement.
• Si vous visez un paiement, lisez toujours le texte complet sur l'appareil mobile et vérifiez le montant et le bénéficiaire (nom, IBAN) du paiement avant de le valider.
• N'installez des applications pour smartphone qu'à partir de l'App-Store officiel (Google Play ou Apple App Store). N'installez jamais d'applications provenant de sources inconnues, même si vous y êtes invité. Ne modifiez pas votre appareil de manière à neutraliser les mécanismes de sécurité essentiels (p. ex. "rooter", "jailbreaker").
• Installez les mises à jour de sécurité pour l'ordinateur et le téléphone portable dès qu'elles sont disponibles.
• Si vous constatez des irrégularités lors de votre connexion à l'e-banking, contactez immédiatement votre banque.

Source : MELANI